top of page

ISMAP-LIUの監査対象を詳しく理解する

更新日:6月6日

ISMAP-LIU 監査対象

 ISMAP-LIUは、ISMAPが対象とするクラウドサービスのうち、セキュリティリスクの小さな業務・情報の処理に用いるSaaSに対する仕組みです。ISMAPとの主な相違点として、外部監査対象が大幅に縮小されることが挙げられます。

 本稿では、ISMAP-LIUの外部監査対象が具体的にどのような領域を対象としているのか、解説します。

 

ISMAP-LIUの概要について知りたい方は、 ISMAP-LIUとは?ISMAPとの違いやISMAP-LIU費用を徹底解剖」をご参考ください。

 

※本稿は、ISMAP制度の公表資料等に基づいて当社の見解を記したものであり、ISMAP制度の正式見解ではありません。

※ISMAP制度の正式見解については、ISMAPポータルサイトより、直接制度にお問合せをお願いいたします。






ISMAP制度規程上の要求事項

 ISMAP-LIUの外部監査対象範囲を理解するためには、以下の2点を認識することが重要です。

  1. 言明対象範囲

  2. 外部監査の実施範囲

 まず、言明対象範囲については、現行ISMAP同様、ガバナンス基準・マネジメント基準・管理策基準のすべてに対して言明を行う必要があります。

ISMAP管理策数

 これは、ISMAPが定める管理策の多くが、ISO/IEC 27001等の国際標準を基礎としており、基本的なセキュリティ対策が中心となっているためです。

 また、ISMAP管理策群の構造として、クラウド事業者が自らリスク評価を行い、自身に必要なセキュリティ対策を選定するというISMS認証に近い考え方をしており、ISMAP-LIUにおいてもその考え方を踏襲しているため、言明を行う過程においては、現行ISMAPとISMAP-LIUで違いはないと考えてよいでしょう。

 では、現行ISMAPとISMAP-LIUで何が違うのか、それは外部監査の対象範囲が異なります。ISMAP-LIUでは、外部監査対象を、ガバナンス基準・マネジメント基準・管理策基準の一部(セキュリティ上、特に重要となる領域に属する管理策)を中心に絞っています。

(引用)  ISMAP-LIUに関しては、ガバナンス基準・マネジメント基準の全ての詳細管理策に加えて、以下に掲げるような、クラウドサービスの基盤・構成に深刻な影響を与え重大な事故につながるリスクに関連する詳細管理策を中心として監査を実施する。 1.アクセス管理(特権の管理、ID・パスワード管理、物理セキュリティ等) 2.システムの開発・変更に係る管理(開発管理、変更管理) 3.システムの運用管理(ぜい弱性管理、障害管理、システム運用監視、ネットワーク管理、冗長性の確保等) 4.外部委託先管理(1.~3.に関連するもの) 【出典】ISMAP標準監査手続 > (別紙3)ISMAP-LIUにおける監査業務

 言明の対象範囲に違いがない分、外部監査を実施する範囲を大幅に絞り込み、簡易な仕組みを実現しています。

 また、ISMAP-LIUも現行ISMAP同様に、毎年の外部監査が求められますが、上記スコープ全量が毎回監査されるわけではありません。ガバナンス・マネジメント基準は毎年外部監査が実施されますが、管理策基準については、複数年度に分けて実施される仕組みとなっています。(制度上、何年に分割するは公開されていませんが、例えば、監査で一般的とされている3年サイクルを例に取った場合のイメージは以下の通りです)

ISMAP-LIUの外部監査対象範囲


 このように、外部監査の対象範囲を縮小した結果、外部監査において対応すべき管理策数は現行ISMAPの概ね1/5程度になると想定され、監査費用(監査報酬や社内の対応工数含む)は相当軽減されるとしています。




具体的なISMAP-LIUの外部監査対象

 ISMAP-LIUでは、管理策基準のうち特に重要となる領域に属する管理策を中心に外部監査が行われると説明しました。では具体的にどの項目が対象となるのか、確認しましょう。

 制度規程上、統制目標や詳細管理策といった細かい粒度での対象範囲は公開されていませんが、公表されている範囲から読み取る限り、例として、以下のような項目が対象となると推察されます。(以下、例示)

ISMAP-LIU 外部監査対象範囲の例示

 上記に例示した管理策以外にも、ISMAP-LIUの外部監査対象に含まれる項目は存在しますが、いずれも情報セキュリティの基本的かつ重要な項目である点に変わりはないので、自身に必要なセキュリティ対策を見極め、全般的な対応を行いつつ、制度規程で定められている外部監査対象については、監査対応も意識した対策を講じることが望まれるでしょう。




まとめ

 いかがでしょうか。本稿では、ISMAP-LIUの外部監査対象について、制度規程から読み取れる範囲で詳細に紐解きました。

 ISMAP-LIUへの登録を検討しているクラウド事業者の方におかれては、今回ご紹介したISMAP-LIUの外部監査対象候補となる管理策から監査対応準備を進める等、工夫した対応を行うことを推奨いたします。


 

執筆者

東海林 和広

  • 株式会社 X-Regulation 取締役

  • 大手監査法人において、ISMAP監査やクラウドサービスに対するセキュリティ監査等を多数経験

 

​お役立ち資料

Coming Soon

ISMAP無料相談 X-Regulation

X-Regulationでは、元ISMAP監査人が、
確実かつ効率的なISMAP・ISMAP-LIU登録を実現します。

bottom of page