自社サービスを「政府認定クラウドサービス」にしたい！ 準備には何が必要？ 専門家が解説：知っておこう、“政府認定クラウド”（2/2 ページ）

[森田成祐，ITmedia]

ISMAP取得を検討する上での注意点は？

　以上を踏まえ、自社サービスの「政府認定クラウドサービス化」を目指す企業が考慮すべき事項は何か。筆者は以下の3点に注意が必要と考えている。

1.そもそも、登録は必要か

　登録までに1〜2年の期間を要することもあり、ISMAP対応には相応の体力が必要となる。そもそものビジネスニーズからして、本当に認定を取得する必要があるのか、どのサービスをいつまでにリストに登録しなければならいのか、どのくらいのコストがかかるのか、コストメリットはあるのかなど、慎重に検討する必要があるだろう。

　一方、将来的な需要を見越して、早めに登録を目指した方がよい場合もある。まだ政府機関などによる具体的なニーズがないサービスだとしても、中長期的なビジネス戦略によっては、先行して登録する必要性が出るかもしれない。

2.ISMAP以外のコンプライアンス文書との兼ね合わせ

　ISMAP対応を検討しているクラウドサービス事業者は、特定の地域や分野固有の規制やセキュリティ要項に対応するために、ISMAP以外にもさまざまな基準の報告書や認証に関する監査を受けているケースもあるだろう。つまり、他の認証や監査制度のために集めた文書や証跡を、再利用できる可能性もある。

　ISMAPの管理基準はグローバルな標準規格である「ISO／IEC」を基礎として作られている。さらに「ISMAP情報セキュリティ監査ガイドライン」の「4.5 他の認証・監査制度等の証拠の利用」では「業務実施者が標準監査手続を実施する際に適切と見なす場合には、他の認証・監査制度や内部監査等において収集された証拠を利用することは可能である」と規定されている。

　そのため、他の基準、認証・監査制度への対応で作成している文書や提供している証跡を再利用することが可能か、何が不足しているかを理解することが、効率的なISMAP対応には欠かせない。他の認証・監査制度などとスコープ（対象サービス、評価期間など）を合わせ、監査対応への準備を効率化することも大切だ。

　一方で、情報セキュリティに関する国際規格「ISO27001」など、コンプライアンス対応をこれから検討する企業においては、「1.そもそも、登録は必要か」と同様の注意が必要だ。ビジネスニーズを踏まえ、どの認証、監査がビジネス上重要であるかを決定した上で、どのような順序で対応していくのが有効かつ効率的かを検討することが重要といえる。

3.ISMAPへの対応リソースは十分か

　1000を超える詳細管理策の評価においては、IT、コンプライアンス部門だけでなく、人事、法務、内部監査など複数の部署の関与が求められる。さらに、一般的にIT、コンプライアンス部門は、毎年行われる内部監査に加え、半年／年次／数年に一度の頻度で行われる監査にリソースを割いている。

　そのため、これらの関係者に対して、どのタイミングであれば監査対応が可能かを事前に協議・調整する必要がある。特に、ISMAP対応の初年度においては、ISMAP制度に習熟していないため、想定以上のリソースが必要となることを想定したリソース配分、スケジューリングが必要だ。登録申請書類の作成・提出、登録申請・審査におけるIPAからの問い合わせ対応などにかかるリソースも忘れてはならない。

---

　以上のように、政府認定クラウドサービスを目指す場合には、自社のビジネス、コンプライアンスの対応状況、リソースを考慮した戦略や計画を検討することが大切になる。

　さらに、今後は、2022年11月1日に公開された「ISMAP-LIU」など、制度変更への動きにも注視していく必要もあるだろう。次回の記事では、今回の知識を踏まえ、クラウドサービス事業者がつまづきがちな実務上のポイントを解説する。