見出し画像

ISMAP概要(監査編)。ISMAPの監査はどのようになされるか解説します。

ISMAP 概要(監査編)

前回の記事では、ISMAP制度について紹介をさせていただきました。今回はISMAPを自社のクラウドサービスの利用基準として使えるか検討されている方、並びにISMAPクラウドサービスリスト(以下、単にリストとします。)への登録を目指すクラウドサービス事業者様に参考となるような監査の実際のところを解説したいと思います。
前回の記事(制度編)はこちら。


ポイント

この記事ではポイントを以下の3つに絞って解説します。

  • 監査機関による監査を受ける必要がある

  • 要求事項の多くは国際的な規格から抜粋されたものである

  • 社内のルールと、ルールの運用状況が確認される

監査機関による監査

リストに掲載されるためには、監査機関による監査を受ける必要があります。監査機関とは、どのような組織でしょう。

監査機関の要件

監査機関になるためには、日本セキュリティ監査協会による評価を受ける必要があり、セキュリティ監査業務の実施経験など適切に監査ができる法人のみ監査機関になることができます。リストに掲載されるためには、まず監査機関リストから監査法人を選定し、個別に監査契約を結ぶ必要があります。

ISMAP監査機関リスト

2023年2月現在、監査機関リストに掲載されている組織は監査法人のみとなっています。

いきなり監査を受けるのではなく監査法人へ監査を依頼する前に、サービスの運用状況がISMAPの監査を受けて問題ないレベルかどうか、事前に診断などを受けておくことが望ましいでしょう。監査法人・セキュリティ事業者で事前診断サービスを提供されていますので、まずは事前診断を検討してください。事前診断および監査費用は、サービスの数や、採用するISMAP管理策の数によっても大きく異なってくるので、依頼前に、取得範囲を決め、採用するISMAP管理策の数を検討しておきましょう。

要求事項

要求事項は、国際規格に基づいて作成されています。

ISO 27000シリーズ (27001/27002/27014/27017)がベースとなっており、政府統一基準や、NIST SP800-53を一部採用しています。要求事項は1060程度で、ISMAP管理基準としてまとまっています。

要求事項は、4桁の管理策番号が採番されています。4桁管理策の先頭3桁部分は3桁管理策と呼ばれ、対策の目標が定められています。4桁管理策は、具体的なセキュリティ対策手順が記載されています。

すべての4桁管理策(セキュリティ対策の手順)を採用する必要はありませんが、3章・4章のガバナンス・マネジメント基準、および管理策の末尾が B と採番されている管理策は採用が必須となっています。

3桁管理策レベル(目標レベル)では、定められたすべての目標が採用されている必要があります。目標は、目標に紐づいた手順の全部または一部を採用することで達成されます。非採用と判断した手順は、非採用とした理由(当該手順を採用しなくても目標を達成できると判断した理由)を記載することで、目標を満たしていることを説明する必要があります。

ISMAP管理策選定のイメージ
ISMAP管理策を選定するときのイメージ図

監査の実際

監査は、整備状況評価と運用状況評価の2つが実施されます。

整備状況評価

採用した4桁管理策について、社内のルールがどうなっているか証跡を提出し、プラスして監査期間中の実際の運用のサンプルを1件提示します。

運用状況評価

運用評価においては、年間の運用実績から必要なサンプル数を決め、運用実績からランダムサンプリングして、サンプリングされた運用実績を監査機関が確認するという手法となっています。

監査は、ISMAP制度が定めた方法(標準監査手続)で実施され、監査法人に裁量はないとされています。監査結果は、ISMAP制度を運営しているIPAに送り、提出後は提出書類に関する質問に対応をして、その結果がISMAP運営委員会の会議にかけられ、ISMAPリストに掲載されるかが判断されます。

監査例

例えば、退職者のアカウント棚卸がなされていることの評価は、以下のように行います。退職者が発生した場合のルールを作り、そのルールを監査機関に示します。監査期間中に退職者の処理履歴をサンプルとして提示します。これが整備状況評価と呼ばれるもので、採用した管理策すべてについて毎年実施が必要となります。運用状況評価においては、まず監査期間中の退職者の一覧を提示します(母集団抽出)。次に監査機関が一覧から運用評価対象とする退職者をランダムで抽出します。抽出された対象者の退職処理がルール通りに実施されたことを示す証跡を提示し、監査機関が確認することで、運用監査が完了します。運用監査が必要かは年度によって異なります

[PR]
サイボウズでは、ISMAP監査対応をキントーンで構築したシステムで実施しています。

ISMAP監査対応システムのイメージ図
ISMAP監査対応システムイメージ

個別の管理策の採否・監査のステータスを管理でき、誰が担当なのかを管理できます。また管理策で必要な証跡をまとめ、前年度の履歴を参考にすることも可能です。キントーン ゲストスペース機能を使うことで、このシステム自体を監査法人と共有し、コミュニケーションすることができます。このようなシステムをノーコードで実現できるのがキントーンの特長です。プログラミングの知識がなくてもシステム化でき、OSSなどの脆弱性対策もサイボウズの運用チームが対応します。1ユーザー800円から利用できるので(最小5ユーザー契約)例えば、事業者側の担当5名、監査法人5名体制だと、月額8000円で、このようなシステムを利用できることになります。

まとめ

監査機関

ISMAPの監査においては監査機関の要件が定められており、適切に監査できる組織による監査となっています。

要求事項

要求事項は、国際規格に準じておりクラウドサービス事業者への要求事項は独自のものではなく、標準的なものとなっています。

監査

社内のルールおよび運用状況を監査しているため、形骸化されたルールのみ存在する状況では、監査は通らない。開発・運用をするメンバーに周知されたルールが整備され、ルール通りに運用されている必要があります。


サイボウズのセキュリティ室は、今後も企業のセキュリティ組織に役立つガイドラインや、書籍の紹介記事を掲載していきます。この記事がよかった、参考になったと思われた方は「好き」のクリックいただけると幸いです。また、セキュリティ室の取り組みや、セキュリティニュース、サイボウズに受信した怪しいメールなどの情報をツイートしています。@CybozuSecurityのフォローもお願いいたします。


この記事が気に入ったらサポートをしてみませんか?