「ISMAP管理基準(案)」等に対する意見募集 (2025.09.18)
こんにちは、丸山満彦です。
ISMAPの管理基準の改訂案について意見募集が行われています。
いろいろと批判がある中で、ここまでよくまとめましたね...大変だったと思います。お疲れ様です!!!
● eGov
・2025.09.18 「ISMAP管理基準(案)」等に対する意見募集について
命令などの案
- [PDF] ISMAP管理基準(案)
- [PDF] ISMAP管理基準_別表1〜3(案)
- [PDF] ISMAP管理基準_参考1、2(案)
- [PDF] ISMAP管理基準改定概要資料
関連資料、その他
- [PDF] ISMAP管理基準 新旧対照表
- [PDF] ISMAP管理基準_別表 新旧対照表
設計思想そのものに関わる問題とかもあると思っていますが、まぁこれは今回のパブコメの範囲外ということで (^^;;
(監査法人による非保証の確認手続き+運営委員会による認定をやめて、FedRAMPと同じようにすればよいかも...)
今回の管理基準の内容について細かいところは他の人がよくみてくれると期待して、本質的な部分でちょっと、これは外国の人(特に米国政府関係者)がみたら、カッコ悪いなぁいうところがあるので、そこだけ、直しておいた方が良いのではないかなぁということで、(正式にパブコメとして出すかもしれませんが)ご紹介をしつつ、皆様の意見も合わせて聞けたらなぁ...と思い、書きますね...
気になった点は、ISMAPの管理基準の位置付けの説明なんです...
論理的にはあきらかに「えっ」となってしまう点なので、実務への影響もないし、修正をしておいたほうがよいと思うんですよね...
ということで、ちょっと参考まで...
・[PDF] ISMAP管理基準(案)
1.2 基準の特質
本制度においては、情報セキュリティ監査の仕組みを活用した枠組みを活用することとしている。これは、民間において実施されている情報システムに関するセキュリティ監査により、既に一定程度の知見が集積していること、一定の評価水準を確保することが可能なこと、運用後の継続的な確認が可能であることといった観点による。
こうした観点から、本管理基準は、国際規格に基づいた規格(JIS Q 27001:2023、JIS Q 27002:2024、ISO/IEC 27014:2020)に準拠して編成された「情報セキュリティ管理基準(令和7年改正版)」(以下「情報セキュリティ管理基準」という。)及び国際規格に基づいた規格(JIS Q 27001:2014、JIS Q 27002:2014、JIS Q 27017:2016)に準拠して編成された「クラウド情報セキュリティ管理基準(平成 28 年 3 月版)」(以下「クラウド情報セキュリティ管理基準」という。)を基礎としつつ、「政府機関等のサイバーセキュリティ対策のための統一基準群(令和7年度版)」(以下「統一基準」という。)及び「NIST Special Publication 800-53 Revision 5」(以下「SP800-53」という。)を参照して作成されている。
↓
1.2 基準の特質
本制度においては、情報セキュリティ監査の仕組みを活用した枠組みを活用することとしている。これは、民間において実施されている情報システムに関するセキュリティ監査により、既に一定程度の知見が集積していること、一定の評価水準を確保することが可能なこと、運用後の継続的な確認が可能であることといった観点による。
こうした観点から、本管理基準は、政府統一基準を基礎としつつ、国際規格に基づいた規格(JIS Q 27001:2023、JIS Q 27002:2024、ISO/IEC 27014:2020)に準拠して編成された「情報セキュリティ管理基準(令和7年改正版)」(以下「情報セキュリティ管理基準」という。)及び国際規格に基づいた規格(JIS Q 27001:2014、JIS Q 27002:2014、JIS Q 27017:2016)に準拠して編成された「クラウド情報セキュリティ管理基準(平成 28 年 3 月版)」(以下「クラウド情報セキュリティ管理基準」という。)及びFedRAMPにおけるModerateの要求事項を参照して作成されている。ただし、クラウドサービス事業者、情報セキュリティ監査人は情報セキュリティ管理基準の取り扱いに慣れていることを鑑み、外観について情報セキュリティ管理基準を意識したものにしている。
と説明するべきなのだろうと思います...
主従の変更;主は政府統一基準、従は情報セキュリティ管理基準等。これはFedRAMPの[ELSX] FedRAMP Security Controls Baselineを見てもらうと一目瞭然です...
SP800-53の削除;SP800-53は米国連邦政府特有の基準であり、ISMAPにおいて参照する必然性はない(政府統一基準の作成時に抜け漏れチェックに使うと良いと思う)。ISMAPにおいて参照すべきは同様の位置付けにあるFedRAMPの基準。基準の不足を補うためではなく、FedRAMP取得事業者の便宜を図るためというかんじかな(不足がある場合は、クラウド情報セキュリティ管理基準を改訂するという話かもですね)。
・[PDF] ISMAP管理基準_参考1、2(案)
【参考1】各規格類の参照における考え方(案)
(参考1)各規格類の参照における考え方
第1章に規定しているとおり、本管理基準は国際規格をベースに統一基準及びSP800-53を参照して作成されている。ここでは、これらの規格を参照するにあたっての考え方を記述する。
統一基準は政府機関等が順守すべき事項を規定している。これらの事項は、クラウドサービス事業者が実施すべき対策に加えてクラウドサービス利用者が追加的な対策をして初めて達成されるものであり、統一基準の項目をそのままクラウドサービス事業者に求めるのは適切ではない。このため、政府統一基準の目的と趣旨に則して、クラウドサービス事業者が主体として行うべき内容を勘案し、基準項目としての読み替えを行った上で、「クラウドサービス事業者が実施しなければ、クラウドサービス利用者が統一基準を満たすことに支障を来す内容か否か」の観点から、クラウドサービス事業者に求めるべき内容であると判断されるものについて追加及び内容を一部追加する形で整理を行った。
また、統一基準をはじめ参考としている基準の多くはオンプレミスの情報システムの利用者が実施主体であり、クラウドサービス事業者を実施主体として策定されたものではない。係る観点から、以下の3つの定型管理策への読み替え作業を行った。管理策基準における定型管理策は【参考2】のとおり。
●定型管理策1:クラウドサービス事業者が自ら該当管理策を実施すべきもの
●定型管理策2:政府機関が該当管理策を実現するために、クラウドサービス事業者が機能提供すべきもの
●定型管理策3:政府機関が該当管理策を実施できるように、クラウドサービス事業者が情報提供すべきもの
SP800-53は、海外の基準の中で運用実績が長く、複数回の基準更新が行われてきたことから、基準を検討する上で参考とした。この際、クラウドサービスを対象としていること、政府として最も多く扱われる機密性2の情報を扱うことを想定した水準としたこと、国際規格との対応関係という観点から、FedRAMPにおいてModerateの要求事項とされている項目であって、ISO/IEC 27001との比較において、ISO/IEC 27001では対応が取れていないとされている項目について検討の対象を絞り込み追加及び内容を一部追加する形で整理を行った。
↓
【参考1】各規格類の参照における考え方(案)
(参考1)各規格類の参照における考え方
第1章に規定しているとおり、本管理基準は統一基準をベースに情報セキュリティ管理基準、FedRAMPの要求事項を参照して作成されている。ここでは、これらの規格を参照するにあたっての考え方を記述する。
統一基準は政府機関等が順守すべき事項を規定している。これらの事項は、クラウドサービス事業者が実施すべき対策に加えてクラウドサービス利用者が追加的な対策をして初めて達成されるものであり、統一基準の項目をそのままクラウドサービス事業者に求めるのは適切ではない。このため、政府統一基準の目的と趣旨に則して、クラウドサービス事業者が主体として行うべき内容を勘案し、基準項目としての読み替えを行った上で、「クラウドサービス事業者が実施しなければ、クラウドサービス利用者が統一基準を満たすことに支障を来す内容か否か」の観点から、クラウドサービス事業者に求めるべき内容であると判断されるものについて追加及び内容を一部追加する形で整理を行った。
また、統一基準をはじめ参考としている基準の多くはオンプレミスの情報システムの利用者が実施主体であり、クラウドサービス事業者を実施主体として策定されたものではない。係る観点から、以下の3つの定型管理策への読み替え作業を行った。管理策基準における定型管理策は【参考2】のとおり。
●定型管理策1:クラウドサービス事業者が自ら該当管理策を実施すべきもの
●定型管理策2:政府機関が該当管理策を実現するために、クラウドサービス事業者が機能提供すべきもの
●定型管理策3:政府機関が該当管理策を実施できるように、クラウドサービス事業者が情報提供すべきもの
FedRAMPの要求事項は、海外の基準の中で運用実績が長く、複数回の基準更新が行われてきたことから、基準を検討する上で参考とした。この際、クラウドサービスを対象としていること、政府として最も多く扱われる機密性2の情報を扱うことを想定した水準としたこと、国際規格との対応関係という観点から、FedRAMPにおいてModerateの要求事項とされている項目であって、ISO/IEC 27001との比較において、ISO/IEC 27001では対応が取れていないとされている項目について検討の対象を絞り込み追加及び内容を一部追加する形で整理を行った。
・[PDF] ISMAP管理基準改定概要資料
3/8の「ポイント① 最新の国際規格の取り込み」もできたら図の全体を左右反対にした上で、SP800-53は削除し、政府統一基準からISMAP基準が作られたようにするのがよいのではと思います。「情報セキュリティ管理基準」や「クラウド情報セキュリティ管理基準」は補足的な位置付け。
SP800-53 Rev.5が比較的新しい基準であり、網羅的であることから、それを教科書にして抜けている項目をうまく拾い出し、よい基準にしたいという作成者の気持ちはわかるし、そうするべき実利もあるのですけどね...
・SP800-53 - FedRAMP
・統一基準 - ISMAP
という相似形を保った方が良いと思いました (^^)
おつむ悪いと思われるのはいやだなぁ...ということだけなのですけどね...
ちなみにFedRAMP
● FedRAMP
文書
評価基準(High, Moderate, Low, and LI-SaaS)
・・[ELSX] FedRAMP Security Controls Baseline
マーケットプレイス
=>日本に比べて圧倒的に多い...
・評価者(Assesors 49@2025.09.20)
=>49と日本に比べて圧倒的に多い...ただし、1件も評価していない団体が17あり、実質32。
上位6社(太字)の合計で80%を超える。
Big4のうち登録しているのは、DeloitteとKPMG。うち評価をしているのはDeloitteのみ。
« 中国 サイバーセキュリティ・インシデント報告管理弁法 (2025.09.15) | Main | 中国 未成年ユーザー数が膨大で未成年者集団に顕著な影響を与えるオンラインプラットフォームサービス提供者の認定弁法(案) »
Comments