政府機関等がクラウドサービスを調達する際のセキュリティ・信頼性を評価する制度として定着してきたISMAP制度は、運用を通じて「外部監査の負担軽減」や「審査の迅速化・効率化」等の課題とその改善策が整理され、以降、たびたび改定が重ねられてきました。
前回の記事では2024年7月の改定についての解説を公開しましたが、本稿では、2024年8月の改定内容と、これまでの主な改定の適用時期について解説します。
なお、8月の改定により、制度改善として一定の対応がなされ、ISMAPポータルサイトに「ISMAP制度改善の取組み」という資料が公開されています。
1.2024年8月1日以降から適用となるISMAP制度基準の改定内容
今回の改定の主な内容としては、「マネジメント基準への複数年での外部監査サイクルの導入」「アップデートテストの見直し」「主たる監査対象の見直し」の3点が挙げられます。いずれも、「外部監査の負担軽減」を図る改善策に含まれます。
(1)他の認証制度を活用した外部監査の一部省略
(i)マネジメント基準への複数年での外部監査サイクルの導入
2023年10月の改定では、外部監査の負担軽減を図るため、管理策基準において、複数年を軸とした外部監査サイクルが導入され、重要度に応じ、監査対象管理策数の削減が図られました。
今回の改定では、他の認証制度を活用した外部監査の一部省略についての見直しが行われ、ISMS認証(ISO/IEC 27001を含む。以下、同様)の取得を前提に、マネジメント基準においても、複数年での外部監査サイクルの導入を取り入れることが可能となりました。初回監査では全項目が監査対象ですが、一定の要件を満たすことで2年目以降の更新監査から、このサイクルを適用することが可能です。これにより、ISMS認証を取得済のクラウドサービス事業者(以下、CSP)は、ISMAPの更新監査において、管理策基準だけでなくマネジメント基準の監査対象管理策数の削減も見込まれるため、コスト縮減を意図した改善策となっています。
【図表1:マネジメント基準への複数年での外部監査サイクルの導入図】
出典:ISMAP「ISMAP制度改善の取組み」を基にKPMG作成
【当該監査サイクルを適用するために必要な要件】
|
出典:ISMAP「ISMAP制度改善の取組み」を基にKPMG作成
また、管理策基準のサイクルと同様に、「リスク判断に変化が生じる場合に評価を実施する監査項目(図表1の灰色部分)」を設けることで、監査手法および深度についてメリハリをつけ、監査対象管理策の削減を実現しています。リスク判断に変化が生じる場合として、たとえば、以下が該当します。
- 監査対象期間において統制変更がある場合
- 前年度監査において発見事項等(統制の不備、サンプル未発生、運用3ヵ月未満)が識別されている場合
当該監査サイクルの適用を希望する場合には、監査実施前に、ISMAP運用支援機関に適用可否について相談することが推奨されています。また、外部監査機関による本監査の業務が開始するまでに、CSPから監査機関に対して、当該監査サイクルの適用を希望し、ISMAP運用支援機関からもその妥当性について確認されたこと、統制変更の有無、変更内容および前年度監査における発見事項等の識別の内容を伝達する必要があります。
本改定の目的は、ISMS認証制度の活用によって、従前からのISMAP外部監査の確認の観点「統制に変更がないこと」を代替することであり、ISMS認証の評価結果をもってISMAP制度における外部監査の評価自体を省略できるものではない点については注意が必要です。
また、一部では、本改定による実務上の負担軽減効果は限定的という見方も存在しますが、ISMAP制度において本改定が実現されたことの真の意義は、他の認証制度の活用が許容される可能性という道が開かれたことにあると考えられます。
(ii)アップデートテストの見直し
今回の改定により、活用が進んでいなかったアップデートテストの仕組みが見直され、他の認証制度取得時に収集された証跡の活⽤機会の拡⼤や、実施結果報告書提出期限までの評価作業の前倒し等による監査対応の平準化が期待されます。
<本仕組みが改定される前の課題>
アップデートテストは、運用評価の際にサンプル抽出期間を短縮することができる仕組みです。もともと、他の認証制度のために収集された証跡をISMAPの外部監査で利用することは可能でしたが、ISMAPの運用評価では監査対象の期間全体から無作為にサンプルを抽出することが原則であるため、他の認証制度とISMAPの監査対象期間が一致していないことが原因で、証跡を利用できないケースが発生していました。
本仕組みは、運⽤テスト対象期間の⺟集団を監査対象期間における想定発⽣件数に換算し、そこからのサンプル抽出が可能となることで、他の認証制度のために収集された証跡を利用できるようにすることが目的でした。これによって、監査対象期間以降に集中していた監査対応の前倒しが可能となるため、CSPの負担軽減も期待されていました。
しかし、本仕組みを適用するためには、運用テスト対象期間後~ISMAP監査対象期間末日までのアップデート期間(最⼤3ヵ⽉)に対する追加手続として、(1)質問手続の実施(2)母集団件数の確認(3)サンプル抽出1件の入手が条件とされており、特に(2)および(3)について、CSPにとっての負担軽減効果が少ないことから、改定前の本仕組みの活用は進んでいない状況でした。
【図表2:アップデートテストのイメージ図】
出典:ISMAP「ISMAP制度改善の取組み」を基にKPMG作成
<改定後の姿>
今回の改定により、アップデートテストの追加手続が見直され、以下の条件を満たす管理策については、アップデートテストの対象期間に対する⼿続を質問⼿続のみとし、その他の手続が不要となりました。
|
本制度の適用は、監査対象期間の開始日が2024年8月1日以降となる申請から対象となり、適用する場合は、CSPと監査機関の双方の準備が必要となるため、事前に監査機関側と調整する必要があります。
(2)「主たる監査対象」の見直し
外部監査対応において、CSPと監査機関との間で、監査対象となる証跡における認識の相違により、⼿戻り等が発⽣することが課題とされていました。特に、「主たる監査対象」の「根拠となる文書・記録等(1)サンプルテストを実施しないもの(設計書、仕様書等)」については、ルールに分類されるものと実装・運用に分類されるものが混在し、扱いが不明確な状態でした。
今回の改定により、「根拠となる文書・記録等(1)サンプルテストを実施しないもの(設計書、仕様書等)」は廃止され、それに伴い、従来の「根拠となる文書・記録等(2)サンプルテストを実施するもの(申請書、承認記録、システムログ、台帳等)」は、「サンプルテストを実施するもの」の部分および(2)の番号が削除されています。また、従来の「規程・手順書等」が「規程・手順書・様式等(ルールの整備、運用手順の確立)」に変更されました。
なお、従来「根拠となる文書・記録等(1)サンプルテストを実施しないもの(設計書、仕様書等)」だったもののうち、ルールに分類されるものは、「規程・手順書・様式等」または「根拠となる文書・記録等」へ、実装・運用に分類されるものは、「根拠となる文書・記録等」または「根拠となる設定」に変更されています。
これらの見直しにより、「主たる監査対象」がわかりやすく整理されたため、CSPと監査機関との間で、監査対象となる証跡の共通認識の形成の一助となり、証跡準備の際の手戻り等を未然に防ぐ効果が期待されます。
【図表3:「主たる監査対象」の見直し】
出典:ISMAP「ISMAP制度改善の取組み」を基にKPMG作成
2.2023年10月以降の主な制度改定の整理
【図表4:2023年10月以降に適用となる主な改定一覧】
| 施行日 | 改定内容 | 改定概要 | 監査への影響・CSP側の留意点 |
|---|---|---|---|
| 2023年9月22日 | 複数年を軸とした監査サイクル、重要度に応じた監査頻度の導入(管理策基準) | 既存の運用評価サイクルに加えて、更新監査時から整備状況評価においても、ローテーションで評価する仕組みが導入された。 また、制度指定項目に加えて、重要度に応じて項目の監査頻度が変更された。 |
評価対象の管理策が減少。 CSPはリスクに応じて実施する管理策の把握が必要(特に前回監査からの変更に注意)。 |
| 2023年9月22日 | 言明書の非採用理由の選択式導入 | 言明書書式の非採用理由が、プルダウンで選択する形式に変更された。 | 管理策を念のため過剰に言明することに対する抑制が見込まれる。 言明書別紙2のフォーマットが変更されており、CSP側でのフォーマット移行の対応が必要。 |
| 2024年3月1日 | 言明書の生成AIに関する記載箇所の追加 | 言明書の「対象範囲」に、生成AIに関する記載項目が追加された。 | 言明書の書式が変更されているため、CSP側でのフォーマット移行の対応が必要。言明書対象範囲に生成AIを含むサービスを提供および利用する場合、生成AIに関する記載が必要。 |
| 2024年7月1日 | 詳細管理策9項目の追加・修正等 | 新規4件、例示追加4件、誤字修正1件の詳細管理策の見直しが実施された。 | CSP側で追加となった管理策の可否判断、採用の場合の対応および例示追加となった管理策への対応の検討が必要。追加となった場合、工数が増加。 |
| 2024年8月1日 | マネジメント基準への監査サイクル導入 | ISMS認証取得を条件に、更新監査時からマネジメント基準のローテーションでの評価が可能になった。 | 登録対象サービスを含むISMSを取得している場合、マネジメント基準の評価数が減少。監査前のCSP側の対応として、ISMAP運用支援機関に事前相談し、妥当性が確認されたことを監査機関に伝達する必要あり。 |
| 2024年8月1日 | アップデートテストの見直し | アップデートテストの追加手続きが、質問手続きのみに変更され、母集団件数の確認やサンプル抽出1件の入手が不要になった。 | アップデートテスト実施における評価手続の負荷が減少。適用する場合は、事前に監査機関と調整する必要あり。 |
| 2024年8月1日 | 主たる監査対象の見直し | 「根拠となる文書・記録等(1)サンプルテストを実施しないもの(設計書、仕様書等)」の廃止等の見直しが行われた。 | CSPと監査機関の間で、監査対象とする証跡の認識違いの減少により、手戻りや照会対応の減少が見込まれる。 |
このように、たびたび改定が行われてきたため、現在、それぞれの適用時期が混在している状況です。特に、運用評価の開始日が2023年10月から2024年12月の期間については、制度改定の過渡期にあたるため、改定内容の適用についてCSPと監査機関で事前に認識を合わせておく必要があります。
早期適用については、CSPと監査機関での協議により採用することができますが、早期適用が監査機関側の準備等の理由で難しい場合は、適用しないことも可能である点に注意が必要です。また、申請書の様式等が変更された改定もあるため、審査段階で提出文書の不備による手戻りを避けるためにも、常に最新の様式等を使用する必要があります。
【図表5:主な改定の適用時期の整理】
出典:ISMAP「ISMAP制度改善の取組み」を基にKPMG作成
3.2024年8月改定や今後の改定におけるポイント
2024年8月の改定は、2023年10月の改定に続き、外部監査の負荷を下げる改善となっています。ISMAP開始当初からCSPの外部監査の負担の大きさが課題となっていましたが、徐々にその改善が進められています。
特に、今回の改善では、ISMS認証を取得しているCSPは管理策基準の運用評価のローテーションに加えて、マネジメント基準の評価もローテーションできるようになり、評価を行う管理策が減少することで、証跡の準備や監査機関の評価工数の効率化が期待できます。また、この改定の適用には、制度への事前相談が推奨されており、適用の希望を監査機関に伝える際に、制度へ事前相談を実施した結果を含めるよう留意しなくてはなりません。また、管理策基準と同様にリスクに応じて評価を行う必要があるので、言明書の記載内容を評価の有無にかかわらず最新にする必要がある点も注意が必要となります。
上記以外にも、さまざまな改定が続けて公表されており、適用時期の相違や先行適用も許容されることから、しばらくの間は、いくつもの適用パターンが発生します。そのため、CSPと監査機関の双方の認識相違により制度側が期待する適切な監査が実施されないことや、監査終盤での手戻りが発生する事態が懸念されます。このような事態を未然に防ぐためにも、CSPと監査機関との間で、事前に十分な認識合わせを実施することが重要です。
ISMAP制度については、今後もさまざまな改定が実施されていくものと想定されますが、適切な対応を行っていくために、不明点は早めに制度へ事前相談を行い、加えて監査機関と密なコミュニケーションをとり、相互に認識を合わせながら対応していくことが大切です。
※本文の解説にあたっては、以下の公式サイトを参考にしています。
- ISMAPポータル「制度規程等:ISMAP管理基準の改定について」
- ISMAPポータル「ISMAP制度改善の取組み」
執筆者
有限責任 あずさ監査法人
パートナー 山口 達也
テクニカル・ディレクター 鈴木 雅之
KPMGコンサルティング
シニアマネジャー 松本 知恵子
コンサルタント 谷口 由佳
関連サービス
最新の規制に基づいたISMAP対応の包括的な監査・管理サービスの提供を通じて、クラウド環境の安全性を強化します。
サービスの詳細については、以下よりご確認ください。
