従前のISMAP制度においては、一部の管理策が解釈しづらい、具体例が不足しているといった意見が会議や説明会で寄せられていました。これらの意見を受けて、2024年7月に一部の管理策の見直しが行われ、例示の追加、文言修正が実施されました。また、昨今のセキュリティ事情を鑑み、新たな管理基準が追加されています。
本稿では、改定されたISMAP管理基準の詳細と、適用が開始となる申請対象期間について解説します。
【改定対象の章】
新設:4件、例示追加:4件、文言修正:1件
|
【ISMAP管理基準の改定一覧】
| 項目 | 変更種別 | 概要 | 詳細管理策 |
|---|---|---|---|
| 1 | 新設 | 事業者責任による暗号化消去を新設。 | 8.1.5.4.P |
| 2 | 新設 | ある情報システムで発生したインシデントが、他の情報システムでも発生する可能性を検討すること(横展開調査)を新設。 | 16.1.5.10 |
| 3 | 新設 | 送信側・受信側共に、送信ドメイン認証技術(DMARCやSPF等)による対策を新設。 | 13.2.3.7.P |
| 4 | 新設 | 機械学習方式又はサンドボックス型の不正対策プログラム等の感染リスクの低減手段を新設。 | 12.2.1.15 |
| 5 | 例示追加 | 例示として、多要素認証機能の追加。 | 9.2.3.11.PB |
| 6 | 例示追加 | 例示として、手順書確認訓練又はシナリオ非提示型訓練を追加。 | 7.2.2.18 |
| 7 | 例示追加 | 例示として、必要に応じてネットワークを幾つかのネットワーク領域に分離する例に必要な単位でセグメントを分離することを追加。 | 13.1.3.1 |
| 8 | 例示追加 | 例示として、外部からの不正アクセスによる被害を防止する対策としてWAF等の対策をを追加。 | 13.1.3.5 |
| 9 | 文言修正 | 統一基準の表現変更に合わせ、ゼロトラストアーキテクチャ(動的なアクセス制御)に修正。 | 9.1.1.16 |
出典:ISMAPポータル「ISMAP管理基準の改定について」(2024年7月1日)
新設された管理策は、他の4桁管理策への対応により、該当の3桁管理策基準を満たしている場合、ほかの管理策同様にいずれも非採用とすることが可能です。
また、今回改定された項目のなかで、原則対応が必須※である「9.2.3.11.PB」(上表の項目5)を含む例示追加の項目については、例示されている対策以外の方法で該当の要求事項を満たせていれば、必ずしも例示の対策そのものを導入する必要はありません。
まずは、今回改定された管理策基準を確認し、クラウドサービス事業者における現状の対策で対応できているかを確認する必要があります。
※管理策番号の必須・任意について
|
2.ISMAP管理基準改定の適用時期
【ISMAP管理基準改定 適用時期】
出典:KPMG作成
3.総括と重要ポイントの整理
2024年7月に、9件の管理策が改定されましたが、これらは必ずしも対応が必須なものではなく、現状の管理策が要件を満たしているかを確認したうえで、今回の改定項目について新たな対応を行うかどうか検討する必要があります。
そのため、まずは改定内容をクラウドサービス事業者と共有し、ISMAP登録済/登録予定のサービスにおける対応の必要性を見極めることが求められます。追加対応が不要と判断できる場合には、今回の改定による影響は少ないものと考えられます。
なお、今回の改定は、ISMAP制度への改善点が指摘されており、制度運営機関がISMAP制度をより利用しやすい制度とするための取組みの一環であることが明らかです。今後も新たな見直しが行われることが予想されます。すでに、ISMAPポータルによると「他の認証制度を活用した外部監査の一部省略」「アップデートテストの見直し」および「監査手続の見直し・公開」といった制度改善が検討されていることが公表されています。今後も、ますますISMAP制度は利用しやすいものとなり、多くのクラウドサービスが登録されていくことが期待されます。
- ISMAPポータル「制度規程等:ISMAP管理基準の改定について」
執筆者
有限責任 あずさ監査法人
パートナー 山口 達也
テクニカル・ディレクター 鈴木 雅之
KPMGコンサルティング
シニアマネジャー 松本 知恵子
コンサルタント 伊東 諒斗
関連サービス
最新の規制に基づいたISMAP対応の包括的な監査・管理サービスの提供を通じて、クラウド環境の安全性を強化します。
サービスの詳細については、以下よりご確認ください。
