Greenfield Build · What Actually Happens グリーンフィールド構築 · 実際に起こること

Compliance discovered late costs more than compliance designed in. 後から見つかるコンプライアンス課題は、最初から設計に組み込むより高くつく。

Four stages. Two paths. The difference between a platform that sails through ISMAP registration and one that hits audit gaps at the worst possible moment. 4つの段階、2つの道筋。ISMAP登録に向けて滑らかに進むプラットフォームと、最悪のタイミングで監査ギャップに直面するプラットフォームとの差を示します。

🏗️

Stage 01Design 設計

ISMAP controls are not mapped at the architecture layer. Data residency zones are chosen for cost, not sovereignty compliance.アーキテクチャ層でISMAP管理策が未マッピング。データ保管リージョンは主権要件ではなくコストで選定されます。

Identity architecture decisions are made without reference to D2 scoring impact. Rework cost accumulates silently.IDアーキテクチャの判断がD2スコア影響を考慮せずに行われ、手戻りコストが静かに積み上がります。

Compliance debt begins at sprint zero コンプライアンス負債はスプリントゼロから始まる

⚙️

Stage 02Build 構築

Kubernetes configs and GitOps pipelines are built for delivery speed. Audit trail evidence is not considered. ArgoCD logs are not structured for D6. Kubernetes設定やGitOpsパイプラインが開発速度優先で構築され、監査証跡の証拠設計が考慮されません。 ArgoCDログもD6向けに整備されていません。

Third-party vendors are onboarded without supply-chain assurance documentation. D5 dimension starts at zero.第三者ベンダーの導入時にサプライチェーン保証文書が不足し、D5次元はゼロから始まります。

Evidence gap widens with every sprint スプリントを重ねるほど証拠ギャップが拡大

📋

Stage 03Audit 監査

The ISMAP audit body requests evidence. Teams scramble to document controls retrospectively because they were never created as evidence artefacts. ISMAP監査機関が証拠を要求した時点で、チームは後追いで管理策文書を整えることになります。 もともと証拠成果物として設計されていないためです。

Red-line conditions are discovered for the first time during audit. Architecture rework is required mid-engagement. The timeline collapses. レッドライン条件が監査中に初めて判明し、監査進行中にアーキテクチャの手戻りが発生。スケジュールが崩れます。

Audit extends 3 to 6 months beyond plan 監査期間が計画より3〜6か月延伸

🏛️

Stage 04Registration 登録

ISMAP registry listing is delayed or conditional. Japanese government contracts remain on hold. Revenue impact grows. ISMAP登録が遅延または条件付きとなり、日本政府向け案件の開始が保留され、収益影響が拡大します。

The annual re-audit cycle starts with the same undocumented gaps. The problem repeats every 12 months.年次再監査でも同じ未文書化ギャップを抱え、問題が12か月ごとに繰り返されます。

Market entry delayed. Re-audit risk becomes permanent. 市場参入が遅れ、再監査リスクが恒常化

~1,200 ISMAP controls mapped to seven CAS-JP scoring dimensions 約1,200のISMAP管理策を7つのCAS-JP次元へマッピング

4 Red-line auto-fail conditions checked before scoring スコアリング前に4つのレッドライン自動失格条件を確認

3 Gate A pre-conditions checked before any dimension is scored 各次元の採点前に3つのGate A前提条件を確認

1 One scored CAS-JP position. Board-ready. Registry-supported. 1つのCAS-JP評価結果。経営層向け。登録支援対応。

Book a Scoping Discussion 相談を予約 Request Stage 2B(iii) Document Access Stage 2B(iii) 文書アクセスを依頼

CCMM-ISMAP · Greenfield ArchitectureCCMM-ISMAP ・グリーンフィールド設計

One architecture
decision.
One scored framework.

ひとつのアーキテクチャ判断。
ひとつの評価フレームワーク。

The cost of ISMAP is often decided before the audit begins. ISMAP対応のコストは、多くの場合、監査が始まる前に決まります。

CCMM-ISMAP shows whether architecture choices create readiness — or future rework. CCMM-ISMAPは、設計判断が準備性を生むのか、それとも将来の手戻りを生むのかを示します。

Data Sovereigntyデータ主権Identity ArchitectureIDアーキテクチャAudit Trail by Design監査証跡の設計組込み

See the Greenfield Path → 設計段階の道筋を見る Explore Package D Package D を見る

🇯🇵 ISMAP · Active 有効

🇺🇸 FedRAMP · Reference 参照

🇦🇺 IRAP · Companion 補完

CCMM-ISMAP · Stage 2B(iii) · Probabilistic Cloud Assurance CCMM-ISMAP ・ Stage 2B(iii) ・確率論的クラウド保証

1,200 controls.
Two governments.
One scored framework.

1,200の管理策。
2つの政府。
ひとつの評価フレームワーク。

Building a cloud platform that must satisfy Japanese ISMAP registration and US FedRAMP equivalence is not a compliance exercise. It is an architecture decision.

日本のISMAP登録と米国FedRAMP相当の双方に対応しなければならないクラウド基盤の構築は、単なるコンプライアンス作業ではありません。これはアーキテクチャ上の意思決定です。

CCMM-ISMAP gives security architects a scored, evidence-weighted, reproducible assessment layer from day one of a greenfield build.

CCMM-ISMAPは、グリーンフィールド構築の初日から、スコア化され、証拠に重みづけされ、再現可能な評価レイヤーをセキュリティアーキテクトへ提供します。

CCMM-ISMAP outputs are decision-support tools for authorised ISMAP audit bodies. This service is not affiliated with, endorsed by, or a determination of ISMAP registration status by the Japanese Government. CCMM-ISMAPの出力は、認定されたISMAP監査主体のための意思決定支援ツールです。本サービスは日本政府による提携、承認、またはISMAP登録可否の判定そのものではありません。

Book a Scoping Discussion → 相談を予約 Request Stage 2B(iii) Document Access Stage 2B(iii) 文書アクセスを依頼

CAS-JP0.00ISMAP Composite Score ISMAP総合スコア

GR0/3Gate Readiness Gate準備状況

RLCClearRed-Line Clearance レッドライン確認

Governing bodies 所管機関MIAC, METI, Cabinet Secretariat

Control count 管理策数~1,200

Output 出力ISMAP Registry Listing

Control basis 管理策基盤ISO 27001/17/18, NIST CSF

Renewal cadence 更新周期Annual mandatory re-audit

CCMM profile CCMMプロファイルStage 2B(iii) · CAS-JP

0.00

CAS-JP · Illustrative CAS-JP ・例示用

Loading…

ISMAP Aligned

Policy & Documentation Fidelity 方針・文書整合性0.82

Technical Control Implementation 技術的統制の実装0.75

Operational Continuity & IR Readiness 運用継続性・IR準備0.80

Data Residency & Sovereignty データ所在・主権性0.71

Third-Party & Supply Chain Assurance 第三者・供給網保証0.65

Audit Trail Completeness 監査証跡の完全性0.83

Management System Maturity マネジメント成熟度0.77

Illustrative signals shown for design purposes only. Calibrated weights and scoring thresholds are proprietary to CCMM-ISMAP Stage 2B(iii). SSRN Abstract ID 6364078. ここで示すシグナルは設計説明用の例示です。校正済みの重みと閾値はCCMM-ISMAP Stage 2B(iii)の専有情報です。SSRN Abstract ID 6364078。

CCMM is protected by SSRN Abstract ID 6364078 · Zenodo DOI 10.5281/zenodo.19382186 · ORCID 0009-0005-1720-0601
GABEY Consulting Pty Ltd ACN 121 511 055 · nomateq.com.au CCMMはSSRN Abstract ID 6364078、Zenodo DOI 10.5281/zenodo.19382186、ORCID 0009-0005-1720-0601 により保護されています。

CAS-JP · Seven DimensionsCAS-JP ・ 7つの次元

Seven Dimensions.
One Assessment.

7つの次元。
1つの評価。

Policy, controls, operations, sovereignty, supply chain, audit trail, and management maturity — scored as one coherent position. 方針、統制、運用、主権性、サプライチェーン、監査証跡、マネジメント成熟度を、ひとつの整合した評価として示します。

CAS-JPISMAP ReadyEvidence-Led

Explore the Scoring Model スコアモデルを見る Book a Briefing 打合せ予約

CAS-JP · Interactive Scoring Demonstration CAS-JP ・インタラクティブ採点デモ

The CAS-JP Score: Seven Dimensions, One Assessment CAS-JPスコア：7つの次元、1つの評価

Explore the scoring architecture live. Gate A pre-conditions, seven scored dimensions, red-line auto-fail triggers, and the ISMAP-SaaS variant are shown here as an interactive model. スコアリング構造をその場で確認できます。Gate Aの前提条件、7つの採点次元、レッドライン自動失格条件、そしてISMAP-SaaS変種を、インタラクティブなモデルとして示しています。

Gate A Readiness Pre-conditionsGate A 準備性

All three conditions must pass before scoring proceeds 採点を開始するには3つの条件すべてを満たす必要があります

✓

Assessment boundary formally defined and documented in writing 評価対象境界が正式に定義され、文書化されている

✓

Audit body recognised under the ISMAP scheme 監査主体がISMAP制度上で認識されている

✓

ISO 27001 certification current or in active audit ISO 27001認証が有効、または監査中である

Scoring Dimensions 採点次元

Adjust each dimension to explore the scoring model 各次元を動かしてスコアモデルを確認してください

D1 · Policy and Documentation Fidelity D1 ・方針・文書整合性0.70

D2 · Technical Control Implementation D2 ・技術的統制の実装0.65

D3 · Operational Continuity and IR Readiness D3 ・運用継続性・IR準備0.75

D4 · Data Residency and Sovereignty Compliance D4 ・データ所在・主権性適合0.80

D5 · Third-Party and Supply Chain Assurance D5 ・第三者・供給網保証0.60

D6 · Audit Trail Completeness D6 ・監査証跡の完全性0.72

D7 · Management System Maturity D7 ・マネジメント成熟度0.68

CAS-JP = Σ(wᵢ × Dᵢ) × NL / Wᵐᵃˣ

wᵢ = dimension weight · Dᵢ = dimension score (0–1) · NL = non-linear interaction rule · Wᵐᵃˣ = maximum weighted sum. Illustrative equal weights are used here. wᵢ = 次元重み · Dᵢ = 次元スコア（0–1） · NL = 非線形相互作用規則 · Wᵐᵃˣ = 最大加重和。ここでは説明用として等重みを使用しています。

Red-Line Auto-Fail Triggers レッドライン自動失格条件

Any active trigger forces Not Registrable regardless of score いずれかが有効になると、スコアに関係なく登録不可になります

Data sovereignty violation confirmed データ主権違反が確認された

Incident concealment finding by the audit body 監査主体によりインシデント隠匿が認定された

Material misrepresentation in submitted documentation 提出文書に重大な虚偽表示がある

Critical control category scored zero across two or more consecutive assessment periods 重要管理策カテゴリが2期以上連続してゼロ評価となった

ISMAP-SaaS Variant ISMAP-SaaS変種

Activate CAS-JP-S — reduced SaaS control scope CAS-JP-S を有効化 — SaaS向け縮減スコープ

CAS-JP Score Output CAS-JP スコア出力

0.70 CAS-JP · Full ISMAP CAS-JP ・フルISMAP

Registrable with Conditions 条件付き登録可能

Mandatory disclaimer: This output was produced using the CCMM framework in an ISMAP-aligned context. It is not affiliated with, endorsed by, or a determination of ISMAP registration status by the Japanese Government. 必須免責：この出力はISMAP整合文脈でCCMMを用いて生成されたものです。日本政府による提携、承認、またはISMAP登録可否の判定ではありません。

Engagement Model導入モデル

Advisory first.
Scale with assurance.

まず助言から。
その後、保証へ拡張。

Entry begins with scope, evidence, and readiness. Expansion follows with certification, dual-jurisdiction pathways, and architecture-led assurance. 導入は、スコープ、証拠、準備性の確認から始まります。その後、認証、二重管轄対応、そして設計主導の保証へと拡張します。

Package APackage BPackage D

View Engagement Options 導入オプションを見る Book a Scoping Discussion 相談を予約

Engagement Model · Pricing 導入モデル・価格体系

Advisory-Led Entry. Certification-Led Expansion. 助言から始め、認証へ拡張する。

CCMM-ISMAP is priced as assurance, not software seats. Base fees reflect scope, jurisdictional complexity, and control volume. All prices shown are indicative starting points confirmed after a scoping discussion. CCMM-ISMAPはソフトウェア席数ではなく、保証サービスとして価格設定されています。基本費用は、スコープ、管轄の複雑性、管理策ボリュームを反映します。ここに示す価格は、スコーピング協議後に確定される参考開始価格です。

Package A · Land パッケージA ・着地準備 ISMAP Readiness Baseline ISMAP準備性ベースライン

Pre-assessment gap analysis. Gate A readiness check, red-line triage, and control coverage mapping. Board-ready within 30 days. Credited against Package B. 事前評価ギャップ分析。Gate A準備確認、レッドライン整理、管理策カバレッジ整理を実施します。30日以内に経営層説明用資料へまとめ、同年度内のPackage Bへ充当できます。

Starting at 開始価格$22,000 AUD · ex. GST · single scope 豪ドル · GST別 · 単一スコープ

Gate A readiness across all three pre-conditions 3つのGate A前提条件を確認
Red-line condition triage with evidence status レッドライン条件と証拠状況を整理
Indicative CAS-JP score across all seven dimensions 7次元の参考CAS-JPスコアを提示
ISMAP control coverage gap map ISMAP管理策カバレッジのギャップ整理
30-day remediation priority roadmap 30日以内の優先改善ロードマップ
Fee credited against Package B within same engagement year 同年度内のPackage Bへ費用充当

Book a Scoping Discussion → 相談を予約

Package B · Core パッケージB ・中核評価 CAS-JP Certification Assessment CAS-JP認証評価

Full seven-dimension CAS-JP assessment. Dual-output report with ISMAP vocabulary mapping. Registry-ready evidence pack. Annual certification. Gold Standard eligible. 7次元すべてを対象とするCAS-JP評価。ISMAP語彙に対応した二重出力レポート、登録準備済み証拠パック、年次認証対応を含みます。Gold Standard対象です。

Starting at 開始価格$58,000 AUD · annual · ex. GST · 1 scope boundary 豪ドル · 年次 · GST別 · 単一境界

Full CAS-JP score with certified band assignment 認証帯域付きの完全CAS-JPスコア
Dual-output report: score plus ISMAP vocabulary output スコアとISMAP語彙出力の二重レポート
ISMAP control category evidence pack ISMAP管理策カテゴリ別証拠パック
Remediation roadmap with control-level prioritisation 管理策単位の優先改善計画
Board and risk committee briefing document 取締役会・リスク委員会向け説明資料
ISMAP-SaaS CAS-JP-S variant included ISMAP-SaaS向けCAS-JP-S変種を含む

Book a Scoping Discussion → 相談を予約

Package C · Enterprise パッケージC ・エンタープライズ Dual-Jurisdiction Assessment 二重管轄評価

ISMAP full assessment with FedRAMP control crosswalk. Parallel scored outputs. Two greenfield architecture advisory sessions included. For platforms targeting both markets simultaneously. ISMAP完全評価にFedRAMP管理策クロスウォークを加えた構成です。並行スコア出力と、2回のグリーンフィールド設計助言を含み、両市場を同時に狙う基盤向けです。

Starting at 開始価格$135,000 AUD · annual · ex. GST · multi-scope 豪ドル · 年次 · GST別 · 複数スコープ

Full CAS-JP assessment for ISMAP ISMAP向けフルCAS-JP評価
FedRAMP NIST[object Object],[object Object] SP 800-53 control crosswalk FedRAMP NIST SP 800-53管理策クロスウォーク
Two greenfield architecture advisory sessions 設計初期助言セッションを2回実施
Dual-regime evidence pack for both processes 両制度向け証拠パックを整備
Architecture decision log reviewed for dual impact 設計判断ログを二重影響で確認
Priority access to operational assurance platform 運用保証プラットフォームへの優先アクセス

Book a Scoping Discussion → 相談を予約

Package D · Advisory パッケージD ・設計助言 Greenfield Architecture Advisory グリーンフィールド設計助言

Security architect engagement. ISMAP control mapping from design-layer decisions. Azure, Kubernetes, and GitOps compliance-by-architecture advisory. Per defined engagement. セキュリティアーキテクトによる設計支援です。設計層の判断をISMAP管理策へ写像し、Azure、Kubernetes、GitOpsに対するアーキテクチャ起点の適合助言を提供します。

Starting at 開始価格$28,000 AUD · per engagement · ex. GST 豪ドル · 案件単位 · GST別

Architect-level advisory before post-build testing 構築後ではなく設計段階で助言
ISMAP mapping from Azure and Kubernetes choices Azure・Kubernetes判断をISMAPへ写像
GitOps and ArgoCD review for D6 evidence D6証拠のためのGitOps・ArgoCD確認
Data residency zone selection support for D4 D4向けデータ所在ゾーン選定支援
Written scope and deliverables before commencement 開始前にスコープと成果物を文書化
Priority scheduling for urgent engagements 緊急案件は優先日程調整

Book a Scoping Discussion → 相談を予約

All prices are in AUD and exclusive of GST. GST applies to Australian purchasers. International clients are subject to applicable local tax treatment. すべての価格は豪ドル表示で、GST別です。オーストラリア国内購入者にはGSTが適用されます。海外顧客には各地域の税務取扱いが適用されます。
Indicative starting points only. Final pricing is confirmed after scoping consultation and may vary by project complexity, scope boundary, and jurisdictional requirements.

Protection Notice

CCMM-ISMAP, its CAS-JP scoring architecture, dimension definitions, Gate A conditions, red-line trigger logic, formula structure, and associated proprietary materials are protected works of GABEY Consulting Pty Ltd ACN 121 511 055. Publications released under CC BY 4.0 remain subject to that licence for the specific published text only. No part of the proprietary methodology may be reproduced, adapted, or used without prior express written permission. All rights reserved. CCMM-ISMAP、そのCAS-JP採点構造、次元定義、Gate A条件、レッドライン判定ロジック、計算構造、および関連専有資料は、GABEY Consulting Pty Ltd ACN 121 511 055 の保護対象です。CC BY 4.0で公開された文言は当該公開文のみが対象です。専有手法の複製、改変、利用には事前の明示的書面許可が必要です。

SSRN Abstract ID 6364078 · Zenodo DOI 10.5281/zenodo.19382186 · ORCID 0009-0005-1720-0601 · nomateq.com.au

1,200 controls. One scored position.

Compliance discovered late costs more than compliance designed in. 後から見つかるコンプライアンス課題は、最初から設計に組み込むより高くつく。

One architecture decision.One scored framework.

1,200 controls. Two governments. One scored framework.

Seven Dimensions.One Assessment.

The CAS-JP Score: Seven Dimensions, One Assessment CAS-JPスコア：7つの次元、1つの評価

Advisory first.Scale with assurance.

Advisory-Led Entry. Certification-Led Expansion. 助言から始め、認証へ拡張する。

1,200 controls.
One scored
position.

One architecture
decision.
One scored framework.

1,200 controls.
Two governments.
One scored framework.

Seven Dimensions.
One Assessment.

Advisory first.
Scale with assurance.