HOME情報セキュリティISMAPISMAP: FAQ

本文を印刷する

情報セキュリティ

ISMAP: FAQ

最終更新日:2020年9月24日

よくあるお問い合わせ

 よくあるお問い合わせについて回答を掲載します。以下のメニューをクリックするとFAQが参照できます。

制度全般に関すること

A1

ISMAPクラウドサービスリストは、現時点では公開されていません。令和2年度中に公開を予定しております。

A2

実施結果報告書は一般に公開されません。

A3

実施結果報告書は配布及び利用が制限されており、サービス登録審査の他、ISMAP監査機関登録規則に規定する審査及びモニタリングにおいて必要な範囲で利用される場合を除き、他のいかなる目的にも使用することができません。

A4

ISMAPクラウドサービス登録規則3.8に規定のとおり、言明書のうち、以下の事項についてはISMAPクラウドサービスリストにおいて一般に公開されます。
 (1)クラウドサービスの名称
 (2)言明の対象範囲
 (3)基本言明要件のうち実施している統制目標の管理策
 (4)監査対象期間
 (5)後発事象

A5

言明書の別添(詳細)に記載した内容は一般には公開されません。ただし、クラウドサービス事業者の判断のもと、調達を検討している調達府省庁等に対して個別に開示を行うことは妨げられるものではありません。

A6

ISMAP管理基準独自のガイドラインについては、現在整備を検討しているところです。 そのため、現時点ではISMAP管理基準の参照元となった基準におけるガイドライン等を参考としてください。 参照元となった基準は、JIS規格(JIS Q 27001、JIS Q 27002、JIS Q 27014、JIS Q 27017)、政府機関等の情報セキュリティ対策のための統一基準、NIST SP800-53 rev.4です。

A7

制度立ち上げ時においては、現在、政府内で最も多く扱われる情報の機密性の格付け(機密性2)を想定したレベルの管理基準(レベル2)のみを策定しました。 今後、他のレベルの管理基準についても検討する予定です。

各種規程に関すること

A1

ISMAP基本規程、ISMAPクラウドサービス登録規則及びISMAPセキュリティ監査ガイドラインの英語版については、制度規程等に公開しています。 また、その他の規程等についても追って公開を行うことを検討しております。なお、ISMAPは我が国の制度であることから、日本語の規程等が正式な文書であり、英語版は参考訳として整備しています。

A2

「重大な統制変更又は重大な統制変更につながり得る事象」とは、具体的には、例えば、事業環境の変化、新規のコントロールオーナー、情報システムについて新規導入または刷新された場合、急速な成長、新しいビジネスモデル・新製品又は新しい活動、会社の事業再構築、拡大する国外事業、新しい会計の意見書、資本関係の変化等が想定されます。

A3

基盤部分に他のクラウドサービスを利用して構築されるサービスの扱いについては、「クラウドサービスの安全性評価に関する検討会 とりまとめ」の「1.9 他のクラウドサービスを活用したクラウドサービスの登録の考え方」に記載のとおり、それが存在しない場合にクラウドサービスとして成立しない場合には基盤部分が登録されていることが不可欠となります。このため、基盤部分の登録が一時停止又は削除を受けた場合には、基本的には、当該基盤上に構築されるクラウドサービスも登録の一時停止又は削除を行うこととなります。ただし、基盤側の登録の一時停止又は削除の原因によっては、当該基盤上に構築するクラウドサービスの取扱いについて個別に検討を行う可能性もあります。
また、基盤側の登録の一時停止又は削除によって当該基盤上に構築するクラウドサービスの登録が一時停止又は削除された場合においても、ISMAPクラウドサービス登録規則3.5(5)に規定のとおり、基盤上のクラウドサービスを提供する事業者側から調達府省庁等にその旨を速やかに通知又は当該事業者のWebサイトにて公開する必要があります。

【参考】クラウドサービスの安全性評価に関する検討会 とりまとめ(令和2年1月 クラウドサービスの安全性評価に関する検討会) https://www.meti.go.jp/press/2019/01/20200130002/20200130002-1.pdf

A4

「資本関係」とは、監査機関またはクラウド事業者の一方又は双方が他方の会社の資本を有している関係を指します。本制度においては、監査の独立性に影響するため、原則として資本を保有する関係を認めていません。 資本の保有関係については、直接的な保有以外に会社法上の支配関係が存在する会社が間接的に保有する場合も考慮する必要があります。
なお、公開会社の場合、株主が流動的なため、小規模株主として資本を保有していることが特定できにくいことがあります。この場合には、少なくとも金融商品取引法第27条の23(大量保有報告書の提出)に基づく報告書を提出した株主である関係の場合は考慮が必要です。

監査機関登録に関すること

A1

ISMAP監査機関リストへの登録の申請及び登録に際し、ISMAP運用支援機関として、申請料や審査費用の支払いは求めておりません。

A2

申請者は法人の代表者としてください。その上で、氏名欄には、申請者の署名又は記名押印をお願いします。

A3

ISMAP運用支援機関との連絡窓口となるご担当者様をご記入ください。

A4

ISMAP監査機関登録規則に規定する「様式1監査機関登録申請書」及び「様式1監査機関登録申請書_別紙」の項目を全て記入した上で、例えば以下の資料を提出頂くことを想定しております。

(1)情報セキュリティ監査に関する倫理審査機能を有する組織への所属(規則3.5関連);
ISMAP監査機関登録規則の別表2に示す組織が発行する証明書又は会員である事実が分かる資料(例:組織の会員一覧表を公開しているホームページなど)。

(2)保有する資格(規則3.6.1、3.7.1関連)
①資格証明書 (有効なもの、資格保有者で構成する団体の会員証は認めらません。)

なお、申請文書の提出後、その確認の結果、追加で以下の資料の提出を要請する場合があります。

(3)国籍を証明する資料(規則3.6.3及び3.7.3関連)

A5

ISMAP監査機関登録規則の3.6.2及び3.7.2(2)で要求しているクラウドコンピューティングに関する知見は、クラウドコンピューティングに対する監査において、最低限必要となる技術知識を得ていることを確かめる目的で要求しております。 現時点では、例えば下記のいずれかの経験あるいは資格を想定しております。

監査経験:クラウドサービスに対するSOC2、SOC3(AICPAが定める監査)、クラウド情報セキュリティ監査制度における外部評価(CSゴールドマークの監査)

実務経験:クラウドサービス事業者あるいはコンサルティング会社等において、クラウドサービスに関する開発、運用、セキュリティ関係業務又は顧客の技術的支援業務等において通算1年以上の実務を有すること

資格:ISMSクラウドセキュリティ審査員(JRCA)、CCSK(CSA)、CCSP((ISC)2)、クラウド情報セキュリティ外部監査人(JASA)

A6

ISMAPで有効と認められる研修実績は、公認情報システム監査人(CISA)、公認情報セキュリティ監査人や公認システム監査人において継続的専門研修制度(CPE)が求める内容と同等のものです。

クラウドサービス登録に関すること

A1

ISMAPクラウドサービスリストへの登録の申請及び登録に際して、ISMAP運用支援機関としては費用の支払いを求めておりません。 ただし、登録の申請に先立ち、監査機関による監査を受ける必要があるところ、監査の費用については民間の間での契約において双方の合意の元に決められるものと考えます。

A2

ISMAPクラウドサービスリストに登録するための支援制度はございません。

A3

ISMAPクラウドサービスリストへの登録に際し、ISOの認証を取得している必要はありません。

A4

他のクラウドサービスを利用して構築されているクラウドサービスの扱いについては、「クラウドサービスの安全性評価に関する検討会 とりまとめ」(令和2年1月 クラウドサービスの安全性評価に関する検討会)の「1.9 他のクラウドサービスを活用したクラウドサービスの登録の考え方」をご覧下さい。
【参考】
https://www.meti.go.jp/press/2019/01/20200130002/20200130002-1.pdf

A5

申請文書への記入方法や申請文書の提出方法の詳細については、各種お手続きについてに掲載しています。

A6

リージョンとは、クラウドサービスを提供する情報処理設備を収容するデータセンターが設置されている独立した地域を指します。

A7

後発事象とは当該言明書における監査対象期間あるいは基準日以降、実施結果報告書の日付までに発生した事象であって、当該監査期間を対象とした言明書の内容や監査の前提に影響を与えるような事象を想定しています。例えば、監査の対象期間以降に大規模なセキュリティインシデントが発生した場合や、社内の組織体制が大きく変更された場合等に加えて、その他言明している内容と整合しない事象が発生した場合等が想定されます。

A8

海外の政府機関からのアクセス・押収等により、クラウドサービス上のデータの可用性・機密性・完全性が損なわれるリスクの存否や当該リスクへの対応方針を簡潔にお示し頂くこと等を想定しております。

A9

実施結果報告書は原本をご提出下さい。

A10

発見事項が軽微であると見なすためには、当該発見事項が以下の全ての要件を満たしていることが求められます。
①当該発見事項に係る統制が実施結果報告書の日付から2ヶ月以内に改善することが見込まれること。
②当該発見事項が統制に重要な影響を与えるものではないこと。
③継続的あるいは反復的に発生しているものではないこと。
具体的な事例として、例えば、文書上の誤記や改訂漏れ等の形式的な不備の単発的な発生等が想定されます。

A11

「重大な影響を及ぼしうる情報セキュリティインシデント」として、例えば以下のような事象が考えられます。
・予期しないサービスの停止または著しい低下が生じる事象
・政府機関等の利用者に関する情報の漏えいや消失などの恐れが高い事象
・多数の利用者に悪影響を与える事象
・クラウドサービス事業者の内部不正が疑われる事象
・クラウドサービスの提供に係るソフトウェアの不正プログラムへの感染
・クラウドサービスの提供に係る情報処理装置への外部からの不正侵入
・重大インシデントと自社で定義したその他の事象

A12

クラウドサービス事業者の統制の状況によっては、ある一つの個別管理策や証跡で複数の詳細管理策に対応可能なケースも想定されますので、そのような場合には、当該個別管理策や当該証跡が、複数存在する詳細管理策のそれぞれにおいて、具体的にどのように統制を実現しているのかを客観的に確認できるように言明を行っていただく必要があります。

A13

言明において対象外とする管理策が存在する場合、選択しない理由は詳細管理策ごとに個別に記載する必要があります。ただし、その内容については、「X.X.X.の統制目標についてはX.X.X.Aの実施により達成しているため、X.X.X.B~X.X.X.Fまでの管理策は選択していない」という説明や、「このサービスのセキュリティ対策の思想として~という方針の下選択しており、この考えに基づくと、X.X.Xは統制目標として選択しえない」といった説明によりその合理性を言明する方法等が想定されます。

A14

個別管理策は詳細管理策で要求されている内容を踏まえて設計する必要がありますが、あくまでも監査対象はクラウドサービス事業者が実施している個別管理策であって、管理基準に書かれている詳細管理策に照らして文面や内容が字面通りとなっていないと許容されないということではありません。

A15

ISMAP管理基準は、事業者がリスクに対応するために達成するべき項目である統制目標と、それを実現するために満たすべき事項である詳細管理策から構成されており、本制度における監査では、詳細管理策のそれぞれについて個別のクラウドサービスにおいて設計した個々の統制である個別管理策を対象に確認を行うこととなります。このため、詳細管理策で要求されている内容に関して、クラウドサービス事業者における実施状況を客観的に確認できる粒度で記載を行っていただく必要があります。なお、個別管理策は詳細管理策に準拠している必要がありますが、その表現は字面通りである必要はありません。

A16

本制度における対応方針については下記のとおりとします。なお、下記の対応方針は、COVID-19の影響に伴う例外的な対応であり、情勢の推移を踏まえて対応を見直すこととします。

<対象となる手続>
ISMAP標準監査手続上、現地訪問による手続が要求されている手続であって、他の方法(資料の閲覧等)を選択しえないもの。(現地訪問以外の方法があらかじめ規定されている場合には、そちらで対応を行う。)

<対応方針>
本制度では、保証業務における考え方も参考に、以下のとおり対応を求めるものとします。
・原則として、可能な限り感染防止対策を実施した上で少人数で往査を行う等、ISMAP標準監査手続に準拠した対応を行う。
・上記の対応が困難かつ業務執行責任者が的確に行えると判断できる場合には、例外的な対応として、監査人の指示の下、現地の要員がウェブカメラ等を通じてリアルタイム送信する映像を確認することで、現地訪問による手続に変えることを認める。この場合、以下の全ての事項に留意すること。
(1)事前に図面、仕様書等の資料を閲覧し、リモートで観察する対象及びそれに対するコントロールを理解すること。
(2)監査対象のすり替えを防止するため、現地要員のカメラ等の操作を指示し、正しい場所と監査対象物であることを確認すること。
(3)リアルタイムに双方向のコミュニケーションが可能な仕組みを利用し、現地の要員に直接操作指示を行い、監査人が現地で観察するとした場合と同等の確認を行うこと。
(4)必要な確認が行えるよう、適切な精度を備えた機器を使用するとともに、改ざん防止等の観点から、広く知られているアプリケーションシステム等を使用すること。
(5)現地往査ではないという点を除き、標準監査手続において定められた手続を実施すること。
(6)現地往査に代えてウェブカメラ等を使用して手続を実施した旨を実施結果報告書に記載すること。

なお、上記例外的な対応でもなお対応が困難な場合には、代替する手続案について事前に制度側に確認を行った上で手続を実施していただくものとします。

A17

サービスの性質上、基本言明要件(8.1.2.7PB)を実施することが困難なチャット、テレビ会議等のコミュニケーションサービスにおいては、内部からの不正アクセス対策を別の手段で実現することで、例外的に基本言明要件(8.1.2.7PB)を選択しないことも考えられます。
具体的には、8.1.2.7PB のかわりに、①6.1.2(権限分離)、②7.2.1(従業員・契約相手へのセキュリティ)及び③9.2.3(特権的アクセス権の制限)を適切に実施し、これらの管理策が鍵管理に関する内部からの不正アクセス対策に有効であることを確認した上で、実効性を言明する必要があります。

その他

A1

今後、クラウドサービス登録及び監査機関登録に関する申請をオンラインで実施できるよう、申請システムの構築についても検討を進めております。

問い合わせ先

 よくあるお問い合わせで見つからない場合は、以下よりお問い合わせください。