ISMAP（政府情報システムのためのクラウドサービスの安全性評価制度）の現状と実務対応

1) ISMAPの現在地と“普及を阻む4課題”

目的：政府機関がクラウドを迅速・安全に調達するための共通評価・登録制度。現状の壁（要旨）：

1. 司令塔の不鮮明さ：複数府省所管。運営の最終責任・意思決定透明性が弱い。

2. 監査供給の脆弱性：監査機関が少なく価格競争が働きにくい。

3. 手続の重複・煩雑さ：他規格（ISO/SOC2 等）との重複監査をスキップしにくい。

4. コストの高さ：特にISMAP-LIU（低影響ユース）でさえ、スタートアップには重い。波及：DMP（デジタル・マーケット・プレイス）側の検索条件も影響し、非取得事業者が可視化されにくい→調達の選択肢が狭まる。

2) ベンダーにとっての実務リスク

• 公共案件の参入障壁：ISMAP/ISMAP-LIU未取得だとDMPでの発見性が低下。

• 営業・価格戦略への圧：監査費用が売価で吸収しにくい。

• 二重三重のコンプライアンス：EU・米国規制/顧客要求（ISO 27001, SOC 2 等）とISMAPの並走運用が必要。

• クラウド多様化の難易度：AWS/Azure/OCIなどマルチクラウドでの統制一貫性（ID・ログ・暗号化・運用記録）が問われる。

3) いま取り得る“現実解”ロードマップ（目安：16〜24週）

Phase 0（0–2週）：方針・適用範囲

• 政府向け提供範囲・データ区分・影響度を定義（ISMAP vs ISMAP-LIU 判定）。

• 既存認証とのクロスマッピング方針を決定（ISO/IEC 27001/27017/27018/27701、SOC 2、CSA STAR など）。

Phase 1（3–6週）：ギャップアセスメント

• ISMAP管理基準 × 既存統制のギャップ洗い出し（SoA相当の管理策一覧化）。

• 責任分界（Cloud SRM）：CSP/事業者/再委託の役割線を契約・運用両面で明文化。

• ログ要件の棚卸：認証・権限・構成変更・デプロイ・データ移送・インシデントを網羅。

Phase 2（7–12週）：統制・証跡の整備

• ポリシー群：ISMS基本規程、アクセス管理、脆弱性管理、委託管理、構成/変更管理、バックアップ、暗号、ログ/監査、IR（インシデント対応）。

• 証跡台帳：運用ログ（CloudTrail/Azure Activity/OCI Logging等）、権限差分、脆弱性スキャン、DR演習、外部委託点検、教育・訓練、定期レビュー。

• 運用品質KPI（検知率、是正SLA、脆弱性修復TTR 等）設定。

Phase 3（13–16週）：監査準備・監査機関アサイン

• 監査範囲・スコープ確定、サンプリング設計（運用3〜6カ月分のエビデンスを用意）。

• 価格・工数見積の複数比較、要件重複の合理化交渉（既存監査報告の活用）。

Phase 4（17–24週）：是正・登録・DMP整備

• 監査指摘の是正・再提出。

• DMP掲載に向けたセキュリティ白書（要約版）と自己適合宣言を整備（取得前でも可視化工夫）。

• ISMAP-LIU 先行→本ISMAPの二段構えも選択肢。

4) 監査コストを下げる具体策（“やれること”集）

• クロスマッピング：ISMAP管理策 ⇄ ISO 27001 Annex A / SOC 2 Trust Services Criteria の対応表を査読可能な粒度で整備。重複評価を最小化。

• 証跡の自動収集：CSPのネイティブ機能（AWS Config/GuardDuty、Azure Policy/Defender、OCI Cloud Guard 等）で継続モニタリング→月次レポートの定型化。

• リポジトリ一元化：チケット/変更/脆弱性/IR/教育ログを一つの台帳に紐づけ（ID・時刻・根拠URL）。

• 再委託の“透過化”：サブプロセッサー一覧と評価結果、契約条項（準委任・再委託/流出時通知SLA）をテンプレ整備。

• AIアシストは“補助”に限定：ポリシーの初稿生成や証跡分類支援に留め、最終判断は人で。一貫性・再現性・説明可能性を確保。

5) DMPで“見つけてもらう”ために（取得前〜取得直後）

• 検索ヒット対策：製品ページに「取得予定（時期・スコープ）」と代替の第三者評価（ISO/SOC、脆弱性レポート）を提示。

• セキュリティ概要1枚：データ区分、暗号、保管/移送、地域、権限最小化、監査ログ保持、IR体制を1ページで図示。

• ISMAP-LIU先行：低影響ユースを先に登録し、公共実績を可視化→本ISMAPへ拡張。

• 自治体向けQ&A集：想定質問への定型回答（データ所在地、再委託、可用性SLA、BCP/DR、個人情報の越境 等）。

6) 山崎行政書士事務所のご支援メニュー（ISMAP/ISMAP‑LIU 向け）

A. ISMAP FastTrack（戦略〜登録まで）

• 要件クロスウォーク：ISMAP ⇄ ISO 27001/27017/27018/27701、SOC 2、CSA STAR マッピング表（エビデンス要求まで落とし込み）。

• 責任分界・契約：CSP / 事業者 / 再委託の線引きと委託契約条項（監査権・報告・SLA・再委託制限・違約/補償）。

• 統制文書・運用規程：50+のテンプレ群（アクセスポリシー、脆弱性管理、IR手順、変更/構成管理、データ移送台帳 等）を、実インフラに合わせてカスタム。

• 証跡台帳/KPI：Cloudログ・変更・教育・IR・BCP演習の紐づけ台帳と月次レポート雛形。

• 監査機関RFP/見積比較：重複評価の省力化交渉、スコープ最適化支援。

• DMP/セキュリティ白書：取得前後の訴求資料（要約1枚／詳細版）を作成。

B. ISMAP‑LIU QuickStart（低影響ユースの短期登録）

• 対象機能の限定・データ区分を詰め、短期スコープでの登録を狙う。

• 将来の本ISMAP拡張を見据えたログ/権限/委託の設計（やり直しが出ない設計基準）。

C. クラウド証跡基盤（構成ガイド）

• ID/アクセス：Entra ID / AWS IAM / OCI IAM の権限設計、条件付きアクセス、多要素、鍵管理（KMS/HSM）。

• 監査ログ：CloudTrail / Azure Activity / OCI Logging の保持期間・改ざん耐性・アラート設計。

• デプロイ統制：IaC（Terraform等）＋CI/CDの4眼原則・本番分離・緊急変更手順。

• 越境/所在地：データロケーション制御、委託・再委託の可視化台帳。