　政府のクラウドサービス認定制度「ISMAP」。クラウドサービス事業者が自社サービスを登録するに当たっては、想定以上の工数や期間が必要になります。前回の記事では、リストへの登録を検討する段階での注意点を説明しました。しかし、登録を決めて、走り出した後にも、さまざまな“つまずきポイント”が待ち構えています。

　今回の記事では、監査機関・監査法人の立場で、クラウド事業者向けの認証制度や保証に関する取り組みに関わってきた筆者が、実際に登録を目指す上で事前に知っておきたい注意点を前後編に分けて解説します。

著者プロフィール：来田健司

PwCあらた有限責任監査法人ディレクター。国内外の金融機関に対するリスクアドバイザリー業務や事業継続／危機管理にかかわるアドバイザー業務に従事。その他、クラウドサービス・プロバイダーに対する保証業務や関連アドバイザリーも多数提供実績を有する。公認情報システム監査人（CISA）、CISSP。

ISMAPへの登録手順、つまずきポイントはどこ？

　まず、ISMAPへの登録がどのような手順で進むか整理します。基本的には（1）監査機関による本番評価前の「プレ評価」、（2）監査機関への評価依頼、（3）監査機関による本番評価、（4）報告書の提出・登録申請、（5）政府による登録審査、（6）登録簿への登録──といった順序で進みます。各工程に掛かる時間は以下の図の通りです。

スケジュールのイメージ

　特に注意すべきつまずきポイントがあるのは、このうち3箇所。（2）に至るまでの「検討段階」、（3）の「評価段階」、（4）～（5）の「登録申請段階」です。

監査機関に依頼する前に検討すべき3つの注意点

　まず検討段階では、「マイルストーン検討」「登録するサービス範囲の明確化」「社内における対応体制の確立」が必要です。

登録には1年超かかる場合も　マイルストーン設定が重要に

　ISMAP登録においては、対象のサービスがすでに複数の外部評価を受けているケースであっても、「プレ評価」から登録申請までに約1年程度かかります。そして政府への登録申請から登録完了までには、さらに3カ月超が必要です。

　特に初回登録の場合、スケジュールの不確実性が高く、かつ長期間にわたるプロジェクトになりがちです。実際の作業に入る前に、まずは目指すべき期日（登録完了日）を仮決めし、各種マイルストーンを設定しながら、定期的に実現可能性を検証していくことが重要です。

　また、登録までの一連のステップには、特に時間がかかる工程や、期限のある工程もあります。例えば、以下のような工程が挙げられます。

観察手続きの対応期限

　監査機関による評価手法の1つに「観察」があります。この評価では、監査人が現地（またはリモート）で、施設やシステム環境を確認します。その性質上、地理的・時間的な制約の影響を受けることが多く、関係者に口頭・文書で問い合わせる「質問」、文書を確認する「閲覧」に比べ、時間がかかる傾向にあります。

　一方で、観察の手続きは、監査の対象期間中に完了させる必要があり、後の工程と並行して進めることができません。

　仮に早期の初回登録を目指し、（3）の期間を3カ月など短く設定する場合、結果として観察に割当できる期間も短くなる点に注意が必要です。プロジェクトの早い段階から関連部門や監査機関と調整し、日程に余裕を持つ他、閲覧などの手続きよりも優先的に進めることが理想です。

報告書の発行期限

　監査機関は、監査対象期間の末日から原則最大3カ月以内に報告書を発行する必要があります。一見、余裕のあるようにも見えますが、実はスムーズに進捗している場合でも終了日から2カ月以上はかかります。

　というのも、監査機関側の仕事は、監査対象期間の末日に全てが完了するわけではありません。それ以降も、報告書の作成期限までに終わらなかった手続きをすべて完了するなどの業務が発生します。

　さらに評価対象期間における関連証跡を複数サンプルして、管理策の実施状況を確認する「サンプルテスト」の手続きや報告書の作成も必要です。クラウドサービス事業者側でも、監査対象期間終了後にも相応の作業が継続的に発生することを念頭に、人員の確保を含めた対応計画を検討しておくことが望ましいでしょう。

識別された発見事項の実施期限

　監査機関による監査の中で、ISMAPの要求事項に適さない管理策、いわゆる「発見事項」が検出された場合は、さらなる手間がかかります。登録・更新申請のフェーズで、報告書の日付から2カ月以内に改善することが示された改善計画書の提出が必要です。初年度、発見事項が全く存在しないことはまれです。相応の作業が発生することを念頭に、あらかじめ対応計画に含めておくことが望ましいです。

登録範囲はどこからどこまで？　事前の協議を

　　　　　　 1|2 次のページへ