top of page
Posts List
ISMS認証はISMAP登録対応にどう影響を及ぼすのか?工数への影響などを解説
ISMS認証取得をしていることで、ISMAP登録対応にどの程度影響するのかについて解説します。
SaaS事業者必見!ISMAP-LIU登録促進のための特別措置の有効期間が明確に
ISMAP-LIU登録促進のための特別措置について、有効期間を詳細に解説します。
ISMAP-LIUの監査対象を詳しく理解する
ISMAP-LIUの特徴である、外部監査対象が大幅に縮小されることについて、具体的にどのような領域を対象としているのか、解説します。
![2023/5/19、デジタル庁のHPに「ISMAP-LIU登録促進のための取組み」が掲載されました。セキュリティリスクが低いSaaSサービスを対象とした仕組みであるISMAP-LIUですが、2023年5月現在において登録数は未だゼロです。今回の取組みは、この現状を改善するためのものと考えて良いでしょう。 本稿では、特にSaaS事業者の方々向けに、本取組みの内容を詳細に解説します。 目次 ISMAP-LIU登録促進のための取組みの概要
1.デジタル庁への相談窓口の設置
2.特別措置サービスリストの策定
3.ISMAP-LIU申請に係る措置
3-1.外部監査の一部緩和
3-2.内部監査に係る報告書の提出免除
3-3.独法・指定法人による「業務・情報の影響度評価」の提出 特別措置を利用した申請の流れ まとめ ISMAP-LIU登録促進のための取組みの概要 ISMAP-LIUは本来、取り扱う情報のセキュリティリスクが低いSaaSサービスに対する枠組みです。しかし、SaaS事業者には中小・スタートアップ企業も数多く存在しており、企業規模に比して、ISMAP-LIUへの登録に必要なコスト・時間が相応に見込まれるケースが想定されます。 ISMAPは、要求するセキュリティ水準を満たしたサービスをサービスリストに掲載することを意図していますが、登録されたサービス数が少なすぎると、政府機関等による調達の選択肢が狭まることに加え、制度の根本的な目的であるクラウド・バイ・デフォルト原則の達成に支障をきたしかねません。 そのため、ISMAP-LIUへの登録促進を目的として、以下の取り組みが発表されました。 ・ISMAP-LIUに関する相談を随時受け付ける相談窓口の設置 ・「特別措置サービスリスト」の策定 ・ISMAP-LIUへの申請に係る緩和措置 このうち、特別サービスリストの策定と、申請に係る措置は、登録サービス数が安定的に増加するまでの間、先行してISMAP-LIUに登録する意欲があるSaaS事業者に対して、一定のセキュリティ水準を確保しつつも、より広く門戸を開くことに焦点を当てた時限的措置となります。それぞれ詳しく見ていきましょう。 1.デジタル庁への相談窓口の設置 1つ目の措置は、デジタル庁への相談窓口の設置です。これまでも、ISMAPポータルサイト上に設置した問い合わせフォーム等を通じて、制度に質問や照会を行うことは可能でしたが、今後、ISMAP-LIUについては、制度所管省庁であるデジタル庁が設けた相談窓口にも問い合わせができることになりました。例えば、以下のような質問・相談をデジタル庁担当者に問い合わせることができるようです。 自身が提供するSaaSサービスがISMAP-LIUクラウドサービスリストに登録できるかどうか教えて欲しい ISMAP-LIUクラウドサービスリスト登録を申請したいが、必要になる条件を教えて欲しい ISMAP-LIUクラウドサービスリスト登録を目指しているが、「業務・情報の影響度評価」を実施してくれるパートナー省庁が見つからないので支援して欲しい ISMAP-LIUは、セキュリティリスクが低いサービスを対象としているため、セキュリティリスクが低いことを確認する「業務・情報の影響度評価」の提出が求められます。この影響度評価は、SaaS事業者が調達を行う政府機関等へ実施を依頼する必要があります。ところが、影響度評価を実施してくれる政府機関等がいない等の理由で、SaaS事業者が影響度評価を入手することができず、ISMAP-LIUへの申請の障壁となっているとの声を数多く聞きます。 また、これまでは、自社のサービスがISMAP-LIUに該当するのか(影響度は低位といえるのか)について、その確からしさを知る機会がありませんでしたが、今回の相談窓口ができたことにより、そういった質問・相談がしやすくなったといえるでしょう。 【参考】 ISMAP-LIU登録促進のための取組み > 相談窓口 > 連絡先 2.特別措置サービスリストの策定 2つ目の措置として、特別措置サービスリストという新規のサービスリスト(※1)が導入されます。ISMAP-LIUで求めるレベルとはいかずとも、一定のセキュリティ水準を満たしたサービスを特別措置サービスリストに登録し、当該リストから調達を行うことで、政府機関等における更なるSaaSサービスの調達拡大に資することとなります。 特別措置サービスリストへのエントリーにあたっては、4つの適用要件を満たすことが求められます。 特別措置を適用しようとする SaaS サービスについて、特別措置の運用期間中(※2)に ISMAP-LIU への登録申請(事前申請を含む)が提出される予定であること 特別措置を適用しようとする SaaS サービスについて、政府機関等が実施した「業務・情報の影響度評価結果」が「低位」であること ISMAP 管理基準のうち、ガバナンス基準及びマネジメント基準における全ての基準、管理策基準における統制目標及び末尾に B が付された詳細管理策を満たしていることが言明されていること 特別措置の適用にあたって、登録申請の意思及び言明内容についての誓約書が提出されていること (※1)当該リストは、調達を行う政府機関等にのみ展開され、一般には非公開となります。(※2)今回の特別措置の運用期間は令和5年5月19日~令和7年3月末までの約2年間です。 特別措置の利用を希望するSaaS事業者は、以上の4点を確認し、エントリー書類一式を準備し、申請を行うこととなります。申請においては、監査機関による実施結果報告書の添付は求められないため、外部監査に伴う負担も特別措置サービスリストへの申請においてはかからないということになります。 3.ISMAP-LIU申請に係る措置 3つ目の措置は、 特別措置サービスリストに掲載された後のステップ として、ISMAP-LIUへの申請を行う際に適用される措置です。具体的には、以下の3つが用意されています。 外部監査の一部緩和 内部監査に係る報告書の提出免除 独法・指定法人による「業務・情報の影響度評価」の提出 1つ目と2つ目は、主にISMAP対応のコスト負担の軽減、3つ目が事前申請の障壁となっていた、政府機関等による業務・情報の影響度評価の実施主体制限の緩和です。それぞれ、詳細に見ていきましょう。 3-1.外部監査の一部緩和 ISMAP-LIUに申請を行うにあたり、ISMAPに登録されている監査機関から外部監査を受ける必要がありますが、今回の特別措置の運用期間である約2年間のうち、1度に限り、外部監査の範囲を縮小することができます。デジタル庁のHP上には以下のように記載されていますが、具体的にはどの程度監査範囲が縮小するのでしょうか。 ISMAP-LIU で求める外部監査について、特別措置の期間内において、一度に限り、監査対象範囲を「整備状況評価」及び「最小限度の運用状況評価」とすることを可能とします【特別措置限り】
【出典】 ISMAP-LIU 登録促進のための特別措置について > 2 特別措置の枠組み > (4)特別措置におけるインセンティブ措置の内容 > ① 制度のポータルサイトに掲載されている、元々の ISMAP-LIUの外部監査の仕組み を踏まえると、次のように変化するようです。 ISMAPの監査は、セキュリティ統制の整備状況を確認する「整備状況評価」と、整備された統制が監査対象期間に渡って適切に運用されているかを確認する「運用状況評価」の2つが実施されます。元々のISMAP-LIUでは、上図のように、通常のISMAPと比較して、監査対象を管理策全体の1/5程度の重要な項目に絞り込んでおり、それらに対して整備状況評価・運用状況評価が行われます。今回の特別措置では、整備状況評価はそのままですが、運用状況評価対象が大幅に免除され、最小限の項目のみ実施する仕組みとなっています。今回の公表資料上は、「具体的な運用状況評価項目については、別途、ISMAP 運営委員会において定める」と記載されており、今後、詳細な項目が決定されるようです。 3-2.内部監査に係る報告書の提出免除 次に、内部監査に係る報告書提出の免除です。前述したように、ISMAP-LIUでは、通常のISMAPと比較して、外部監査の対象を大幅に削減していますが、その代わりとして、セキュリティ内部監査の実施状況について、内容の報告を求めています。注意点として、ISMAP/ISMAP-LIU問わず、内部監査の実施自体は主にガバナンス・マネジメント基準の中で求めているため、制度への提出書類如何に関わらず、内部監査自体は実施する必要があります。 4.6.2 パフォーマンス評価
(中略)
4.6.2.2 組織は、あらかじめ定めた間隔で内部監査を実施する。[27001-9.2a)/9.2b)]
a)内部監査を実施する際は、以下を確認する。・以下に適合していること。 -情報セキュリティマネジメントに関して、組織自体が規定した要求事項 -本マネジメント基準の要求事項・情報セキュリティマネジメントが有効に実施され、維持されていること
(後略)
【出典】 ISMAP管理基準 通常、企業が実施している内部監査及びその報告書は、必ずしも外部に公開することを意図しているわけではないため、ISMAP-LIUでは、企業の内部監査報告書そのものを提出するのではなく、その内容について、制度が求める情報を規定の様式に落とし込んで提出することを要求しています。今回の特別措置では、この「様式に落とし込んで提出」する部分が、特別措置の期間中1度に限り免除になると考えると良いでしょう。 ISMAP-LIU で求める内部監査に係る報告書について、特別措置の期間内において、一度に限り、内部監査に係る報告書の提出を免除可能とする仕組みを設け、外部監査に要するコスト低減及び申請準備に係る事務負担低減を図ります【特別措置限り】
【出典】 ISMAP-LIU 登録促進のための特別措置について > 2 特別措置の枠組み > (4)特別措置におけるインセンティブ措置の内容 > ② 3-3.独法・指定法人による「業務・情報の影響度評価」の提出 最後の措置として、独立行政法人・指定法人による「業務・情報の影響度評価」結果の提出が可能となりました。前述したように、ISMAP-LIUは、セキュリティリスクの低いSaasサービスを対象としており、申請にあたっては、サービスで取り扱う情報のリスクが「低位」であることを、実際に調達を行う政府機関等が評価した結果を入手し、制度に提出する必要があります。 2022年11月にISMAP-LIUが施行された当初、ISMAPの適用対象となっている政府機関等の内、国の行政機関のみに「業務・情報の影響度評価」結果の提出が制限されていました。今回の特別措置によって、独法・指定法人も「業務・情報の影響度評価」結果の提出が可能となり、これまで国の行政機関と付き合いがなく、影響度評価を実施してくれる政府機関が見つからなかったCSPも、申請がしやすくなりました。 加えて、この措置だけは、上記2つの措置と違い、特別措置の期限である令和7年3月末以降も恒久的に続くようです。 【参考】 ISMAP-LIU 登録促進のための特別措置について > 2 特別措置の枠組み > (4)特別措置におけるインセンティブ措置の内容 > ③ 特別措置を利用した申請の流れ 最後に、今回の取組みを踏まえ、特別措置サービスリストへの申請からISMAP-LIUへの申請までの具体的な申請の流れについてご説明します。 デジタル庁への相談はあくまで任意ですが、ISMAP-LIUにおいては、自分たちのサービスで取り扱う業務・情報が、セキュリティ影響度「低位」かどうか、が重要です。もちろん、最終的には調達する政府機関等が影響度評価を実施し、影響度合いの判断を行うことになりますが、ISMAP-LIUに該当する可能性を予め把握しておくことで、その後のアクションを検討しやすくなります。 次に、特別措置サービスリストへの掲載です。こちらは、先にご説明したエントリー書類一式を制度に提出し、制度所管による審査が行われた後、政府機関等にのみ共有される形で、リストに掲載されます。特別措置サービスリストまで掲載されれば、政府機関等が調達を行う際に参照されることになるため、令和7年3月末まで何もしないよりは調達可能性が高まることになります。 特別措置サービスリストに掲載された後は、いよいよISMAP-LIUへの申請です。上図の5.事前申請の段階では、本来、業務・情報の影響度が「低位」であることが主な確認事項ですので、特別措置サービスリストへのエントリー段階ですでに影響度「低位」となっているサービスである以上、ISMAP-LIUへの事前申請でも「低位」として処理される可能性は高いと考えられます。また、事前申請に通過した後は、通常のISMAPと同様、外部監査対応やその他の申請書類を準備し、申請を行うことになります。 ISMAP登録プロセスに要する時間の目安については、「 ISMAP登録に係る費用 」をご参考ください。 まとめ いかがでしょうか。今回は、ISMAP-LIUの対象になりそうなSaaS事業者の方々向けに、本取組みによって何が変わるのか、詳細に解説しました。今回の特別措置によって、約2年間はISMAP-LIUの各要件が一定程度緩和することになりますが、2年間何もしないと、措置が切れた際の影響も大きいことが想定されます。CSPの方は、この期間を有効活用して、ISMAP-LIUへの準拠に向け、準備を進めることが重要です。 LIU自体、始まったばかりの制度ということもあり、しばらくは試行錯誤が続きそうですが、本サイトでも引き続き注視していければと思います。 本サイトでは、ISMAP制度における疑問・質問はどんな内容でも受け付けております。その他、制度理解や対応に役立つコンテンツをどんどん配信しているので、是非チェックしてみてください! 執筆者 東海林 和広 株式会社 X-Regulation 取締役 大手監査法人において、ISMAP監査やクラウドサービスに対するセキュリティ監査等を多数経験](https://static.wixstatic.com/media/a3fa55_b2cf19e7ac384facb39d2c453dc9bca6~mv2.jpg/v1/fill/w_265,h_265,al_c,q_80,usm_0.66_1.00_0.01,enc_avif,quality_auto/Image-empty-state.jpg)
特別措置|ISMAP-LIU登録促進のための取組みとは?
デジタル庁より発表された「ISMAP-LIU登録促進のための取組み」の特別措置について詳しく説明します。
ISMAPの登録日と更新期限の関係は?
ISMAPに登録された事業者向けに、登録されてから更新を行うまでの一連の流れを解説します。
![ISMAP for Low-Impact Use(ISMAP-LIU ; イスマップエルアイユー)とは、 ISMAPが対象とするクラウドサービスのうち、セキュリティリスクの小さな業務・情報の処理に用いるSaaSに対する仕組み です。2022/11/1に、ISMAP制度の中の枠組みの1つとして施行されました。 現行のISMAPと同様に、セキュリティ監査等を経て、一定の安全性・信頼性が確認されたサービスを登録する仕組みですが、対象とするサービス範囲や外部監査の範囲や、ISMAP-LIU特有の仕組み等の違いがあります。 本稿では、現行ISMAPとの相違点を全体的に捉えた上で、ISMAP-LIUサービスリストへの登録の流れ等を解説します。 目次 ISMAP-LIUとは? ISMAP-LIU発足の経緯 ISMAP-LIUのメリット 政府機関等のシステム調達への入札参加 高いセキュリティレベルの証明 民間企業の高まる要求に対応 ISMAP-LIUクラウドサービスリスト ISMAPとISMAP-LIUの違い ISMAP-LIUにかかる費用の相場 ISMAP-LIU認証までの流れ ISMAP-LIUへの該当性 ISMAP-LIU外部監査 ISMAP-LIU内部監査 取消・公表制度 ISMAP-LIU制度に関する直近の動き(2025年4月) ISMAP-LIUとは? ISMAP-LIU発足の経緯 まず、ISMAP-LIUの背景について説明します。 ISMAP制度は元々、機密性2情報を取り扱うクラウドサービスを対象とした制度 です。政府機関等(国の行政機関、独立行政法人、指定法人※1、地方公共団体のα'モデル※2)がクラウドサービスを調達する際、ISMAPに登録されたサービスからの調達を原則とする制度として、2020年6月より施行されました。 ※1:指定法人とは、次のリンク先で定める法人を指します。( リンク )
※2:地方公共団体のα'モデルとは、次のリンク先で定めるモデルを指します。( リンク ) ISMAPについて詳しく知りたい方は、
「 ISMAP(イスマップ)とは?ISMAPについて知っておくべき全て(決定版) 」をご参考ください。 しかし、 ISMAPが対象としている「機密性2情報」というのは、非常に多岐に渡ります。 内閣官房内閣サイバーセキュリティセンター(NISC)が発行している「政府機関等のサイバーセキュリティ対策のための統一基準群」では、情報の機密性について以下のように定義しています。 【参考】「 政府機関等のサイバーセキュリティ対策のための統一基準 」より引用して作成 簡単にいうと、機密性1・3情報ではない情報が機密性2情報に該当すると考えると分かりやすいでしょう。 これら機密性2情報を取り扱うクラウドサービスは、IaaS、PaaS、SaaSと多岐に渡ります。中でもSaaSは、サービスの幅が非常に広く、中には用途や機能が一部の業務に限定されるものや、機密性2情報の中でも比較的重要度が低い情報しか取り扱わないもの等が存在します。こういったサービスについても現行ISMAPと同様の取り扱いとすると、セキュリティ要求水準が過剰になりかねず、政府機関等におけるSaaSサービスの利活用が進まず、クラウド・バイ・デフォルト原則の達成に支障をきたしかねません。 こうした背景を受けて、 機密性2情報を取り扱うSaaSを対象に、セキュリティ上のリスクの小さい業務・情報の処理に用いるSaaSに対する新たな枠組みとして、ISMAP-LIUが創設 されました。 ISMAP-LIUのメリット ISMAP-LIUクラウドサービスリストに登録するメリットは、ISMAPサービスリストに登録するメリットとほぼ同義になります。具体的には、以下3つです。 政府機関等のシステム調達への入札参加 高いセキュリティレベルの証明 民間企業の高まる要求に対応 1.政府機関等のシステム調達への入札参加 1つ目は、ISMAP-LIUの本来の趣旨である政府機関等のシステム調達への参入です。ISMAPの開始以降、政府機関等は、原則としてISMAPに登録されているサービスから調達を行うことになりました。 2 各政府機関等における本制度の利用の考え方
各政府機関等は、クラウドサービスを調達する際には、本制度において登録されたサービスから調達することを原則とし、本制度における登録がないクラウドサービスの調達については、本制度で要求する事項を満たしていると、当該調達を行う政府機関等の最高情報セキュリティ責任者の責任において、それぞれの政府機関等で確認するものとし、詳細は、サイバーセキュリティ対策推進会議、デジタル社会推進会議幹事会において定めるものとする。 したがって、 ISMAP-LIUクラウドサービスリストに掲載されることで、政府機関等のシステム調達への入札参加が容易になります。 また、ISMAP-LIUそのものではなくとも、(現時点ではIaaSに限った話ですが)例えば、デジタル庁のガバメントクラウドの公募では、応募要件の1つにISMAP登録が明記されており、今後、ISMAPが政府機関等の様々な取り組みで参照されていくことで、より可能性が広がっていくといえるでしょう。 6.公募対象
政府情報システムのためのセキュリティ評価制度ISMAP(イスマップ)に登録されているクラウドサービス のうち、調達仕様書に添付されている「別紙1_基本事項及 びマネージドサービスの技術要件詳細」を満たすクラウドサービスを運営する事業者。 なお、本公募においては、複数の事業者による共同提案は認めない。
【出典】 デジタル庁におけるガバメントクラウド整備のためのクラウドサービスの提供 -令和4年度募集- また、 総務省が地方公共団体向けに公表している「地方公共団体における情報セキュリティポリシーに関するガイドライン」において、 α’モデルにおけるクラウドサービス調達時において、ISMAP登録サービスの利用が求められています。α’モデル以外では、地方公共団体のクラウドサービス調達上、ISMAPは参照すべき認証・制度としてISMAPが紹介されています。 ③主に外部のクラウドサービスの利用を目的として、LGWAN接続系から接続先にローカルブレイクアウトする構成として、α’モデルが考えられる。 (中略)本モデルにおいて利用可能なクラウドサービスは、ISMAP管理基準を満たし、ISMAPクラウドサービスリストに登録されているサービスとする。
(中略)
(2)外部サービスの選定⑤情報セキュリティ管理者は、外部サービスに対する情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、外部サービス及び当該サービスの委託先の信頼性が十分であることを総合的・客観的に評価し判断しなければならない。(中略) このような評価に当たって、外部サービス提供者が利用者に提供可能な第三者による監査報告書や認証等を取得している場合には、その監査報告書や認証等を利用する必要がある。なお、選定条件となる認証には、ISO/IEC 27017 によるクラウドサービス分野におけるISMS認証の国際規格がある。また、ISMAPの管理基準を満たすことの確認やISMAPクラウドサービスリスト等のほか、日本セキュリティ監査協会のクラウド情報セキュリティ監査や外部サービス提供者等のセキュリティに係る内部統制の保証報告書であるSOC報告書(Service Organization Control Report)を活用することを推奨する。
【出典】 地方公共団体における情報セキュリティポリシーに関するガイドライン(令和 6年10月版) 2.高いセキュリティレベルの証明 ISMAPおよびISMAP-LIUの要求事項は主に、ISO/IEC27017等の国際標準に基づいて作成されています。そういった 国際的にも広く参照されている規格に適合しているという点で 、政府機関等への案件入札だけではなく、 民間に対する広いアピールが可能 です。 また、セキュリティ要求事項(管理策)のみならず、セキュリティ対策状況の評価基準(監査基準)も、ISMS認証等よりはるかに厳しいため、一見すると似たセキュリティ要求事項であっても、ISMAPおよびISMAP-LIUの方がより安心感があるという点が、アピール材料になり得ます。 ISMAP-LIUサービスリストは広く一般に公開されるため、登録された暁には自社の高いセキュリティレベルを証明することができます。 3.民間企業の高まる要求に対応 クラウドサービス調達におけるセキュリティチェックの重要性は年々高まっています。特に経済安全保障の観点から、重要インフラ企業はサプライチェーン全体で高いセキュリティレベルを確保することが求められており、最近では、重要インフラ企業を対象とした経済安全保障推進法が動き出しました。これは、場合によっては重要インフラに利用されるクラウドサービスにも影響することがあり、ISMAP制度への対応は、こうした需要の高まりに応える有効な手段となっています。 ISMAP-LIUクラウドサービスリスト ISMAP-LIUサービスリストは、 こちら に公開されています。 ISMAPとISMAP-LIUの違い 次に、ISMAP-LIUの仕組みについて、現行ISMAPとの違いを中心に説明します。 2025年4月1日まで、 ISMAP-LIUでは監査に入る前に、 事前申請 をもってセキュリティリスクが本当に低位のサービスであるかについて審査されるというステップがありましたが、こちらは、 2025年4月1日に廃止 されました 。代わりに、 調達省庁が調達時に確認する 仕組みとなりました。 現行のISMAPとISMAP-LIUとの差は以下の表にまとめられます。 この中で最も大きな差は「 外部監査対象範囲 」になります。 ISMAPに比べて、ISMAP-LIUでは大幅に監査範囲が縮小されています。 まとめると、 対象としているサービスに制限があるものの、外部監査範囲を縮小することで登録までのハードルを下げた仕組みがISMAP-LIU になります。 ISMAP-LIUにかかる費用の相場 ISMAP-LIUサービスリストへの登録に係る 費用は、主に監査機関に支払う費用 になります。各監査機関は主に2つのサービスを提供しており、1つが必須である本監査・本番評価であり、もう1つが、任意で受けることができる事前診断・プレ評価サービスとなっています。各監査機関が提供するサービスの内容及び費用には差があるという前提で、ISMAP-LIUサービスリストへの初回登録にかかる各種費用の相場感をまとめました。なお、詳細な費用については、各監査機関にお問い合わせください。 また、上記に加えて、コンサルティング業者に支援を依頼する場合は、サービス範囲に応じた費用が必要となります。 ISMAP-LIU認証までの流れ ISMAP-LIUへの該当性 2025年4月1日に行われた規程改定で事前申請と影響度評価が廃止 されたことにより、ISMAP-LIUへの登録手続きはこれまでのISMAPとほぼ変わらなくなりました。ただし、従来同様、ISMAP-LIUは機密性2の情報を取り扱うSaaSのうち、リスクの比較的小さい業務や情報処理を対象としている点は変わりません。この判断は政府機関が調達を行う際に行われますが、クラウドサービス事業者として自社のサービスがISMAP-LIUに該当しない場合、登録自体に意義がないと考えられます。したがって、 まずはISMAP-LIUの対象となり得るかどうかを見極めたうえで、登録に向けた手続きを進めるこ とが望ましいでしょう。 ISMAP-LIUの外部監査 ISMAP-LIUにおける外部監査範囲を理解するためには、以下の2点を認識することが重要です。 言明対象範囲 外部監査の実施範囲 まず、 言明対象範囲については、現行ISMAPと全く同様に、ガバナンス基準・マネジメント基準・管理策基準のすべてに対して言明を行う必要があります。 これは、ISMAP制度で定めているセキュリティ管理策の多くが、ISO/IEC 27001等の国際標準を基礎としており、一般的に求められる基礎的なセキュリティ対策を定めていることに基づきます。 また、ISMAPもISMS認証同様に、クラウド事業者自らがリスク評価を行い、自身に必要なセキュリティ対策を選定するという制度構造であり、ISMAP-LIUにおいてもその考え方を踏襲しているため、言明を行う過程においては、現行ISMAPとISMAP-LIUで違いはないと考えてよいでしょう。 では、現行ISMAPとISMAP-LIUで何が違うのか、それは外部監査の対象となる範囲が異なります。前述したように、ISMAP-LIUでは、言明の過程において、現行ISMAP同様にガバナンス基準・マネジメント基準・管理策基準のすべてについて言明を行うことが求められますが、外部監査の対象となる範囲を、ガバナンス基準・マネジメント基準・管理策基準の一部(セキュリティ上、特に重要となる領域に属する管理策)を中心に絞りこんでいます。 ISMAP-LIUに関しては、ガバナンス基準・マネジメント基準の全ての詳細管理策に加えて、以下に掲げるような、クラウドサービスの基盤・構成に深刻な影響を与え重大な事故につながるリスクに関連する詳細管理策を中心として監査を実施する。
1.アクセス管理(特権の管理、ID・パスワード管理、物理セキュリティ等)
2.システムの開発・変更に係る管理(開発管理、変更管理)
3.システムの運用管理(ぜい弱性管理、障害管理、システム運用監視、ネットワーク管理、冗長性の確保等)4.外部委託先管理(1.~3.に関連するもの)
【出典】 ISMAP標準監査手続 > (別紙3)ISMAP-LIUにおける監査業務 言明の対象範囲に違いがない分、外部監査を実施する範囲を大幅に絞り込むことで、簡易な仕組みを実現 しています。 また、ISMAP-LIUも現行ISMAP同様に、毎年の外部監査が求められますが、上記スコープ全量が毎回監査されるわけではなく、管理策基準については、 複数年度に分けて実施される仕組み となっています。(制度上、何年に分割するは公開されていませんが、例えば、監査で一般的とされている3年サイクルを例に取った場合のイメージは以下の通りです) このように、 外部監査の対象範囲を縮小した結果、外部監査において対応すべき管理策数は現行ISMAPの概ね1/5程度になると想定 され、監査の業務量としては相当の軽減が見込まれるとしています。 ISMAP-LIUの内部監査 次に、ISMAP-LIUで新規に導入された、セキュリティ内部監査に係る報告書の提出についてご紹介します。 前述のように、ISMAP-LIUでは 外部監査の対象範囲を大幅に縮小しています。そのため、ISMAP制度で実施が求められている内部監査の結果について報告書の提出を求める ことで、クラウド事業者自身が自らの統制を自主的かつ適切に運用することを促すことに狙いがあります。 「内部監査に係る報告書の提出」と聞くと、ISMAP-LIUだけが内部監査の実施を求められているように誤解をするかもしれませんが、そうではなく、 現行ISMAPかISMAP-LIUかに関わらず、マネジメント基準の4.6.2.2において、内部監査の実施は求められている 点に留意が必要です。 組織は、あらかじめ定めた間隔で内部監査を実施する。 [27001-9.2a) / 9.2b)]
a) 内部監査を実施する際は、以下を確認する。
・以下に適合していること。
-情報セキュリティマネジメントに関して、組織自体が規定した要求事項
-本マネジメント基準の要求事項
・情報セキュリティマネジメントが有効に実施され、維持されていること。
b) 内部監査は、管理策の有効性を総合的に確認するために定期的に実施し、計画及び結果について以下の文書で管理する。
・内部監査基本計画
・内部監査実施計画
・内部監査報告書
(後略)
取消・公表制度 したがって、ISMAP-LIUだけが新規に内部監査の実施を求められているわけではなく、ISMAP制度全体として内部監査の実施はすでに求められている中で、 ISMAP-LIUのみ、内部監査の結果を制度上の様式に落とし込む形で提出を求められている と理解することが正確です。様式に落とし込む事務的な作業はもちろん発生しますが、元々内部監査をしっかり行ってさえいれば、大幅な負担増にはならないと考えて良いでしょう。 取消・公表制度 ISMAP-LIU最後の特徴である、「取消・公表制度」についてご説明します。取消・公表制度とは、ISMAP-LIUに登録されているサービスにおいて、 深刻な影響を及ぼすセキュリティインシデントが発生した際、そのサービスの登録を即座に一時停止する仕組み です。現行ISMAPの場合は、インシデントが発生してもこのような即座の一時停止措置は設けられていません。 前述のように、ISMAP-LIUでは外部監査の対象範囲を大幅に縮小しています。そのため、ISMAP-LIUへの継続登録を目的に、CSPの自主的な統制運用を促す施策の1つとして、本制度が導入されました。具体的には、以下のように仕組みが定められています。 13.5 ISMAP運営委員会は、13.1の規定により報告を受けた情報セキュリティインシデントが利用者に特に重大な影響を及ぼしうると判断した場合、当該クラウドサービスの登録の一時停止を行うことができる。
【出典】 ISMAP-LIUクラウドサービス登録規則 > 第13章 情報セキュリティインシデント発生時の報告 サービス登録の一時停止を受けた場合、ISMAP-LIUサービスリストに掲載されているとは言えないため、ISMAP・ISMAP-LIUサービスリストに掲載されているクラウドサービスから調達することを原則とされている政府機関等の調達フローから外れることとなります。 インシデント対応が終了し、ISMAP運営委員会において問題なしと判断された場合、一時停止措置が解かれ、その後はISMAP-LIUサービスリストに掲載されている他のサービスと同様の扱いに戻ります。 13.6 ISMAP運営委員会は、前項に規定する一時停止を行う場合、一時停止を解除するための条件(以下「一時停止解除条件」という。)を登録者に通知する。
(中略)
13.8 ISMAP運営委員会は、前項の報告を受けて 一時停止解除条件が満たされたと判断した場合、当該クラウドサービスの登録の一時停止を解除する 。
【出典】 ISMAP-LIUクラウドサービス登録規則 > 第13章 情報セキュリティインシデント発生時の報告 本措置への対応として、過度にセキュリティ対策を高度化し、過剰な対応を行う必要はないと考えられますが、クラウドサービス事業者として、セキュリティインシデントが発生しないよう日々の運用を徹底するという、本来の事業者としての基本的な責務を全うすることが重要です。 ISMAP-LIU制度に関する直近の動き(2025年4月) 2025年4月1日の規程改定により、ISMAP-LIU制度の改善が行われました。 利用省庁における事前申請・影響度評価の廃止 対象業務の拡大 詳細は こちら から ①事前申請・影響度評価の廃止により、これまで協力いただける利用省庁がいない場合に、影響度評価を実施できずにプロセスが進められなかったという状況が改善されました。改善に伴って、より早く申請まで進められます。 ②対象業務が8業務から10業務に拡大されたため、よりISMAP-LIUへの該当性ありと判断されるSaaSの種類が増えました。 執筆者 東海林 和広 株式会社 X-Regulation 取締役 大手監査法人において、ISMAP監査やクラウドサービスに対するセキュリティ監査等を多数経験](https://static.wixstatic.com/media/a3fa55_ea4805926c90407dbe2993c71b4d4b97~mv2.jpg/v1/fill/w_265,h_265,al_c,q_80,usm_0.66_1.00_0.01,enc_avif,quality_auto/Image-empty-state.jpg)
ISMAP-LIUとは?ISMAPとの違いやISMAP-LIU費用を徹底解剖(制度改善情報あり)
ISMAP-LIUとは?ISMAPとの違いからISMAP-LIUサービスリストへの登録までの流れについて徹底解剖します。
ISMAPとは?ISMAPについて知っておくべき全て(決定版)
クラウドサービス事業者がISMAP制度について知っておくべき基礎の全てをご紹介します。
bottom of page