「ISMAPに対応する情報セキュリティ監査および事前診断サービス」を提供開始

2020年6月3日付で経済産業省・内閣官房・総務省より「政府情報システムのためのセキュリティ評価制度（ISMAP）」の運用開始が発表されました。クラウドサービス事業者は、自社サービスを政府情報システムに納入するため、ISMAPクラウドサービスリストへの登録が必要となります。
あずさ監査法人は、上記検討会の監査ワーキンググループにおける議論・検討、監査実証に参加し、基本的枠組み作りに携わってきました。本制度は、各種政府機関等のクラウドサービス調達におけるセキュリティ水準の確保、およびクラウドサービスの円滑かつ効率的な導入を目的としています。本制度の下で整備される「ISMAPクラウドサービスリスト」は、重要産業分野等をはじめとした民間においてもそれを参照し、クラウドサービスの適切な活用の推進が期待されています。

当法人は、クラウドサービス事業者が行った内部統制に関する言明書に対し、本制度で定められた監査基準・手続等に基づき情報セキュリティ監査を実施し、登録申請に必要な「実施結果報告書」を提供します。
具体的には、登録の申請に先立ち、クラウドサービス事業者がISMAP管理基準に準拠して選択し言明書に記載した統制目標および詳細管理策に係る遵守状況について、本制度において予め定められた監査基準等に基づいて、以下のような観点から評価（ギャップ調査）を行い、言明された内容と実態との差異を実施結果報告書に記載します。

• 言明書に記載された統制が監査の対象期間内の一時点において整備されているか（整備状況）
• 整備した統制が監査の対象期間にわたり有効に運用されているか（運用状況）

本制度への登録を目指す事業者は、各種国際基準等に基づき策定された「ISMAP管理基準」に準拠して、自社クラウドサービスの対応状況を確認し、言明書に適合状況を表明する必要があります。1,000を超える項目に記載された標準管理策の内容と、それらに対応するリスクを理解する必要があり、自社の特定の部門のみで行うことは容易ではないことが想定されます。当法人では情報セキュリティおよび監査の専門家が「ISMAP対応事前診断サービス」として、クラウドサービス事業者が行ったリスク分析結果を踏まえ、クラウド情報セキュリティ監査に向けた効率性も考慮した上で事前準備をサポートします。

あずさ監査法人は、内部統制監査、SOC報告書^※3の監査等を通じて情報システムの監査に深い知見を有し、情報セキュリティ関連資格保有者を多数擁するIT監査部が中心となり、初年度は約70名体制で業務を行います。また、KPMGジャパン内で連携し、豊富な業界・業務の知見を活かしたサービスを提供します。

^※1あずさ監査法人は2020年8月20日付で政府情報システムにおけるクラウドサービスのセキュリティ評価制度における監査機関に認定され、ISMAP監査機関リストに登録されています（2020年9月4日更新）。
^※2本業務は、ISMAP情報セキュリティ監査ガイドライン第1章「1.2本制度における監査業務の特質」に準拠して手続を実施します。業務実施者の報告は、手続実施結果を事実に即して報告するのみにとどまり、手続実施結果から導かれる結論の報告も保証の提供も行いません。
本業務は、登録申請に必要な「実施結果報告書」の作成・提供が本旨であり、本制度の性質上、ISMAP管理基準の遵守状況と実態の間にギャップが発見された場合に改善提案を行うことは想定していません。
^※3SOC報告書：Reporting on Controls at a Service Organization

有限責任 あずさ監査法人は、全国主要都市に約6,000名の人員を擁し、監査や各種証明業務をはじめ、財務関連アドバイザリーサービス、株式上場支援などを提供しています。金融、情報・通信・メディア、製造、官公庁など、業界特有のニーズに対応した専門性の高いサービスを提供する体制を有するとともに、4大国際会計事務所のひとつであるKPMGインターナショナルのメンバーファームとして、147ヵ国に拡がるネットワークを通じ、グローバルな視点からクライアントを支援しています。