ISMAP for Low-Impact Use（ISMAP-LIU ; イスマップエルアイユー）とは、ISMAPが対象とするクラウドサービスのうち、セキュリティリスクの小さな業務・情報の処理に用いるSaaSに対する仕組みです。2022/11/1に、ISMAP制度の中の枠組みの1つとして施行されました。

　現行のISMAPと同様に、セキュリティ監査等を経て、一定の安全性・信頼性が確認されたサービスを登録する仕組みですが、対象とするサービス範囲や外部監査の範囲や、ISMAP-LIU特有の仕組み等の違いがあります。

　本稿では、現行ISMAPとの相違点を全体的に捉えた上で、ISMAP-LIUサービスリストへの登録の流れ等を解説します。

ISMAP-LIUとは？

ISMAP-LIU発足の経緯

　まず、ISMAP-LIUの背景について説明します。ISMAP制度は元々、機密性2情報を取り扱うクラウドサービスを対象とした制度です。政府機関等（国の行政機関、独立行政法人、指定法人※1、地方公共団体のα'モデル※2）がクラウドサービスを調達する際、ISMAPに登録されたサービスからの調達を原則とする制度として、2020年6月より施行されました。

※1：指定法人とは、次のリンク先で定める法人を指します。（リンク） ※2：地方公共団体のα'モデルとは、次のリンク先で定めるモデルを指します。（リンク）

ISMAPについて詳しく知りたい方は、 「ISMAP（イスマップ）とは？ISMAPについて知っておくべき全て（決定版）」をご参考ください。

　しかし、ISMAPが対象としている「機密性2情報」というのは、非常に多岐に渡ります。内閣官房内閣サイバーセキュリティセンター（NISC）が発行している「政府機関等のサイバーセキュリティ対策のための統一基準群」では、情報の機密性について以下のように定義しています。

　簡単にいうと、機密性1・3情報ではない情報が機密性2情報に該当すると考えると分かりやすいでしょう。

　これら機密性2情報を取り扱うクラウドサービスは、IaaS、PaaS、SaaSと多岐に渡ります。中でもSaaSは、サービスの幅が非常に広く、中には用途や機能が一部の業務に限定されるものや、機密性2情報の中でも比較的重要度が低い情報しか取り扱わないもの等が存在します。こういったサービスについても現行ISMAPと同様の取り扱いとすると、セキュリティ要求水準が過剰になりかねず、政府機関等におけるSaaSサービスの利活用が進まず、クラウド・バイ・デフォルト原則の達成に支障をきたしかねません。

　こうした背景を受けて、機密性2情報を取り扱うSaaSを対象に、セキュリティ上のリスクの小さい業務・情報の処理に用いるSaaSに対する新たな枠組みとして、ISMAP-LIUが創設されました。

ISMAP-LIUのメリット

　ISMAP-LIUクラウドサービスリストに登録するメリットは、ISMAPサービスリストに登録するメリットとほぼ同義になります。具体的には、以下3つです。

1. 政府機関等のシステム調達への入札参加

2. 高いセキュリティレベルの証明

3. 民間企業の高まる要求に対応

１．政府機関等のシステム調達への入札参加

　1つ目は、ISMAP-LIUの本来の趣旨である政府機関等のシステム調達への参入です。ISMAPの開始以降、政府機関等は、原則としてISMAPに登録されているサービスから調達を行うことになりました。

　したがって、ISMAP-LIUクラウドサービスリストに掲載されることで、政府機関等のシステム調達への入札参加が容易になります。また、ISMAP-LIUそのものではなくとも、（現時点ではIaaSに限った話ですが）例えば、デジタル庁のガバメントクラウドの公募では、応募要件の１つにISMAP登録が明記されており、今後、ISMAPが政府機関等の様々な取り組みで参照されていくことで、より可能性が広がっていくといえるでしょう。

　また、　総務省が地方公共団体向けに公表している「地方公共団体における情報セキュリティポリシーに関するガイドライン」において、α’モデルにおけるクラウドサービス調達時において、ISMAP登録サービスの利用が求められています。α’モデル以外では、地方公共団体のクラウドサービス調達上、ISMAPは参照すべき認証・制度としてISMAPが紹介されています。

２．高いセキュリティレベルの証明

　ISMAPおよびISMAP-LIUの要求事項は主に、ISO/IEC27017等の国際標準に基づいて作成されています。そういった国際的にも広く参照されている規格に適合しているという点で、政府機関等への案件入札だけではなく、民間に対する広いアピールが可能です。

　また、セキュリティ要求事項（管理策）のみならず、セキュリティ対策状況の評価基準（監査基準）も、ISMS認証等よりはるかに厳しいため、一見すると似たセキュリティ要求事項であっても、ISMAPおよびISMAP-LIUの方がより安心感があるという点が、アピール材料になり得ます。

　ISMAP-LIUサービスリストは広く一般に公開されるため、登録された暁には自社の高いセキュリティレベルを証明することができます。

３．民間企業の高まる要求に対応

　クラウドサービス調達におけるセキュリティチェックの重要性は年々高まっています。特に経済安全保障の観点から、重要インフラ企業はサプライチェーン全体で高いセキュリティレベルを確保することが求められており、最近では、重要インフラ企業を対象とした経済安全保障推進法が動き出しました。これは、場合によっては重要インフラに利用されるクラウドサービスにも影響することがあり、ISMAP制度への対応は、こうした需要の高まりに応える有効な手段となっています。

ISMAP-LIUクラウドサービスリスト

　ISMAP-LIUサービスリストは、こちらに公開されています。

ISMAPとISMAP-LIUの違い

　次に、ISMAP-LIUの仕組みについて、現行ISMAPとの違いを中心に説明します。

　2025年4月1日まで、ISMAP-LIUでは監査に入る前に、事前申請をもってセキュリティリスクが本当に低位のサービスであるかについて審査されるというステップがありましたが、こちらは、2025年4月1日に廃止されました。代わりに、調達省庁が調達時に確認する仕組みとなりました。

　現行のISMAPとISMAP-LIUとの差は以下の表にまとめられます。

　この中で最も大きな差は「外部監査対象範囲」になります。ISMAPに比べて、ISMAP-LIUでは大幅に監査範囲が縮小されています。

　まとめると、対象としているサービスに制限があるものの、外部監査範囲を縮小することで登録までのハードルを下げた仕組みがISMAP-LIUになります。

ISMAP-LIUにかかる費用の相場

　ISMAP-LIUサービスリストへの登録に係る費用は、主に監査機関に支払う費用になります。各監査機関は主に2つのサービスを提供しており、1つが必須である本監査・本番評価であり、もう1つが、任意で受けることができる事前診断・プレ評価サービスとなっています。各監査機関が提供するサービスの内容及び費用には差があるという前提で、ISMAP-LIUサービスリストへの初回登録にかかる各種費用の相場感をまとめました。なお、詳細な費用については、各監査機関にお問い合わせください。

　また、上記に加えて、コンサルティング業者に支援を依頼する場合は、サービス範囲に応じた費用が必要となります。

ISMAP-LIU認証までの流れ

ISMAP-LIUへの該当性

　2025年4月1日に行われた規程改定で事前申請と影響度評価が廃止されたことにより、ISMAP-LIUへの登録手続きはこれまでのISMAPとほぼ変わらなくなりました。ただし、従来同様、ISMAP-LIUは機密性2の情報を取り扱うSaaSのうち、リスクの比較的小さい業務や情報処理を対象としている点は変わりません。この判断は政府機関が調達を行う際に行われますが、クラウドサービス事業者として自社のサービスがISMAP-LIUに該当しない場合、登録自体に意義がないと考えられます。したがって、まずはISMAP-LIUの対象となり得るかどうかを見極めたうえで、登録に向けた手続きを進めることが望ましいでしょう。

ISMAP-LIUの外部監査

　ISMAP-LIUにおける外部監査範囲を理解するためには、以下の２点を認識することが重要です。

1. 言明対象範囲

2. 外部監査の実施範囲

　まず、言明対象範囲については、現行ISMAPと全く同様に、ガバナンス基準・マネジメント基準・管理策基準のすべてに対して言明を行う必要があります。

　これは、ISMAP制度で定めているセキュリティ管理策の多くが、ISO/IEC 27001等の国際標準を基礎としており、一般的に求められる基礎的なセキュリティ対策を定めていることに基づきます。

　また、ISMAPもISMS認証同様に、クラウド事業者自らがリスク評価を行い、自身に必要なセキュリティ対策を選定するという制度構造であり、ISMAP-LIUにおいてもその考え方を踏襲しているため、言明を行う過程においては、現行ISMAPとISMAP-LIUで違いはないと考えてよいでしょう。

　では、現行ISMAPとISMAP-LIUで何が違うのか、それは外部監査の対象となる範囲が異なります。前述したように、ISMAP-LIUでは、言明の過程において、現行ISMAP同様にガバナンス基準・マネジメント基準・管理策基準のすべてについて言明を行うことが求められますが、外部監査の対象となる範囲を、ガバナンス基準・マネジメント基準・管理策基準の一部（セキュリティ上、特に重要となる領域に属する管理策）を中心に絞りこんでいます。

　言明の対象範囲に違いがない分、外部監査を実施する範囲を大幅に絞り込むことで、簡易な仕組みを実現しています。

　また、ISMAP-LIUも現行ISMAP同様に、毎年の外部監査が求められますが、上記スコープ全量が毎回監査されるわけではなく、管理策基準については、複数年度に分けて実施される仕組みとなっています。（制度上、何年に分割するは公開されていませんが、例えば、監査で一般的とされている３年サイクルを例に取った場合のイメージは以下の通りです）

　このように、外部監査の対象範囲を縮小した結果、外部監査において対応すべき管理策数は現行ISMAPの概ね1/5程度になると想定され、監査の業務量としては相当の軽減が見込まれるとしています。

ISMAP-LIUの内部監査

　次に、ISMAP-LIUで新規に導入された、セキュリティ内部監査に係る報告書の提出についてご紹介します。

　前述のように、ISMAP-LIUでは外部監査の対象範囲を大幅に縮小しています。そのため、ISMAP制度で実施が求められている内部監査の結果について報告書の提出を求めることで、クラウド事業者自身が自らの統制を自主的かつ適切に運用することを促すことに狙いがあります。

　「内部監査に係る報告書の提出」と聞くと、ISMAP-LIUだけが内部監査の実施を求められているように誤解をするかもしれませんが、そうではなく、現行ISMAPかISMAP-LIUかに関わらず、マネジメント基準の4.6.2.2において、内部監査の実施は求められている点に留意が必要です。

　したがって、ISMAP-LIUだけが新規に内部監査の実施を求められているわけではなく、ISMAP制度全体として内部監査の実施はすでに求められている中で、ISMAP-LIUのみ、内部監査の結果を制度上の様式に落とし込む形で提出を求められていると理解することが正確です。様式に落とし込む事務的な作業はもちろん発生しますが、元々内部監査をしっかり行ってさえいれば、大幅な負担増にはならないと考えて良いでしょう。

取消・公表制度

　ISMAP-LIU最後の特徴である、「取消・公表制度」についてご説明します。取消・公表制度とは、ISMAP-LIUに登録されているサービスにおいて、深刻な影響を及ぼすセキュリティインシデントが発生した際、そのサービスの登録を即座に一時停止する仕組みです。現行ISMAPの場合は、インシデントが発生してもこのような即座の一時停止措置は設けられていません。

　前述のように、ISMAP-LIUでは外部監査の対象範囲を大幅に縮小しています。そのため、ISMAP-LIUへの継続登録を目的に、CSPの自主的な統制運用を促す施策の１つとして、本制度が導入されました。具体的には、以下のように仕組みが定められています。

　サービス登録の一時停止を受けた場合、ISMAP-LIUサービスリストに掲載されているとは言えないため、ISMAP・ISMAP-LIUサービスリストに掲載されているクラウドサービスから調達することを原則とされている政府機関等の調達フローから外れることとなります。

　インシデント対応が終了し、ISMAP運営委員会において問題なしと判断された場合、一時停止措置が解かれ、その後はISMAP-LIUサービスリストに掲載されている他のサービスと同様の扱いに戻ります。

　本措置への対応として、過度にセキュリティ対策を高度化し、過剰な対応を行う必要はないと考えられますが、クラウドサービス事業者として、セキュリティインシデントが発生しないよう日々の運用を徹底するという、本来の事業者としての基本的な責務を全うすることが重要です。

ISMAP-LIU制度に関する直近の動き（2025年4月）

　2025年4月1日の規程改定により、ISMAP-LIU制度の改善が行われました。

• 利用省庁における事前申請・影響度評価の廃止

• 対象業務の拡大

詳細はこちらから

①事前申請・影響度評価の廃止により、これまで協力いただける利用省庁がいない場合に、影響度評価を実施できずにプロセスが進められなかったという状況が改善されました。改善に伴って、より早く申請まで進められます。

②対象業務が8業務から10業務に拡大されたため、よりISMAP-LIUへの該当性ありと判断されるSaaSの種類が増えました。

執筆者

東海林 和広

• 株式会社 X-Regulation 取締役

• 大手監査法人において、ISMAP監査やクラウドサービスに対するセキュリティ監査等を多数経験