ISMAP制度は2020年6月の開始から3年が経過し、現在はISMAPクラウドサービスリストの登録数が70件に近づいている状況です(2024年5月13日現在:68件)※1。また、2022年にはセキュリティリスクが比較的低いクラウドサービスを対象としたISMAP-LIU制度も開始されています。一方で、「制度開始当初より外部監査費用の負担が大きい」「制度開始後に徐々に審査期間が長くなる」など、いくつかの課題も見えてきました。
このような状況のなかで、ISMAP制度では以下の3つを柱として課題に取り組み、制度を改定しています。
|
本稿では、2023年10月の改定内容とその影響についてまとめています。
1.ISMAP制度改定の内容
制度開始当初より、登録・更新申請を行うクラウドサービスプロバイダーによる外部監査への金銭的・人的負荷の高さが課題となっていました。この要因として、ISMAPが言明する管理策の多さ・細かさが挙げられます。管理策の削減は、ISMAP-LIU設計時にも検討されましたが、ISMAPの対象となるクラウドサービスが多岐にわたることから、管理策を削減することの難しさが再認識されました。
そこで今回の改定では、「管理策の分類」「分類ごとの監査サイクル」の見直しを行い、管理策は削減せずに、監査対象となる管理策を重要度に応じて評価することで、制度としての安全性・信頼性を維持しつつ、外部監査の負荷を軽減するという対応が行われています。
具体的には、初回監査では整備状況評価に重点を置き、更新監査では運用状況評価に重点を置く方法に変更されています(図表1参照)。初回申請の監査における監査項目数は大きく変わりませんが、更新監査においては、制度が指定した項目および一定条件に該当する項目(図表2参照)のみが対象となるため、評価管理策が削減されます。
【図表1:外部監査の実施方法の変更】
更新監査では、これまでに比べ監査対象が減ることから、そのリスクを補うために指定項目に加えて、以下の点を監査対象とする変更が行われています(図表2参照)。
|
【図表2:制度指定項目に加えて監査対象とする項目とその対応】
制度指定項目に加えて監査対象とする項目については、クラウドサービスプロバイダーから監査機関へ適切な情報提供が必要となるため、クラウドサービスプロバイダー自身が管理策の状況をこれまで以上に理解して管理する必要があります。
この改定は、対象期間の始期が2023年10月1日以降となる監査から適用されます。改定に伴い、言明書等の各種様式も変更されているため、該当するサービスプロバイダーは、最新の様式を入手する必要があります。
(2)審査の迅速化・明確化
ISMAP制度が開始されてから徐々に審査期間が長期化する傾向にあります。最近では申請から9ヵ月以上の審査期間を経て、クラウドサービスリストに登録されるクラウドサービスプロバイダーも少なくありません。
審査期間が長期化している要因として、当初IaaSを提供するクラウドサービスプロバイダーが多かった状況に対し、期間が進むにつれてPaaS、SaaSのクラウドサービスプロバイダーの登録が増加した結果、サービス特性やリスクも多様となり、制度側でも考慮する論点が多岐にわたっていることが挙げられます。特に発見事項があった場合に、それが軽微なものであるか否かの判断は、クラウドサービスの環境を踏まえ制度側が慎重に審査しており、長期化しやすい傾向にあります。
この課題への対応として、以下の改定が実施されています。
|
- 発見事項がある場合の審査プロセスの明確化
発見事項への対応については、「登録申請の手引き 別紙1 発見事項への対応のためのガイド」が公開され、対応のプロセスが明示されることにより、プロセスの透明化を図っています。
- 登録留保制度の制定
これまで発見事項が軽微でない場合には、その時点で審査が終了し申請が却下されることもありましたが、この点も見直しが行われ、新たに「登録留保」という制度ができました。「登録留保」の手続・審査プロセスを踏むことで審査を継続できるようになり、クラウドサービスプロバイダー側での全面的なやり直しという事態を回避できるようになりました。
- 非採用理由の選択制の導入
今回の言明書別添1の様式改定として、非採用理由の選択式が導入されています。非採用の項目がある場合は以下の5つから理由を選択のうえ、それぞれの項目に要求される補足事項を記載する方法に変更されています(図表3)。
|
【図表3:非採用理由の記載方法】
- ISMAP運営委員会の開催頻度の見直し
これまで四半期に一度の実施となっていたISMAP運営委員会の実施が隔月開催となっています。開催頻度が増えることで登録までの期間が短縮される効果が期待できます。
(3)利用層の拡大、コミュニケーションの深化、制度運用の透明性
- 利用層の拡大
現在、ISMAP制度は中央官庁、独立行政法人およびサイバーセキュリティ法が定める指定団体を対象としていますが、第21回ISMAP運営委員会議事要旨によると地方公共団体の調達時にISMAPを参照することを推奨するとともに、基幹インフラ分野での活用策の検討も進められています。
- コミュニケーションの深化
定期的なクラウドサービスプロバイダーと制度側との情報交換会の実施や事前相談制度の充実により、双方の認識の齟齬を埋める対応が進められています。
- 制度運用の透明化
2023年4月以降のISMAP運営委員会の議事要旨がISMAPのホームページ上で公開されるようになっており、現状の検討内容を確認することができます
2.制度改定に期待される効果と今後の動向
ISMAP制度は、前述のように、「外部監査の負荷軽減」「審査の迅速化・明確化」「利用層の拡大、コミュニケーションの深化、制度運用の透明性」の3つの柱で改善が進められています。
「外部監査の負荷軽減」における監査対象項目の変更は、2023年10月1日以降に評価対象期間が開始される監査から適用されるため、本格的に効果がでるのは、これから更新監査を行う監査からとなります。
「審査の迅速化・明確化」は、制度改定の効果が徐々に出始めていると感じます。制度改定以降のリストへの新規登録や更新登録のなかには、数ヵ月で登録されるクラウドサービスも出始めています。一方で、審査が長期化するクラウドサービスも、まだまだ存在します。審査時にはじめて選択した管理策に関する確認や発見事項に関する確認をするクラウドサービスでは、審査が長期化するように感じます。今回の改定で発見事項への対応プロセスが明確化され、審査前に相談を行い、その調整ができるようになっています。
ISMAP制度は、変化し続けている制度であり、今後も改定が予定されています。クラウドセキュリティという性質からも、常に新しい論点が現れており、制度はそれに1つずつ対応していると感じます。このため、発見事項に限らず、ISMAP申請を進めるなかで生じる疑問点は、事前相談制度を利用して、積極的に確認を行い、申請前にある程度論点を押さえ対処しておくことが審査期間を短くするための有効な方法となります。
「利用層の拡大、コミュニケーションの深化、制度運用の透明性」でも、効果が感じられます。KPMGには毎月ISMAP新規取得に関する問い合わせが寄せられており、最近ではISMAP取得検討のきっかけとして、地方公共団体から要請されたという声も頻繁に聞くようになってきています。この点については、リスト登録のクラウドサービスの数の増加や前述の制度側の対応の影響がでているものと感じます。
制度側は運営委員会の議事要旨を公開しており、以前より情報が得やすくなっています。議事要旨からはISMAP制度の継続的な改善を読み取ることができるため、制度の状況・動向を把握しながらISMAP監査の取組みを進めるのが効果的と考えます。
今後も、制度側の動向を追いながら、追加の改定等があった場合には、今回同様に取りまとめてお伝えしたいと思います。
執筆者
有限責任 あずさ監査法人
パートナー 山口 達也
テクニカル・ディレクター 鈴木 雅之
KPMGコンサルティング
アソシエイトパートナー 藤田 直子