2023/5/19、デジタル庁のHPに「ISMAP-LIU登録促進のための取組み」が掲載されました。セキュリティリスクが低いSaaSサービスを対象とした仕組みであるISMAP-LIUですが、2023年5月現在において登録数は未だゼロです。今回の取組みは、この現状を改善するためのものと考えて良いでしょう。
本稿では、特にSaaS事業者の方々向けに、本取組みの内容を詳細に解説します。
ISMAP-LIU登録促進のための取組みの概要
ISMAP-LIUは本来、取り扱う情報のセキュリティリスクが低いSaaSサービスに対する枠組みです。しかし、SaaS事業者には中小・スタートアップ企業も数多く存在しており、企業規模に比して、ISMAP-LIUへの登録に必要なコスト・時間が相応に見込まれるケースが想定されます。
ISMAPは、要求するセキュリティ水準を満たしたサービスをサービスリストに掲載することを意図していますが、登録されたサービス数が少なすぎると、政府機関等による調達の選択肢が狭まることに加え、制度の根本的な目的であるクラウド・バイ・デフォルト原則の達成に支障をきたしかねません。
そのため、ISMAP-LIUへの登録促進を目的として、以下の取り組みが発表されました。
・ISMAP-LIUに関する相談を随時受け付ける相談窓口の設置
・「特別措置サービスリスト」の策定
・ISMAP-LIUへの申請に係る緩和措置
このうち、特別サービスリストの策定と、申請に係る措置は、登録サービス数が安定的に増加するまでの間、先行してISMAP-LIUに登録する意欲があるSaaS事業者に対して、一定のセキュリティ水準を確保しつつも、より広く門戸を開くことに焦点を当てた時限的措置となります。それぞれ詳しく見ていきましょう。
1.デジタル庁への相談窓口の設置
1つ目の措置は、デジタル庁への相談窓口の設置です。これまでも、ISMAPポータルサイト上に設置した問い合わせフォーム等を通じて、制度に質問や照会を行うことは可能でしたが、今後、ISMAP-LIUについては、制度所管省庁であるデジタル庁が設けた相談窓口にも問い合わせができることになりました。例えば、以下のような質問・相談をデジタル庁担当者に問い合わせることができるようです。
自身が提供するSaaSサービスがISMAP-LIUクラウドサービスリストに登録できるかどうか教えて欲しい
ISMAP-LIUクラウドサービスリスト登録を申請したいが、必要になる条件を教えて欲しい
ISMAP-LIUクラウドサービスリスト登録を目指しているが、「業務・情報の影響度評価」を実施してくれるパートナー省庁が見つからないので支援して欲しい
ISMAP-LIUは、セキュリティリスクが低いサービスを対象としているため、セキュリティリスクが低いことを確認する「業務・情報の影響度評価」の提出が求められます。この影響度評価は、SaaS事業者が調達を行う政府機関等へ実施を依頼する必要があります。ところが、影響度評価を実施してくれる政府機関等がいない等の理由で、SaaS事業者が影響度評価を入手することができず、ISMAP-LIUへの申請の障壁となっているとの声を数多く聞きます。
また、これまでは、自社のサービスがISMAP-LIUに該当するのか(影響度は低位といえるのか)について、その確からしさを知る機会がありませんでしたが、今回の相談窓口ができたことにより、そういった質問・相談がしやすくなったといえるでしょう。
2.特別措置サービスリストの策定
2つ目の措置として、特別措置サービスリストという新規のサービスリスト(※1)が導入されます。ISMAP-LIUで求めるレベルとはいかずとも、一定のセキュリティ水準を満たしたサービスを特別措置サービスリストに登録し、当該リストから調達を行うことで、政府機関等における更なるSaaSサービスの調達拡大に資することとなります。
特別措置サービスリストへのエントリーにあたっては、4つの適用要件を満たすことが求められます。
特別措置を適用しようとする SaaS サービスについて、特別措置の運用期間中(※2)に ISMAP-LIU への登録申請(事前申請を含む)が提出される予定であること
特別措置を適用しようとする SaaS サービスについて、政府機関等が実施した「業務・情報の影響度評価結果」が「低位」であること
ISMAP 管理基準のうち、ガバナンス基準及びマネジメント基準における全ての基準、管理策基準における統制目標及び末尾に B が付された詳細管理策を満たしていることが言明されていること
特別措置の適用にあたって、登録申請の意思及び言明内容についての誓約書が提出されていること
(※1)当該リストは、調達を行う政府機関等にのみ展開され、一般には非公開となります。(※2)今回の特別措置の運用期間は令和5年5月19日~令和7年3月末までの約2年間です。
特別措置の利用を希望するSaaS事業者は、以上の4点を確認し、エントリー書類一式を準備し、申請を行うこととなります。申請においては、監査機関による実施結果報告書の添付は求められないため、外部監査に伴う負担も特別措置サービスリストへの申請においてはかからないということになります。
3.ISMAP-LIU申請に係る措置
3つ目の措置は、特別措置サービスリストに掲載された後のステップとして、ISMAP-LIUへの申請を行う際に適用される措置です。具体的には、以下の3つが用意されています。
外部監査の一部緩和
内部監査に係る報告書の提出免除
独法・指定法人による「業務・情報の影響度評価」の提出
1つ目と2つ目は、主にISMAP対応のコスト負担の軽減、3つ目が事前申請の障壁となっていた、政府機関等による業務・情報の影響度評価の実施主体制限の緩和です。それぞれ、詳細に見ていきましょう。
3-1.外部監査の一部緩和
ISMAP-LIUに申請を行うにあたり、ISMAPに登録されている監査機関から外部監査を受ける必要がありますが、今回の特別措置の運用期間である約2年間のうち、1度に限り、外部監査の範囲を縮小することができます。デジタル庁のHP上には以下のように記載されていますが、具体的にはどの程度監査範囲が縮小するのでしょうか。
ISMAP-LIU で求める外部監査について、特別措置の期間内において、一度に限り、監査対象範囲を「整備状況評価」及び「最小限度の運用状況評価」とすることを可能とします【特別措置限り】 【出典】ISMAP-LIU 登録促進のための特別措置について > 2 特別措置の枠組み > (4)特別措置におけるインセンティブ措置の内容 > ①
制度のポータルサイトに掲載されている、元々のISMAP-LIUの外部監査の仕組みを踏まえると、次のように変化するようです。
ISMAPの監査は、セキュリティ統制の整備状況を確認する「整備状況評価」と、整備された統制が監査対象期間に渡って適切に運用されているかを確認する「運用状況評価」の2つが実施されます。元々のISMAP-LIUでは、上図のように、通常のISMAPと比較して、監査対象を管理策全体の1/5程度の重要な項目に絞り込んでおり、それらに対して整備状況評価・運用状況評価が行われます。今回の特別措置では、整備状況評価はそのままですが、運用状況評価対象が大幅に免除され、最小限の項目のみ実施する仕組みとなっています。今回の公表資料上は、「具体的な運用状況評価項目については、別途、ISMAP 運営委員会において定める」と記載されており、今後、詳細な項目が決定されるようです。
3-2.内部監査に係る報告書の提出免除
次に、内部監査に係る報告書提出の免除です。前述したように、ISMAP-LIUでは、通常のISMAPと比較して、外部監査の対象を大幅に削減していますが、その代わりとして、セキュリティ内部監査の実施状況について、内容の報告を求めています。注意点として、ISMAP/ISMAP-LIU問わず、内部監査の実施自体は主にガバナンス・マネジメント基準の中で求めているため、制度への提出書類如何に関わらず、内部監査自体は実施する必要があります。
4.6.2 パフォーマンス評価 (中略) 4.6.2.2 組織は、あらかじめ定めた間隔で内部監査を実施する。[27001-9.2a)/9.2b)] a)内部監査を実施する際は、以下を確認する。・以下に適合していること。 -情報セキュリティマネジメントに関して、組織自体が規定した要求事項 -本マネジメント基準の要求事項・情報セキュリティマネジメントが有効に実施され、維持されていること (後略) 【出典】ISMAP管理基準
通常、企業が実施している内部監査及びその報告書は、必ずしも外部に公開することを意図しているわけではないため、ISMAP-LIUでは、企業の内部監査報告書そのものを提出するのではなく、その内容について、制度が求める情報を規定の様式に落とし込んで提出することを要求しています。今回の特別措置では、この「様式に落とし込んで提出」する部分が、特別措置の期間中1度に限り免除になると考えると良いでしょう。
ISMAP-LIU で求める内部監査に係る報告書について、特別措置の期間内において、一度に限り、内部監査に係る報告書の提出を免除可能とする仕組みを設け、外部監査に要するコスト低減及び申請準備に係る事務負担低減を図ります【特別措置限り】 【出典】ISMAP-LIU 登録促進のための特別措置について > 2 特別措置の枠組み > (4)特別措置におけるインセンティブ措置の内容 > ②
3-3.独法・指定法人による「業務・情報の影響度評価」の提出
最後の措置として、独立行政法人・指定法人による「業務・情報の影響度評価」結果の提出が可能となりました。前述したように、ISMAP-LIUは、セキュリティリスクの低いSaasサービスを対象としており、申請にあたっては、サービスで取り扱う情報のリスクが「低位」であることを、実際に調達を行う政府機関等が評価した結果を入手し、制度に提出する必要があります。
2022年11月にISMAP-LIUが施行された当初、ISMAPの適用対象となっている政府機関等の内、国の行政機関のみに「業務・情報の影響度評価」結果の提出が制限されていました。今回の特別措置によって、独法・指定法人も「業務・情報の影響度評価」結果の提出が可能となり、これまで国の行政機関と付き合いがなく、影響度評価を実施してくれる政府機関が見つからなかったCSPも、申請がしやすくなりました。 加えて、この措置だけは、上記2つの措置と違い、特別措置の期限である令和7年3月末以降も恒久的に続くようです。
特別措置を利用した申請の流れ
最後に、今回の取組みを踏まえ、特別措置サービスリストへの申請からISMAP-LIUへの申請までの具体的な申請の流れについてご説明します。
デジタル庁への相談はあくまで任意ですが、ISMAP-LIUにおいては、自分たちのサービスで取り扱う業務・情報が、セキュリティ影響度「低位」かどうか、が重要です。もちろん、最終的には調達する政府機関等が影響度評価を実施し、影響度合いの判断を行うことになりますが、ISMAP-LIUに該当する可能性を予め把握しておくことで、その後のアクションを検討しやすくなります。
次に、特別措置サービスリストへの掲載です。こちらは、先にご説明したエントリー書類一式を制度に提出し、制度所管による審査が行われた後、政府機関等にのみ共有される形で、リストに掲載されます。特別措置サービスリストまで掲載されれば、政府機関等が調達を行う際に参照されることになるため、令和7年3月末まで何もしないよりは調達可能性が高まることになります。
特別措置サービスリストに掲載された後は、いよいよISMAP-LIUへの申請です。上図の5.事前申請の段階では、本来、業務・情報の影響度が「低位」であることが主な確認事項ですので、特別措置サービスリストへのエントリー段階ですでに影響度「低位」となっているサービスである以上、ISMAP-LIUへの事前申請でも「低位」として処理される可能性は高いと考えられます。また、事前申請に通過した後は、通常のISMAPと同様、外部監査対応やその他の申請書類を準備し、申請を行うことになります。
ISMAP登録プロセスに要する時間の目安については、「ISMAP登録に係る費用」をご参考ください。
まとめ
いかがでしょうか。今回は、ISMAP-LIUの対象になりそうなSaaS事業者の方々向けに、本取組みによって何が変わるのか、詳細に解説しました。今回の特別措置によって、約2年間はISMAP-LIUの各要件が一定程度緩和することになりますが、2年間何もしないと、措置が切れた際の影響も大きいことが想定されます。CSPの方は、この期間を有効活用して、ISMAP-LIUへの準拠に向け、準備を進めることが重要です。
LIU自体、始まったばかりの制度ということもあり、しばらくは試行錯誤が続きそうですが、本サイトでも引き続き注視していければと思います。
本サイトでは、ISMAP制度における疑問・質問はどんな内容でも受け付けております。その他、制度理解や対応に役立つコンテンツをどんどん配信しているので、是非チェックしてみてください!
執筆者
東海林 和広
株式会社 X-Regulation 取締役
大手監査法人において、ISMAP監査やクラウドサービスに対するセキュリティ監査等を多数経験
コメント