1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. セキュリティ用語
  5. ISMAPはどうやって登録する?登録の流れと費用を解説

ISMAPはどうやって登録する?登録の流れと費用を解説

セキュリティニュース

投稿日時: 更新日時:

ISMAPはどうやって登録する?登録の流れと費用を解説

政府向けクラウド市場に参入するうえで、ISMAP登録はいまや「事実上の必須条件」となりました。
しかし、1,000項目超の管理策への対応と毎年の外部監査により、初期だけで数千万円〜1億円弱、維持にも年間数千万円規模のコストが発生し得ます。
本記事では、ISMAP/ISMAP-LIU登録のプロセスを整理しつつ、どのフェーズでどの程度の費用がかかるのかを具体的に解説します。

ISMAP登録制度の概要

ISMAPは、政府が利用するクラウドサービスの安全性を統一基準で評価し、登録する制度です。政府調達では実質的な必須条件となっており、登録を目指すクラウドサービス事業者は、ガバナンス体制の整備、リスクアセスメント、管理策の実装など、ISMSよりも広範で厳格な要求に対応する必要があります。基準はガバナンス・マネジメント・管理策の3層で構成され、特に管理策基準は1,000項目超と細かく、文書化と運用証跡の準備に大きな工数が発生します。この作業量の大きさが、ISMAP登録までのコストが高額化する大きな要因です。

費用面では、通常版ISMAPの場合、外部監査費用、コンサルティング費用、社内の人件費(内部工数)、脆弱性診断・ログ基盤などの技術対策費を合算すると、初期コストは数千万円〜1億円弱に達するケースが一般的です。取得後も毎年の外部監査や運用維持のために、年間数千万円規模のランニングコストが発生し得ます。対してISMAP-LIUは、監査対象や管理策が絞られる分、初期費用は1,000万〜3,000万円程度に抑えやすい一方で、継続的な運用・監査対応が必要である点は変わりません。

また、通常版とは別に、影響度の低いSaaS向けにはISMAP-LIUが設けられており、要求範囲が絞られる分、監査工数・対策費も抑えやすくなっています。

本記事では、この基準に基づく登録の流れと、実際にどの程度の費用がかかるのかを解説します。

ISMAPの制度については、こちらの記事で解説しています。

ISMAP登録の全体像

ISMAP登録までのプロセスは、一般的には、体制構築、ギャップ分析、対策実施、内部監査、外部監査、申請、登録という流れで進みます。

まず、ガバナンス体制やサービス運用の基盤を整え、次に管理基準に対してどの程度対応できているかを洗い出します。ここで不足が多い場合、文書整備・設定変更・運用手順の追加など、多くの対策工数が発生します。

特に負荷が大きくなるのはギャップ分析〜対策実施のフェーズで、ISMAP特有の詳細な管理策(1,000項目超)に対し、設定管理・ログ管理・委託先管理など実装レベルまで対応する必要があります。また、外部監査も数週間単位の準備が必要で、監査費用も最も大きなコストとなります。これらの要因を全てこなすことで初めて申請に必要な書類が揃い、申請することが可能になります。そのため、1年以上の取り組みになることは珍しくなく、2年〜3年かかるケースも見受けられます。

一方、ISMAP-LIUは影響度の低いSaaS向けに要求範囲が限定されるため、とくに外部監査で工数が軽減されるようになっています。

ISMAP登録の流れ

1.体制構築

ISMAP登録の最初のステップは、ガバナンス基準・マネジメント基準に沿った体制を整えることです。経営層の関与、役割と責任の明確化、リスク管理の基本方針、運用ルールの整備など、ISMSに近いプロセスをベースにしつつ、よりサービス運用に直結する体制づくりが求められます。

とくに重要となるのが適用範囲の決定です。どのサービス・機能・データ範囲をISMAPの対象とするかで、後続のギャップ分析や監査の工数が大きく変わります。また、サービス提供に関わる社内外の関係者(開発、運用、委託先など)をどこまで巻き込むかも、この段階で整理しておく必要があります。

2.ギャップ分析(リスクアセスメント)

体制を構築したあとは、現在の運用を前提にしつつ、ISMAPの要求にどこまで対応できているかを整理していく必要があります。ISMAPの取り組みでは、管理策基準に準拠するようにセキュリティ対策を実施しなくてはなりません。そのためには、管理策基準の1,000項目超の各管理策に対して現在の対策状況を確認し、どの項目が満たせていて、どこに不足があるのかを整理する必要があります。この作業がギャップ分析に該当し、取り組みで必要となるリスクアセスメントと兼ねる場合もあります。

管理策基準の各管理策では、アクセス管理、ログ管理、開発・変更管理、委託先管理など、実装レベルまで踏み込んだ統制が求められるため、このフェーズでは最も多くの差分が見つかる工程になります。特に、証跡(ログ、記録、設定値、手順書)の有無によって適合可否が変わるため、関係部門とのすり合わせも多く発生します。

ここで洗い出された差分が、そのまま対策実施の作業量と費用に直結します。差分が多い場合、見積もる対策工数や費用が膨れることもあります。対策やその後の運用の実現可能性、ISMAP登録で見込まれる利益との費用対効果によっては、この時点で取り組みを断念することもあります。逆にいえば、このギャップ分析を丁寧に解像度高く実施しておかなければ、その後の取り組みの途中で手戻りが多発したり、対策の仕掛かりで断念する事態にもなりかねず、注意が必要です。

3.対策の実施

対策の実施では、ギャップ分析で特定した不足部分に対し、文書化や技術的・組織的対策の実装をおこないます。ここはISMAP登録における最も工数が大きい工程の一つで、手順書・規程・運用記録といった文書整備に加え、設定管理、ログ取得・保管、アクセス管理、委託先管理など、運用現場での具体的な統制を実際に仕組みとして形にしていきます。

文書化作業では、要求されている管理策数から文量も多くなり、規程を修正する必要が生じる場合もあります。規程の修正では、所轄部門が複数に渡ることもあり、また、承認までに時間を要することも少なくありません。また、技術的対策では、既存のクラウド設定やログ運用を見直すこともあり、追加ツールの導入や設定変更が費用要因となるケースもあります。

ISMAP-LIUの場合、適用管理策の範囲が限定されるため、実装する対策の総量は通常版より少なくなる傾向がありますが、それでも追加の対策がゼロになることはほぼないでしょう。

ここで整備した文書と証跡がそのまま外部監査の対象となるため、このフェーズの完成度が後工程の工数と監査リスクを大きく左右します。

4.言明書の作成

言明書は、ISMAP登録において外部監査に臨むときに必須となる最重要文書です。対策の実施までで整備した取り組みを申請者自身が整理し、第三者に説明できる形にまとめたものになります。この文書が不十分であると、監査機関が適切に評価できず、監査自体が進められない、または監査工数が増える原因となります。

申請者は、実施した管理策に基づいて、どの統制目標にどの対策で対応しているか、例外や適用除外がある場合はその合理的理由を、言明書内で明確に示します。

言明書には、以下の内容が含まれ、これらが監査の検証対象となります。

  • 言明の対象範囲
  • 監査対象期間
  • 管理基準でどの統制目標を実施しているか(基本言明要件)
  • 選択した詳細管理策に対して具体的に設計・実施した個々の対策内容
  • 統制目標(3桁)を適用対象外とした場合の合理的な理由
  • 監査対象期間末日以降に発生した統制に影響を与える重大な出来事(後発事象)

言明書は外部監査に進む前に必ず完成させる必要があり、この文書の精度が監査効率を大きく左右します。そのため、ISMAP登録のプロセスの中でも、最も慎重に取り組むべきステップの一つと言えるでしょう。

5.内部監査

内部監査の目的は、ISMAP登録に必要な取り組みが、組織が定めた要求事項およびISMAP管理基準に適合しているか、また有効に実施・維持されているかを確認することです。

内部監査は監査計画、実施、報告という流れで行い、最後は報告書として文書化します。この報告書は、登録申請時に、ISMAP運用支援機関(IPA)へ提出することになります。

内部監査は、言明書に記載される監査対象期間の末日前1年以内に実施している必要があるため、実施する時期には注意が必要です。

ISMAP-LIU の場合、外部監査の対象範囲(特に管理策基準)が通常のISMAPより限定されることから、内部監査の内容と実施状況の説明については、より重視されることになります。

6.外部監査

外部監査は、ISMAP監査機関リストに登録された第三者監査機関と契約し、申請者が作成した言明書を基に、ISMAP標準監査手続に沿って評価を受ける工程です。監査の対象は、言明書に記載した統制目標と、それに対して申請者が実施した管理策・証跡であり、それらが整備・運用されているかを、文書審査や設定値・ログの確認を通じて検証します。監査対象期間は最大1年間で、その期間の証跡が評価の中心となります。

ISMAP-LIUでは、低リスクのSaaSを前提にしているため、外部監査の対象はサービス基盤や構成に重大な影響を与える領域(例:アクセス管理、開発・変更管理など)に絞られ、その他の管理策は複数年に分散して監査されます。これにより、標準ISMAPより監査工数が抑えられる傾向があります。

監査後は、監査機関が実施結果報告書を作成し、申請者へ提出します。不適合があった場合、申請者は報告書の日付から2カ月以内に改善計画書を提出し、必要に応じて是正対応を行います。

7.登録申請

外部監査が完了し、実施結果報告書と改善計画書(必要な場合)が揃ったら、ISMAP登録に向けた最終ステップとして登録申請を行います。申請はISMAP運用支援機関(IPA)に対して提出し、必要書類をすべて整備したうえで実施します。

申請には、以下の主要書類が含まれます。

  • 言明書(統制目標・管理策への対応内容、適用除外の理由などを記載)
  • 外部監査の実施結果報告書
  • 改善計画書(不適合があった場合)
  • 内部監査結果に係る報告書
  • 登録申請書
  • 経営者確認書
  • 各種添付書類(運用証跡、構成図、管理策の対応状況など)

IPAでは提出書類に基づき形式的な確認を行い、その後 ISMAP運営委員会による審査を経て、基準に適合すると判断された場合にISMAPクラウドサービスリストへの掲載が行われます。掲載が完了すると、初めてISMAP登録サービスとして扱われ、官公庁の調達要件を満たす状態となります。

ただし、登録は一度で終わりではありません。登録後も、内部監査の継続や必要に応じた外部監査、運用状況の維持が求められ、継続的な負荷が発生します。ISMAP-LIUであっても、適用した管理策の運用継続と定期的な監査は必須です。

登録申請はプロセス全体の最終工程ではありますが、書類の不備や監査の指摘事項が残っていると差し戻しが発生し、登録時期が遅延することもあるため、最後まで慎重に進める必要があります。

ISMAP登録にかかる費用相場

ISMAPは、登録申請自体に手数料はかかりませんが、外部監査の実施、社内準備、技術的対策の実装などのために、多額のコストが発生します。費用の内訳はおおまかに 外部監査費用、コンサルティング費用、内部リソース(人件費)、技術対策費用 の4つに分類できます。

外部監査費用

ISMAP取得において最も大きくなる費用項目です。ISMAPの監査は項目数が膨大で、証跡確認にも相応の工数が必要となるため、一般的には数千万円〜5,000万円前後の規模になることが多いです。ISMAP登録を目指すサービスの場合は規模も大きいことが多く、その影響で監査工数が多くなることも影響しているようです。

また、ISMAPは初回だけでなく毎年外部監査が求められるため、継続的な費用負担も大きい点が特徴です。

ISMAP-LIUでは、監査対象が通常版より大幅に縮小され(おおむね1/5規模とされることもあります)、監査費用は抑えられます。これはISMAP-LIUの一番のメリットでもあるでしょう。

コンサルティング費用

ISMAPでは要求内容が非常に細かく、証跡の整備や運用プロセスの構築にも専門的な知識が必要になります。そのため、多くのクラウドサービス事業者が外部のコンサルティングサービスを利用しています。コンサルティング費用の水準には幅がありますが、数百万円から数千万円規模となるケースが多いようです。内訳として、ギャップ分析、文書整備、運用設計、監査対応支援などがありますが、この支援範囲によって費用は大きく変動するため、ISMAP取得に伴う費用項目の中でも特にばらつきが大きい点が特徴です。

内部リソース(人件費・工数)

社内で発生する内部工数もISMAP取得では大きな負担になります。ISMAPでは証跡の量と粒度が非常に細かく求められるため、規程類や手順書の整備、運用記録の作成、ログ取得や保管方法の見直し、委託先管理の強化など、多岐にわたる作業が発生します。これらは一部の担当者だけで完結するものではなく、開発部門、運用部門、法務部門、セキュリティ部門など複数のチームを巻き込んだ横断的なプロジェクトになることが一般的です。

また、ISMAP対応には専任担当者を1名以上アサインするケースも多く、取り組み期間も1年以上に及ぶことが珍しくありません。その結果、内部リソースを人件費に換算すると数百万円から数千万円規模に達する可能性もあります。特に証跡の準備は複数部門の協力が不可欠で、内部調整に多くの時間がかかる点が、この工程の負荷をさらに高める傾向にあります。

技術対策費用

ISMAP申請では、提供するクラウドサービスに対して第三者による脆弱性診断やペネトレーションテストを実施し、その結果の提出を求められることもあります。サービスの安全性を客観的に確認するための重要な工程であり、規模によって費用の振れ幅が非常に大きい点が特徴です。

診断費用は数百万円程度からはじまりますが、対象システムが大規模であったり、複数の環境・コンポーネントを含む場合には、総額が数千万円規模に達することもあります。とくにサービス構成が複雑なクラウド事業者では、対象となる範囲が広がることでテスト工数が増え、費用が膨らみやすい傾向があります。

さらに、ISMAPの要求に合わせてアクセス管理やログ取得の仕組みを強化する必要が生じる場合には、新たなセキュリティツールの導入が必要となることもあります。その際には、ツールのライセンス費用や導入にかかる構築費用が別途発生し、技術対策全体のコストをさらに押し上げる要因となります。

どのくらい費用を見ておくべきか

外部監査費用、コンサルティング費用、内部リソース、技術対策費用を合算すると、ISMAP取得に必要となる初期費用はかなり大きな金額になる傾向があります。通常版のISMAPでは数千万円〜1億円弱程度のレンジに収まるケースが多い一方で、ISMAP-LIUは監査対象が絞られるため、1,000万〜3,000万円ほどに抑えられることもあります。

取得に必要なのは初期費用だけではありません。ISMAPは維持コストも大きく、初回取得後も外部監査・内部監査・運用維持のために年間数千万円規模のコストが継続することもあります。他のセキュリティ認証(ISO/IEC 2700127017など)が数百万円で取得できることと比較すると、ISMAPの負荷は桁違いといえます。

初期投資と運用負荷の両面を踏まえて、官公庁案件の獲得可能性や長期的な事業戦略と照らし合わせながら判断することが重要です。

まとめ

ISMAPの取得には、外部監査費用や社内対応の工数、技術的対策の実装など、初期・継続の双方で大きな投資が必要になります。維持のための外部監査も毎年求められることから、登録後も一定のコストが固定的に発生します。一方で、政府調達や公共領域の案件ではISMAPが事実上の要件となるケースが多く、該当市場への参入を目指す企業にとっては大きな競争力につながります。

また、ISMAP-LIUは通常のISMAPほど要求が広範ではないため、初期のハードルを抑えたいSaaS事業者にとって現実的な選択肢になり得ます。とはいえ、どちらの区分であっても一定の対策工数と運用負荷は避けられません。

そのため、ISMAPへの取り組みは費用対効果を軸に判断することが重要です。見込まれる受注規模や事業戦略との整合性を踏まえ、自社にとって本当に必要な投資か、あるいはLIUで段階的に進めるかなど、リターンと負荷のバランスを慎重に見極めることが求められます。

安易に着手するのではなく、必要性とリスクを丁寧に検討したうえで判断することが、結果として最も堅実な進め方となるでしょう。

関連記事

ISMAPとは?政府の情報システムに求められるクラウドセキュリティ評価制度を解説ISMAPとは?政府の情報システムに求められるクラウドセキュリティ評価制度を解説 Cloudflare(クラウドフレア)、ISMAPの登録完了Cloudflare(クラウドフレア)、ISMAPの登録完了 ISMSの内部監査とは?監査の種類や特徴、流れを解説ISMSの内部監査とは?監査の種類や特徴、流れを解説 サイバー攻撃やランサムウェアによる被害を受けた際の社内・社外対応の流れサイバー攻撃やランサムウェアによる被害を受けた際の社内・社外対応の流れ Default Thumbnailゼロトラストとは?概念や今までのセキュリティとの違いを解説 「セキュリティ対策評価制度(SCS評価)を取らないと入札除外」は誤り-経済産業省が不適切な営業活動に注意喚起「セキュリティ対策評価制度(SCS評価)を取らないと入札除外」は誤り-経済産業省が不適切な営業活動に注意喚起 ISMS認証のコンサルは何をしてくれる?支援内容と注意点を解説ISMSのコンサルは何をしてくれる?支援内容と注意点を解説 ISMS認証取得コンサルの費用はどれくらい?コンサルの特徴と相場を解説ISMS認証取得コンサルの費用はどれくらい?コンサルの特徴と相場を解説 中小企業の情報セキュリティ対策ガイドライン 第4.0版とは中小企業の情報セキュリティ対策ガイドライン 第4.0版とは