SERVICECISOサービス

ISMAP登録支援コンサルティングサービス

政府機関へクラウドサービスを提供する事業者は登録が必要に

DXを支える技術の一つにクラウドサービスがあります。すぐに環境構築ができることから急速な勢いで拡大しており、この波は政府機関へも到達することとなりました。2018年6月「クラウド・バイ・デフォルト原則」が発表され、政府機関の情報システム調達においても、クラウドサービスを第一候補とする方針が公式に宣言されました
同時に、クラウドサービスの安全性評価について、政府情報システムのためのセキュリティ評価制度(ISMAP)が策定され、2020年6月から制度の運用が始まっています。
※ISMAP=クラウド事業者が提供するクラウドサービスが安全に運営されているか、第三者機関により評価し「登録簿(ISMAPクラウドサービスリスト)」に登録する制度です。各省庁はクラウドサービスリストに登録されているサービスから調達することが方針として示されています。

実際にISMAPが調達仕様書に採用

2021年10月、デジタル庁は「デジタル庁におけるガバメント・クラウド整備のためのクラウドサービスの提供-令和3年度地方公共団体による先行事業及びデジタル庁WEBサイト構築業務-」の調達仕様書を公開しました。本調達はデジタル庁がクラウドサービスを利用した基盤構築を行う事業であり、その調達仕様書にはISMAP登録事業者であることが求められ、開札結果としてはAWSが選定されています。
AWS、Azure、GCPの各サービスはこうした状況を見越してISMAP制度開始時にサービス登録(2021年3月)しています。ISMAP登録には言明書を作成し、かつ、6ヶ月以上運用実績が必要であるため、1年近くかけて取得に取り組む必要があります。調達が公開されてから取り組みを開始しても、間に合わないと言えます。

本サービスの対象

11.JPG

導入フロー

STEP01|管理策マッピング/言明書の作成

◆ 約1,300及ぶ管理策と、社内規定 とのマッピング作業         
◆ マッピング結果に基づく言明書の作成 → 言明書とともにPhase2以降の設計を行う         
 − 導入が必要なソリューションの提示や導入スケジュールの作成
 − 変更が必要な規程類の提示など

STEP02|GAP分析及び監査法人による事前調査対応(言明書・証跡)

◆ Phase1 で作成した言明書を全体設計図とし、現状との差分を分析          
  →「標準監査手続」を想定し、統制の変更や証跡の妥当性を評価、改善策を提示         
◆ 監査法人が言明書に対する監査前事前調査を実施(管理策の導入状況の確認と証跡確認)    
 − 監査法人は言明書がISMAP監査に耐えうるものか事前調査を行います         
 − 当社が監査法人との窓口となり、監査法人とのやり取りを全面的に支援します         
 − 言明書の妥当性、及び現状とのGAPを説明し、監査時の確認ポイントを導出                       
   → 監査法人は事前確認においても1,300以上の項目に対する統制状況と運用状況を確認            
   → ヒアリング対応、資料や証跡の整理等、監査対応に不慣れなお客様を総合的に支援します

STEP03|ISMAP監査(実査)対応

◆ 要求事項実施支援
 − ISMAP要求事項に含まれるマネジメントレビューや内部監査の実施
◆ ISMAP監査(監査法人監査)
 − 標準監査手続に基づき監査法人がISMAP監査を実施
   →監査時の受け答え等、当社がフロントとなってお客様の回答を支援
 − 監査実施報告書作成(監査法人)
   →監査結果に基づき監査法人が監査報告書を作成。
   →指摘事項に対する対象方針の指導や証跡収集を支援
◆ 申請書類作成・IPAの申請
 − 監査実施報告書に基づき、ISMAPサービスリストへの登録申請を行います
    → 申請後、IPAより多数の質問や証跡提示を求められることとなります
    → 回答遅延はサービスリスト登録の遅延を招くため、監査完了後、最速で登録できるように総合的に支援します

デジタルアーツコンサルティングに依頼するメリット

Merit1

【2022年5月現在、ISMAP登録クラウドサービスの35件の内、複数社へのコンサルティング実績】
親会社デジタルアーツ社の「DigitalArts@Cloud」に対するコンサルティングでは、すべての認証取得対応を取得側としても経験しており、監査を受ける立場からコンサルティングできる数少ないファームです。

Merit2

【四大監査法人出身者による総合的なコンサルティングサービス】
ISMAP監査は監査法人(四大監査法人を中心)による標準監査手続きに基づく監査を受けます。当社社員には四大監査法人出身者が多く揃っており、各種IT監査の経験を有しています。

Merit3

【アドバイザリにとどまらない踏み込んだコンサルティング。課題解決のためのソリューション提案】
ISMAPには約1,300に及ぶ管理策が存在しており、その中にはソリューションを導入しなければ実現困難な管理策も存在しています。当社はISMAPに対応しつつ、業務効率を維持できるセキュリティソリューションの導入も支援可能です。

Merit4

【監査法人とお客様の間に入り、サービスリスト登録までを支援。その後の運用監査にも対応】
ISMAP監査において、監査法人への対応工数は膨大なものとなります
監査法人との調整や監査法人への回答、社内調整等、全て弊社が窓口となり、お客様に不安なく登録までを支援します