
ISMAP for Low-Impact Use(ISMAP-LIU ; イスマップエルアイユー)とは、ISMAPが対象とするクラウドサービスのうち、セキュリティリスクの小さな業務・情報の処理に用いるSaaSに対する仕組みです。2022/11/1に、ISMAP制度の中の枠組みの1つとして施行されました。
現行のISMAPと同様に、セキュリティ監査等を経て、一定の安全性・信頼性が確認されたサービスを登録する仕組みですが、対象とするサービス範囲や外部監査の範囲や、ISMAP-LIU特有の仕組み等の違いがあります。
本稿では、現行ISMAPとの相違点を全体的に捉えた上で、ISMAP-LIUサービスリストへの登録の流れ等を解説します。
ISMAP-LIUとは?
ISMAP-LIU発足の経緯
まず、ISMAP-LIUの背景について説明します。ISMAP制度は元々、機密性2情報を取り扱うクラウドサービスを対象とした制度です。政府機関等(国の行政機関、独立行政法人、指定法人※)がクラウドサービスを調達する際、ISMAPに登録されたサービスからの調達を原則とする制度として、2020年6月より施行されました。
※指定法人とは、次のリンク先で定めている法人を指します。(リンク)
ISMAPについて詳しく知りたい方は、 「ISMAP(イスマップ)とは?ISMAPについて知っておくべき全て(決定版)」をご参考ください。
しかし、ISMAPが対象としている「機密性2情報」というのは、非常に多岐に渡ります。内閣官房内閣サイバーセキュリティセンター(NISC)が発行している「政府機関等のサイバーセキュリティ対策のための統一基準群」では、情報の機密性について以下のように定義しています。

【参考】「政府機関等のサイバーセキュリティ対策のための統一基準」より引用して作成
簡単にいうと、機密性1・3情報ではない情報が機密性2情報に該当すると考えると分かりやすいでしょう。
これら機密性2情報を取り扱うクラウドサービスは、IaaS、PaaS、SaaSと多岐に渡ります。中でもSaaSは、サービスの幅が非常に広く、中には用途や機能が一部の業務に限定されるものや、機密性2情報の中でも比較的重要度が低い情報しか取り扱わないもの等が存在します。こういったサービスについても現行ISMAPと同様の取り扱いとすると、セキュリティ要求水準が過剰になりかねず、政府機関等におけるSaaSサービスの利活用が進まず、クラウド・バイ・デフォルト原則の達成に支障をきたしかねません。
こうした背景を受けて、機密性2情報を取り扱うSaaSを対象に、セキュリティ上のリスクの小さい業務・情報の処理に用いるSaaSに対する新たな枠組みとして、ISMAP-LIUが創設されました。

ISMAP-LIUのメリット
ISMAP-LIUクラウドサービスリストに登録するメリットは、ISMAPサービスリストに登録するメリットとほぼ同義になります。具体的には、以下3つです。
政府機関等のシステム調達への入札参加
高いセキュリティレベルの証明
民間企業の高まる要求に対応
1.政府機関等のシステム調達への入札参加
1つ目は、ISMAP-LIUの本来の趣旨である政府機関等のシステム調達への参入です。ISMAPの開始以降、政府機関等は、原則としてISMAPに登録されているサービスから調達を行うことになりました。
2 各政府機関等における本制度の利用の考え方 各政府機関等は、クラウドサービスを調達する際には、本制度において登録されたサービスから調達することを原則とし、本制度における登録がないクラウドサービスの調達については、本制度で要求する事項を満たしていると、当該調達を行う政府機関等の最高情報セキュリティ責任者の責任において、それぞれの政府機関等で確認するものとし、詳細は、サイバーセキュリティ対策推進会議、デジタル社会推進会議幹事会において定めるものとする。
したがって、ISMAP-LIUクラウドサービスリストに掲載されることで、政府機関等のシステム調達への入札参加が容易になります。また、ISMAP-LIUそのものではなくとも、(現時点ではIaaSに限った話ですが)例えば、デジタル庁のガバメントクラウドの公募では、応募要件の1つにISMAP登録が明記されており、今後、ISMAPが政府機関等の様々な取り組みで参照されていくことで、より可能性が広がっていくといえるでしょう。
6.公募対象 政府情報システムのためのセキュリティ評価制度ISMAP(イスマップ)に登録されているクラウドサービスのうち、調達仕様書に添付されている「別紙1_基本事項及 びマネージドサービスの技術要件詳細」を満たすクラウドサービスを運営する事業者。 なお、本公募においては、複数の事業者による共同提案は認めない。 【出典】デジタル庁におけるガバメントクラウド整備のためのクラウドサービスの提供 -令和4年度募集-
また、 総務省が地方公共団体向けに公表している「地方公共団体における情報セキュリティポリシーに関するガイドライン」において、地方公共団体がクラウドサービスを調達する際に参照すべき認証・制度の1つにISMAPが位置づけられています。地方公共団体はISMAPの直接の対象とはなっていませんが、公的な機関として一定のセキュリティ水準が確保されたサービスを使うという点では類似しているため、ISMAP-LIUは、地方公共団体のシステム調達案件にも役に立つと考えられます。
(2)外部サービスの選定⑤情報セキュリティ管理者は、外部サービスに対する情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、外部サービス及び当該サービスの委託先の信頼性が十分であることを総合的・客観的に評価し判断しなければならない。(中略) このような評価に当たって、外部サービス提供者が利用者に提供可能な第三者による監査報告書や認証等を取得している場合には、その監査報告書や認証等を利用する必要がある。なお、選定条件となる認証には、ISO/IEC 27017 によるクラウドサービス分野におけるISMS認証の国際規格がある。また、ISMAPの管理基準を満たすことの確認やISMAPクラウドサービスリスト等のほか、日本セキュリティ監査協会のクラウド情報セキュリティ監査や外部サービス提供者等のセキュリティに係る内部統制の保証報告書であるSOC報告書(Service Organization Control Report)を活用することを推奨する。 【出典】地方公共団体における情報セキュリティポリシーに関するガイドライン(令和 5年3月版)
2.高いセキュリティレベルの証明
ISMAPおよびISMAP-LIUの要求事項は主に、ISO/IEC27017等の国際標準に基づいて作成されています。そういった国際的にも広く参照されている規格に適合しているという点で、政府機関等への案件入札だけではなく、民間に対する広いアピールが可能です。

また、セキュリティ要求事項(管理策)のみならず、セキュリティ対策状況の評価基準(監査基準)も、ISMS認証等よりはるかに厳しいため、一見すると似たセキュリティ要求事項であっても、ISMAPおよびISMAP-LIUの方がより安心感があるという点が、アピール材料になり得ます。
ISMAP-LIUサービスリストは広く一般に公開されるため、登録された暁には自社の高いセキュリティレベルを証明することができます。
3.民間企業の高まる要求に対応
クラウドサービス調達におけるセキュリティチェックの重要性は年々高まっています。特に経済安全保障の観点から、重要インフラ企業はサプライチェーン全体で高いセキュリティレベルを確保することが求められており、最近では、重要インフラ企業を対象とした経済安全保障推進法が動き出しました。これは、場合によっては重要インフラに利用されるクラウドサービスにも影響することがあり、ISMAP制度への対応は、こうした需要の高まりに応える有効な手段となっています。
ISMAP-LIUクラウドサービスリスト
ISMAP-LIUサービスリストは、こちらに公開されています。
ISMAPとISMAP-LIUの違い
次に、ISMAP-LIUの仕組みについて、現行ISMAPとの違いを中心に説明します。ISMAP-LIUへの申請は、以下のように進んでいきます。

ISMAP-LIUでは監査に入る前に、事前申請をもってセキュリティリスクが本当に低位のサービスであるかについて審査されるというステップが加わります。また、内部監査結果の報告もISMAP-LIUのみ提出する必要があります。一見すると、ISMAP-LIUの方が登録までのステップ多く、大変に見えますが、実際は同じステップだとしてもその中身が異なります。具体的な中身についての差がある部分は、以下の4点になります。

この中で最も大きな差は「外部監査対象範囲」になります。ISMAPに比べて、ISMAP-LIUでは大幅に監査範囲が縮小されています。
まとめると、対象としているサービスに制限があるものの、外部監査範囲を縮小することで登録までのハードルを下げた仕組みがISMAP-LIUになります。
ISMAP-LIUにかかる費用の相場
ISMAP-LIUサービスリストへの登録に係る費用は、主に監査機関に支払う費用になります。各監査機関は主に2つのサービスを提供しており、1つが必須である本監査・本番評価であり、もう1つが、任意で受けることができる事前診断・プレ評価サービスとなっています。各監査機関が提供するサービスの内容及び費用には差があるという前提で、ISMAP-LIUサービスリストへの初回登録にかかる各種費用の相場感をまとめました。なお、詳細な費用については、各監査機関にお問い合わせください。

また、上記に加えて、コンサルティング業者に支援を依頼する場合は、サービス範囲に応じた費用が必要となります。
ISMAP-LIU認証までの流れ
事前申請および影響度評価への対応
前述した通り、ISMAP-LIUはセキュリティリスクが小さい業務・情報処理に用いるSaaSに対する仕組みです。そのため、現行ISMAPとは違い、申請対象サービスにて取り扱われる業務・情報のセキュリティ影響度が低位であることを、申請書として提出し、認可を受ける必要があります。そのプロセスのことを「事前申請」と呼びます。
その際、業務・情報の影響度評価を実施するのは、SaaS事業者ではなく、実際に調達を検討している政府機関等が行います。これは、調達全体で考えた際の総合的なリスク評価は、最終的にそのサービス上で情報を取り扱い、業務を実施するユーザに委ねられるためです。したがって、SaaS事業者がISMAP-LIUに申請する際には、まず政府機関等に業務・情報の影響度評価を依頼するところから始めなければなりません。

政府機関等が影響度評価を行う際、以下の2点について対応を行います。
対象業務一覧への該当性
業務・情報の影響度評価
1つ目について、ISMAP制度側の目線に立つと、各事前申請における影響度評価結果の内容を一から確認・審査していると、とても対応が追いつきません。とはいえ、セキュリティ影響度が低位かどうかの確認を怠り、万が一影響度が高い業務・情報を取り扱うサービスがISMAP-LIUクラウドサービスリストに掲載されてしまうと、何か重大なインシデント等が生じた時に取り返しがつきません。
そこで、現時点でISMAP-LIUに該当する蓋然性が高い業務・情報を予め制度として定義しておくことで、政府機関等による影響度評価の品質を担保しつつ、対象業務一覧に該当する業務が申請された際には速やかに申請処理が終えられるようなスキームを取っています。
5.1 ISMAP運用支援機関は、受理した事前申請文書について、以下について技術的審査を行い、各項目の確認状況及びISMAP-LIUの該当性に関するISMAP運用支援機関の見解について、「様式1-3事前申請に係る審査報告書」により制度所管省庁に報告する。 (1) 業務・情報の影響度評価ガイダンスで公表する対象業務一覧の業務に該当し、影響 度評価結果が低位であること。 (中略) 5.3 制度所管省庁は、ISMAP運用支援機関からの報告を踏まえ、速やかにISMAP-LIUの該当性有無の判断を行う。ただし、5.1(1)の対象業務一覧に該当しない場合は、各年度の上半期、下半期の期間中になされた事前申請について、原則として各半期末日の3か月後までに一括してISMAP-LIUの該当性有無を判断する。 【出典】ISMAP-LIUクラウドサービス登録規則 > 第5章 事前申請の審査
では、対象業務一覧に載っていない情報を取り扱う場合、ISMAP-LIUに申請することはできないのでしょうか。制度規程上は、対象業務一覧に掲載されていない場合は、「要検討業務」として取り扱われ、2つ以上の政府機関等による影響度評価結果の提出を求めています。そのうえで、もし要検討業務が影響度「低位」として判断された場合は、当該業務を対象業務一覧に追加し、一覧の拡充を図っていく仕組みとなっています。
2 本規則の施行から1年以内に事前申請を行う場合、申請者は、申請を行うサービスで取り扱う業務・情報が対象業務一覧に該当しない場合は、2以上の政府機関等から影響度評価結果を入手するものとする。 【出典】ISMAP-LIUクラウドサービス登録規則 > 附則
次に、2つ目の影響度評価については、対象業務一覧に該当するかしないかに関わらず、政府機関等は影響度評価を行う必要があります。政府機関等が影響度評価を実施するに差し当たり、CSPは、参考情報として以下の情報を政府機関等に提出する必要があります。

【参考】ISMAP-LIUクラウドサービス登録規則様式集 > 様式1-2より引用して作成
要するに、ISMAP-LIUへの登録を目指すSaaS事業者としては、いち早く政府機関等とコミュニケーションを取り、影響度評価の実施を依頼すると良いでしょう。その際、影響度評価の基準やガイドラインは公開されているので、自社のSaaSサービスがLIUに該当しそうかどうか、対象業務一覧に該当しそうかどうかといった観点で、あらかじめ確認しておくことが望ましいと考えられます。
ISMAP-LIUの外部監査
ISMAP-LIUにおける外部監査範囲を理解するためには、以下の2点を認識することが重要です。
言明対象範囲
外部監査の実施範囲
まず、言明対象範囲については、現行ISMAPと全く同様に、ガバナンス基準・マネジメント基準・管理策基準のすべてに対して言明を行う必要があります。

これは、ISMAP制度で定めているセキュリティ管理策の多くが、ISO/IEC 27001等の国際標準を基礎としており、一般的に求められる基礎的なセキュリティ対策を定めていることに基づきます。
また、ISMAPもISMS認証同様に、クラウド事業者自らがリスク評価を行い、自身に必要なセキュリティ対策を選定するという制度構造であり、ISMAP-LIUにおいてもその考え方を踏襲しているため、言明を行う過程においては、現行ISMAPとISMAP-LIUで違いはないと考えてよいでしょう。
では、現行ISMAPとISMAP-LIUで何が違うのか、それは外部監査の対象となる範囲が異なります。前述したように、ISMAP-LIUでは、言明の過程において、現行ISMAP同様にガバナンス基準・マネジメント基準・管理策基準のすべてについて言明を行うことが求められますが、外部監査の対象となる範囲を、ガバナンス基準・マネジメント基準・管理策基準の一部(セキュリティ上、特に重要となる領域に属する管理策)を中心に絞りこんでいます。
ISMAP-LIUに関しては、ガバナンス基準・マネジメント基準の全ての詳細管理策に加えて、以下に掲げるような、クラウドサービスの基盤・構成に深刻な影響を与え重大な事故につながるリスクに関連する詳細管理策を中心として監査を実施する。 1.アクセス管理(特権の管理、ID・パスワード管理、物理セキュリティ等) 2.システムの開発・変更に係る管理(開発管理、変更管理) 3.システムの運用管理(ぜい弱性管理、障害管理、システム運用監視、ネットワーク管理、冗長性の確保等)4.外部委託先管理(1.~3.に関連するもの) 【出典】ISMAP標準監査手続 > (別紙3)ISMAP-LIUにおける監査業務
言明の対象範囲に違いがない分、外部監査を実施する範囲を大幅に絞り込むことで、簡易な仕組みを実現しています。
また、ISMAP-LIUも現行ISMAP同様に、毎年の外部監査が求められますが、上記スコープ全量が毎回監査されるわけではなく、管理策基準については、複数年度に分けて実施される仕組みとなっています。(制度上、何年に分割するは公開されていませんが、例えば、監査で一般的とされている3年サイクルを例に取った場合のイメージは以下の通りです)

このように、外部監査の対象範囲を縮小した結果、外部監査において対応すべき管理策数は現行ISMAPの概ね1/5程度になると想定され、監査の業務量としては相当の軽減が見込まれるとしています。
ISMAP-LIUの内部監査
次に、ISMAP-LIUで新規に導入された、セキュリティ内部監査に係る報告書の提出についてご紹介します。
前述のように、ISMAP-LIUでは外部監査の対象範囲を大幅に縮小しています。そのため、ISMAP制度で実施が求められている内部監査の結果について報告書の提出を求めることで、クラウド事業者自身が自らの統制を自主的かつ適切に運用することを促すことに狙いがあります。
「内部監査に係る報告書の提出」と聞くと、ISMAP-LIUだけが内部監査の実施を求められているように誤解をするかもしれませんが、そうではなく、現行ISMAPかISMAP-LIUかに関わらず、マネジメント基準の4.6.2.2において、内部監査の実施は求められている点に留意が必要です。
組織は、あらかじめ定めた間隔で内部監査を実施する。 [27001-9.2a) / 9.2b)] a) 内部監査を実施する際は、以下を確認する。 ・以下に適合していること。 -情報セキュリティマネジメントに関して、組織自体が規定した要求事項 -本マネジメント基準の要求事項 ・情報セキュリティマネジメントが有効に実施され、維持されていること。 b) 内部監査は、管理策の有効性を総合的に確認するために定期的に実施し、計画及び結果について以下の文書で管理する。 ・内部監査基本計画 ・内部監査実施計画 ・内部監査報告書 (後略) 取消・公表制度
したがって、ISMAP-LIUだけが新規に内部監査の実施を求められているわけではなく、ISMAP制度全体として内部監査の実施はすでに求められている中で、ISMAP-LIUのみ、内部監査の結果を制度上の様式に落とし込む形で提出を求められていると理解することが正確です。様式に落とし込む事務的な作業はもちろん発生しますが、元々内部監査をしっかり行ってさえいれば、大幅な負担増にはならないと考えて良いでしょう。
取消・公表制度
ISMAP-LIU最後の特徴である、「取消・公表制度」についてご説明します。取消・公表制度とは、ISMAP-LIUに登録されているサービスにおいて、深刻な影響を及ぼすセキュリティインシデントが発生した際、そのサービスの登録を即座に一時停止する仕組みです。現行ISMAPの場合は、インシデントが発生してもこのような即座の一時停止措置は設けられていません。
前述のように、ISMAP-LIUでは外部監査の対象範囲を大幅に縮小しています。そのため、ISMAP-LIUへの継続登録を目的に、CSPの自主的な統制運用を促す施策の1つとして、本制度が導入されました。具体的には、以下のように仕組みが定められています。
13.5 ISMAP運営委員会は、13.1の規定により報告を受けた情報セキュリティインシデントが利用者に特に重大な影響を及ぼしうると判断した場合、当該クラウドサービスの登録の一時停止を行うことができる。 【出典】ISMAP-LIUクラウドサービス登録規則 > 第13章 情報セキュリティインシデント発生時の報告
サービス登録の一時停止を受けた場合、ISMAP-LIUサービスリストに掲載されているとは言えないため、ISMAP・ISMAP-LIUサービスリストに掲載されているクラウドサービスから調達することを原則とされている政府機関等の調達フローから外れることとなります。
インシデント対応が終了し、ISMAP運営委員会において問題なしと判断された場合、一時停止措置が解かれ、その後はISMAP-LIUサービスリストに掲載されている他のサービスと同様の扱いに戻ります。
13.6 ISMAP運営委員会は、前項に規定する一時停止を行う場合、一時停止を解除するための条件(以下「一時停止解除条件」という。)を登録者に通知する。 (中略) 13.8 ISMAP運営委員会は、前項の報告を受けて一時停止解除条件が満たされたと判断した場合、当該クラウドサービスの登録の一時停止を解除する。 【出典】ISMAP-LIUクラウドサービス登録規則 > 第13章 情報セキュリティインシデント発生時の報告
本措置への対応として、過度にセキュリティ対策を高度化し、過剰な対応を行う必要はないと考えられますが、クラウドサービス事業者として、セキュリティインシデントが発生しないよう日々の運用を徹底するという、本来の事業者としての基本的な責務を全うすることが重要です。
執筆者
東海林 和広
株式会社 X-Regulation 取締役
大手監査法人において、ISMAP監査やクラウドサービスに対するセキュリティ監査等を多数経験