top of page

Front-IA

システムルームでのチームワーク

ISMAP/ISMAP-LIU適合支援

ISMAP制度へのコンプライアンス支援を行います。

Background|背景

​膨大なセキュリティ要求事項と代表的課題

ISMAPは2020年6月に運用を開始した制度です。政府機関等(中央省庁、独立行政法人、指定法人)にクラウドサービスを提供する際には当制度への適合が必要ですが、ISMAPのセキュリティ要求事項は膨大で以下のような代表的課題があります。​

Feature|特徴

ISMAP監査の実務経験と制度への深い理解を兼ね備えたメンバーが制度・監査機関対応を支援することで、ISMAP制度適合の悩みを解決します。

Service|サービス

パスワード設定に関するセキュリティ管理策である9.4.3を例に取り、ご支援のイメージを紹介します。

Contact

お問い合わせはこちらから

​ISMAP監査プロセスとよくある課題

​ISMP監査プロセス

よくある課題

1.言名書の作成

  • 管理策の要求の理解不足、ISMS認証の形式的対応の流用等により言明が不適切なものとなり、制度・監査機関からの指摘を受ける

2.監査証跡の提出

  • 監査機関の依頼は独特の言葉が多く、依頼内容の理解に時間を要するばかりでなく認識齟齬が頻繁に発生し、証拠の再提出が相次ぐ

​3.発見事項のすり合わせ

  • 実態として有効に機能している管理策に対して、管理手続き上の都合により発見事項となる場合がある

4.改善計画の策定

  • 発見事項に対する改善計画を策定するにあたり、管理策の要求を満たさない計画となり、制度・監査機関からの指摘を受ける

ISMAPの基準はISO27001シリーズやNIST-SP800-53などを基に作成されているため、ISMS認証の延長として挑まれる方もいらっしゃいます。しかし、ISMAP監査は、文書審査型(実際のセキュリティ対策はあまり問われない)のISMS認証と比して比較にならない実務負荷がかかるため、この認識の違いから、社内体制の仕切り直しを強いられる事業者様も数多くいらっしゃいます。

​ISMAP監査プロセスとご支援内容

​ISMP監査プロセス

​ご支援内容

1.言名書の作成

  • 管理策の要求内容に精通した立場から言明書の作成を助言します

  • ​制度・監査機関からの指摘を受けた言明書の修正を支援します

2.監査証跡の提出

  • 監査機関とのコミュニケーションに同席し、監査依頼の内容を明確にします

  • ​社内の関係者との協議を通じて必要な証跡を具体化します

​3.発見事項のすり合わせ

  • 発見事項候補に対する事実確認や合理的説明を通じて、監査機関との発見事項のすり合わせを行います

4.改善計画の策定

  • 対応が必要な発見事項に対して合理的な改善計画書の作成を支援します

ISMAPへのコンプライアンスプロジェクトは社内の力を結集する必要がある総力戦です。その際に制度・基準への深い理解と監査の実務経験を持った者が欠けていると、ただでさえ大変な制度対応に、より一層の業務負荷がかかります。

Front-iaは、制度・基準への理解と監査の実務経験を基に、ISMAP制度へのコンプライアンスの実務負荷を下げ、プロジェクトの成功率を高めることに貢献します。

小田切 洋介|Yosuke Odagiri

Front-IA(株式会社フロンティア) | ​執行役員|ISMAP Service Lead

PwCあらた有限責任監査法人にてISMAP、IT全般統制、セキュリティなどITリスク管理に関するアドバイザリーに従事。グローバル及びローカルのデジタル規制、レギュレーション対応のプラクティスに精通。AWS/ DevOpsなどのクラウドベースの先端のシステム環境におけるシステム監査経験を有する。金融機関やクラウドベンダーなど、幅広いクライアントへの業務実施経験を有する。

 

公認情報システム監査人(CISA)

​統制目標 9.4.3

​パスワードの管理システムは(中略)、良質なパスワードを確実にするものとする

詳細管理策 9.4.3.4

​​(前略)パスワードは、最初のログオン時に利用者に変更させるようにする

​一般的な証跡(例)

「利用者の初回ログオン時にパスワード変更を強いるパラメーター」

※ISMAP管理基準より筆者が一部抜粋

通常、こういった管理策ではパラメータの提出が求められることが多いです。しかし、ソースコードの特定・提出は一般に困難であり、詳細管理策一つへの監査対応としてはコストが高すぎます。管理策の目的に立ち返ると、脆弱なパスワードの利用を防止することが重要であるため、監査の目的を鑑みて、以下の提出証跡を合理的説明とともに提案することが考えられます。

​​

  • 提出証跡
    「パスワード変更依頼メール」のスクリーンショット

 

また、会社の対策状況によっては、当管理策を非採用にする選択肢も考えられます。「良質なパスワードを確実にする」ことが本来の目的であるため、初期に発行されるパスワードが完全な乱数に基づき、複雑性要件も満たしていれば、「別の管理策で対策を実施しているため、当管理策は必要ではない」ことが主張できます。この場合、非採用の理由を次のように記述することも考えられます。

  • 非採用理由(例)
    別管理策(9.2.4.6)で言明している通り、仮の秘密認証情報は、複雑性ルールを満たした推測が困難な乱数を発行しており、初回ログイン時の変更が必ずしも必要ではないため

参考:詳細管理策 9.2.4.6*
(前略)仮の秘密認証情報は、一人ひとりに対して一意とし、推測されないものとする

*ISMAP管理基準より筆者が一部抜粋
 

​このように、ISMAP制度・セキュリティ・監査に精通した実務経験者が参加することで、監査対応工数の合理的削減、リスク理解に基づく詳細管理策の合理化などが実現でき、コンプライアンスの成功率を高めることができます。

bottom of page