ISMAP登録を目指すクラウドサービス事業者(以下、CSP)の皆様から「ISMAP取得まで、どのくらい日数がかかるの?」という問い合わせを数多くいただきます。
本稿では、ISMAP制度への登録を目指すCSPの方向けに、登録までにどの程度の時間がかかるか、大まかな目安をお伝えします。
ISMAP登録までの一連の流れ
まず、登録までの一連の流れと、それぞれに要する大まかな期間を下図で示します。大きく5つのステップがありますが、自社のセキュリティ対策の成熟度や、ISMAP制度への理解度等によって、それぞれのステップに要する期間は大きく変化します。
それでは、5つのステップを詳しく見ていきましょう。
1.セキュリティ対策の構築
ISMAPで求められるセキュリティ対策は全部で1,159個あり、ここから採用するものを選択します。最終的には7~8割に落ち着きますが、それでも非常に数が多く、また多岐に渡ります。ISMAPへの登録を目指すことを決めたら、まずは、自社のセキュリティ対策の実施状況が制度の要求事項に照らして不足がなさそうか、適合状況を確認するのが良いでしょう。
その際、SOC2や米国のFedRAMPといった類似制度に対応している場合は、一般的に必要なセキュリティ対策はある程度担保されていると思われ、要求事項の不足も少なく済むでしょう。
一方で、ISMS認証のみ取得している場合は注意が必要です。ISMS認証(ISO/IEC 27001)やそのアドオンであるISMSクラウドセキュリティ認証(ISO/IEC 27017)の審査は文書審査やマネジメントシステムの審査が中心である一方、ISMAPは情報セキュリティ"監査"の枠組みを基礎としているため、統制の実装や運用状況まで踏み込んで、証跡提出を伴う監査項目も多数存在しています。ISMS認証の延長でISMAP登録に臨んだ結果、費用の増大や登録の遅れが発生しているケースが非常に多くありますので、ISMAP制度への登録を検討されている方は、規程類の整備のみならず、統制の実装や運用まで含めて、事前に適合状況を確認すると良いでしょう。
ISMS認証を取得していることで、ISMAP登録にどれほど影響を及ぼすのかについては、「ISMS認証はISMAP登録対応にどう影響を及ぼすのか?工数への影響などを解説」をご参考ください。
2.セキュリティ対策の運用
1.で不足していたセキュリティ対策を補ったら、次にそれら対策を一定期間運用することが必要です。ISMAPでは、前述したように、監査が統制の実装や運用までを対象とするため、実装や運用を裏付ける活動の証跡が必要になります。また、監査は特定の期間を対象として実施されるため、ISMAP登録を目指す上では「どの期間の運用を対象に監査を受けるのか(=監査対象期間)」を定める必要があります。この監査対象期間は、3か月~1年の間で任意に定めることが可能ですが、「セキュリティ対策の運用」の期間は最低でも3か月は準備する必要があるということになります。
2.2.5 監査の対象となる期間 言明内容のうち、監査対象となる期間を記載する。監査の対象期間は最大1年とし、次の登録申請を行う際の監査対象期間は、前回の監査対象期間の末日の翌日とすることで、期間の隙間なく監査が行われなければならない。監査の対象期間を1年より短くする場合においては、3ヶ月の最低運用期間を経る必要がある。 【出典】ISMAP管理基準
その際、例えばSOC2やISMS認証を取得している企業の場合、ISMAPの監査対象期間をその他の制度の対象期間や審査日付と整合させると、複数制度に対する監査対応が一括で行えるため、実務上の負荷を軽減することができます。注意点としては、ISMAPは毎年の更新が求められる制度のため、更新申請にあたっても監査対象期間を定める必要があるのですが、この際、上記の引用にもあるように、初回登録時に定めた期間から切れ目なく対象期間を3か月~1年の間で任意に定める必要があります。つまり、仮に対象期間を6か月とするのであれば、年に2回監査を受ける必要があることになります。
3.ISMAP監査機関による外部監査
次のステップは、ISMAP制度に登録されている監査機関による外部監査です。外部監査では、外部監査機関がセキュリティ対策の整備・運用状況を監査し、登録申請に必要となる「実施結果報告書」をとりまとめます。制度規程上、この実施結果報告書は監査対象期間末日から3か月以内に提出することが求められています。
3.2 申請者は、言明書に記載の監査対象期間の末日から3ヵ月以内を作成日とする実施結果報告書を監査機関から入手しなければならない。 【出典】ISMAPクラウドサービス登録規則
しかし、前述したようにISMAPの要求項目は多岐に渡り、対象期間末日から3か月間で監査を終わらせるのは困難なため、実務としては、監査対象期間の途中から監査をスタートし、着手できるところから監査を進めていくことが一般的です。
4.申請書類の準備・提出
外部監査が終了し、監査結果(=実施結果報告書)を受領したら、いよいよ申請を行います。申請は、実施結果報告書の日付から1か月以内に行う必要があります。
4.2 申請者は、実施結果報告書の日付から1ヵ月以内に申請を行わなければならない。 【出典】ISMAPクラウドサービス登録規則
CSPが制度に提出する必要がある書類は、外部監査の報告書のみならず、自身のサービス内容を記述する言明書や、準拠法・裁判管轄に関する情報、ペネトレーションテストに関する情報等、多岐に渡ります。これら書類を外部監査が終了してから一斉に準備すると、万が一間に合わなかった時、取り返しがつかなくなってしまいます。したがって、実際には、外部監査の対応と並行して、準備できる書類から順々に準備していくことが望ましいでしょう。
5.ISMAP制度による審査・登録
申請を行うと、その後はISMAP制度側による審査がスタートします。まず、審査実務を担うISMAP運用支援機関(=IPA)が、申請書類一式に不備がないかを2週間以内に確認します。
5.3 ISMAP運用支援機関は、申請文書を受付した日から原則として2週間以内に申請文書の確認を実施する。 【出典】ISMAPクラウドサービス登録規則
ここで書類不備や不足があると、追加の資料提出や書き直しを求められたり、質疑対応がかさんでしまいます。前項の申請書類の提出にあたっては、制度規程や手引書を熟読したり、制度への理解に富んでいる者に確認してもらうのが安心です。
上記の対応が終了し、無事に申請を受理されると、IPAによって技術的な審査(監査結果等の内容の精査)が行われ、その結果を踏まえ、最終的に、制度の最高意思決定機関であるISMAP運営委員会によって登録決定がされます。制度規程上は、申請が受理されてから6か月以内に登録の是非を判断するとしており、場合によっては審査に時間がかかります。
6.3 ISMAP運営委員会は、ISMAP 運用支援機関が申請を受理した日から原則として6 カ月以内に、ISMAP 運用支援機関からの報告内容及び申合せの運用状況を踏まえて、総合的に登録の是非を判断する。 【出典】ISMAPクラウドサービス登録規則
その際、制度のFAQには以下のような記述もあり、必ずしも常に6か月かかるわけではなく、申請書類の出来栄え等によっては3か月で登録できるケースも存在します。いずれにしても、いかに前項の申請書類を過不足なく対応できるかが重要です。
ISMAPクラウドサービス登録規則6.3において、ISMAP運営委員会は、ISMAP運用支援機関がクラウドサービスの登録申請を受理した日から原則として6か月以内に登録の是非を判断することとしております。 実態としては、クラウドサービスの登録申請から登録まで、少なくとも3か月程度の期間を要しており、申請内容によって(※)は、それ以上の期間が必要となることもあります。 また、クラウドサービスの登録の是非を判断するISMAP運営委員会は、四半期に一回(通例的に、3月、6月、9月及び12月)開催されます。ただし、状況に応じて、開催時期が前後することや追加の開催を行う場合もあります。 ※例えば、基本言明要件として原則実施しなければならない統制目標及び詳細管理策を対象外とした場合、対象外とした理由について妥当性の確認などに時間を要する場合があります。 【出典】クラウドサービスの登録申請から登録されるまでに、どの程度の期間が見込まれるのでしょうか。
準備から登録までの所要時間
セキュリティ対策の準備から登録に至るまで、概ね1年弱〜2年強かかります。5つのステップの内、「申請書類の準備・提出」は、登録までのリードタイムの縮小に大きな役割を担うので、早め早めに対応を行うと良いでしょう。
まとめ
いかがでしょうか。ISMAPは要求される基準も膨大かつ、申請に必要な書類も多岐に渡るため、非常に労力がかかります。一方で、国の制度ということもあり、登録された際のビジネスメリットも相当なものです。費用対効果をしっかりと考慮し、投資判断を行っていくことが重要と言えるでしょう。
本サイトでは、ISMAP制度における疑問・質問はどんな内容でも受け付けております。その他、制度理解や対応に役立つコンテンツをどんどん配信しているので、是非チェックしてみてください!
執筆者
東海林 和広
株式会社 X-Regulation 取締役
大手監査法人において、ISMAP監査やクラウドサービスに対するセキュリティ監査等を多数経験
