ISMAP(政府情報システムのためのセキュリティ評価制度)登録支援サービス開始

リスクマネジメントコンサルティングを手掛けるニュートン・コンサルティング株式会社（本社：東京都千代田区、代表取締役社長：副島 一也）は2020年12月23日より、「ISMAP(政府情報システムのためのセキュリティ評価制度)登録支援サービス」を開始します。

政府機関がクラウドサービスを調達する際の制度、「ISMAP」が2020年6月から運用開始となりました。政府機関は「ISMAPクラウドサービスリスト」に登録されたものに限定して選定します。

クラウドサービス事業者（CSP）にとっては、ISMAPが要求するセキュリティ水準を満たし、サービスリストに登録されて初めて、政府情報システムの選定対象となり得ます。また、登録後は自社のクラウドサービスのセキュリティについて、国から「お墨付き」を得られた管理体制であることを対外的にアピールする効果も期待できます。

ISMAP(政府情報システムのためのセキュリティ評価制度)登録支援サービスは、お客様の整備・運用状況とISMAPが求める管理基準とのギャップを特定し、効率的な体制整備を行い、ISMAP登録へと導きます。

URL： https://www.newton-consulting.co.jp/solution/cyber/ismap.html

サービスリリースの背景

政府情報システムにおいて、調達先の前提が変わりました。

政府はクラウドサービスの利用を第一候補とする方針「クラウド・バイ・デフォルト原則」を示し、クラウドサービスの安全性評価についての検討を経て、ISMAPを策定しました。政府が求めるセキュリティ水準を満たしたサービスのみをあらかじめリストアップすることで、各政府機関がそれぞれ独自に評価する非効率を低減し、信頼できるクラウドサービスの利用を促進するためです。

調達先の候補リストである「ISMAPクラウドサービスリスト」は2021年2～3月に公開される予定です。

CSPが政府機関にクラウドサービスを提供するには、このリストへの登録が必須となります。また、民間にもこの制度を展開する方向が示されているため、顧客対象の官民を問わず、リストへの登録が商機獲得の第一歩となります。 一方、ISMAPが求めるセキュリティ基準は、1,000を超える管理策への対応を要求するもので、CSPはその対応に多くの時間を費やすことが見込まれます。

本サービスは、当社の知見を活かし、効率的な体制整備を提案いたします。サイバーセキュリティ対策支援やISO27001認証取得支援、リスクマネジメントに関する見識に基づいて、ISMAP登録に向けた支援をいたします。

サービスの特長

1）整備・運用状況を可視化し、ISMAPが求める管理基準とのギャップを特定します

ISMAPのセキュリティ要求事項に対し、包括的にリスクアセスメントを行い、ギャップを特定します。必要な対応を明確にして着手するため、手戻りを防いで推進できます。

2）他の外部認証取得状況を踏まえた効率的な体制整備を行います

ISMAPがベースとする下記の各種認証制度の取得状況や準拠状況を踏まえることで、共通する管理基準や要求事項を特定し、効率的な体制整備を行います。

• ISO27001
• ISO27002
• ISO27014
• ISO27017
• NIST SP800-53
• NISC 政府機関等の情報セキュリティ対策のための統一基準群

3）ISMAP管理基準の3部構成に完全対応しています

ISMAPへの対応はガバナンス基準、マネジメント基準、管理策基準の3軸から構成されており、経営レベルから現場までの幅広い対応が求められます。当社は経営層から現場まであらゆる階層の支援をモットーとしており、トップダウンとボトムアップの両面から支援が可能です。

4）脆弱性診断も実施いたします

ISMAPの登録に求められる脆弱性診断にもオプションで対応が可能です。

※脆弱性診断サービス：
https://www.newton-consulting.co.jp/solution/cyber/vulnerability_assessment.html

5）わかりやすい評価レポート・言明書を作成いたします

ISMAP登録審査 は、言明書の記載内容を基にして行われます。スムーズな審査のためには、評価の根拠を明確かつ端的に表現する必要があります。そのポイントを押さえた言明書の作成を支援します。

サービス概要

サービス提供の主な流れは以下の通りです。