SERVICECISOサービス
政府機関へクラウドサービスを提供する事業者は登録が必要に
DXを支える技術の一つにクラウドサービスがあります。すぐに環境構築ができることから急速な勢いで拡大しており、この波は政府機関へも到達することとなりました。2018年6月「クラウド・バイ・デフォルト原則」が発表され、政府機関の情報システム調達においても、クラウドサービスを第一候補とする方針が公式に宣言されました
同時に、クラウドサービスの安全性評価について、政府情報システムのためのセキュリティ評価制度(ISMAP)が策定され、2020年6月から制度の運用が始まっています。
※ISMAP=クラウド事業者が提供するクラウドサービスが安全に運営されているか、第三者機関により評価し「登録簿(ISMAPクラウドサービスリスト)」に登録する制度です。各省庁はクラウドサービスリストに登録されているサービスから調達することが方針として示されています。
2021年10月、デジタル庁は「デジタル庁におけるガバメント・クラウド整備のためのクラウドサービスの提供-令和3年度地方公共団体による先行事業及びデジタル庁WEBサイト構築業務-」の調達仕様書を公開しました。本調達はデジタル庁がクラウドサービスを利用した基盤構築を行う事業であり、その調達仕様書にはISMAP登録事業者であることが求められ、開札結果としてはAWSが選定されています。
AWS、Azure、GCPの各サービスはこうした状況を見越してISMAP制度開始時にサービス登録(2021年3月)しています。ISMAP登録には言明書を作成し、かつ、6ヶ月以上運用実績が必要であるため、1年近くかけて取得に取り組む必要があります。調達が公開されてから取り組みを開始しても、間に合わないと言えます。
◆ 約1,300及ぶ管理策と、社内規定 とのマッピング作業
◆ マッピング結果に基づく言明書の作成 → 言明書とともにPhase2以降の設計を行う
− 導入が必要なソリューションの提示や導入スケジュールの作成
− 変更が必要な規程類の提示など
◆ Phase1 で作成した言明書を全体設計図とし、現状との差分を分析
→「標準監査手続」を想定し、統制の変更や証跡の妥当性を評価、改善策を提示
◆ 監査法人が言明書に対する監査前事前調査を実施(管理策の導入状況の確認と証跡確認)
− 監査法人は言明書がISMAP監査に耐えうるものか事前調査を行います
− 当社が監査法人との窓口となり、監査法人とのやり取りを全面的に支援します
− 言明書の妥当性、及び現状とのGAPを説明し、監査時の確認ポイントを導出
→ 監査法人は事前確認においても1,300以上の項目に対する統制状況と運用状況を確認
→ ヒアリング対応、資料や証跡の整理等、監査対応に不慣れなお客様を総合的に支援します
◆ 要求事項実施支援
− ISMAP要求事項に含まれるマネジメントレビューや内部監査の実施
◆ ISMAP監査(監査法人監査)
− 標準監査手続に基づき監査法人がISMAP監査を実施
→監査時の受け答え等、当社がフロントとなってお客様の回答を支援
− 監査実施報告書作成(監査法人)
→監査結果に基づき監査法人が監査報告書を作成。
→指摘事項に対する対象方針の指導や証跡収集を支援
◆ 申請書類作成・IPAの申請
− 監査実施報告書に基づき、ISMAPサービスリストへの登録申請を行います
→ 申請後、IPAより多数の質問や証跡提示を求められることとなります
→ 回答遅延はサービスリスト登録の遅延を招くため、監査完了後、最速で登録できるように総合的に支援します
| Merit1 | 【2022年5月現在、ISMAP登録クラウドサービスの35件の内、複数社へのコンサルティング実績】 |
|---|---|
| Merit2 | 【四大監査法人出身者による総合的なコンサルティングサービス】 |
| Merit3 | 【アドバイザリにとどまらない踏み込んだコンサルティング。課題解決のためのソリューション提案】 |
| Merit4 | 【監査法人とお客様の間に入り、サービスリスト登録までを支援。その後の運用監査にも対応】 |
