ISMAPの新制度「ISMAP-LIU」の運用を開始 NISCなど
掲載:2022年11月17日
サイバー速報
目次
内閣サイバーセキュリティセンター(NISC)とデジタル庁、総務省、経済産業省は11月1日、政府情報システムのためのセキュリティ評価制度(ISMAP)において新制度「ISMAP-LIU」(ISMAP for Low-Impact Use)の運用を開始したと発表しました。ISMAPのポータルサイトにてクラウドサービス事業者を対象とした登録の事前申請を受け付けています。
ISMAP-LIUはリスクの小さな業務・情報の処理に用いるSaaSを対象にした新制度です。用途や機能が限定的だったり、重要度の低い情報のみを取り扱ったりするSaaSの場合、従来のISMAPではセキュリティ要求が過剰になる場合があるため、新制度を創設しました。ISMAP-LIUについては、7月5日まで意見公募を実施、25の組織などから意見が寄せられました。
ISMAPのポータルサイトでは意見公募を踏まえて策定された「ISMAP-LIUクラウドサービス登録規則」などが公表されるともに、サービスの事前申請の受け付けが始まりました。ISMAP-LIUでは、サービス登録申請の前に、そのサービスがISMAP-LIUに該当するかを確認する「事前申請」というプロセスが追加されています。
SaaSで提供する業務のうち何がISMAP-LIUの対象と認められるかについては、「実施する業務や情報の内容によって個別に判断されるものであり、画一的な定義を示すことは困難」と示されていますが、代表的な業務については「ISMAP-LIUにおける業務・情報の影響度評価ガイダンス」において例示されています。
おすすめ記事
- ISMAP:政府情報システムのためのセキュリティ評価制度
- FedRAMP(米国政府機関におけるクラウドセキュリティ認証制度)
- ISO/IEC27017(CLS)― クラウドサービスのための情報セキュリティ管理策―
- セキュリティリスクの小さい業務/情報処理に限ったSaaSを認定する「ISMAP-LIU」創設へ、意見公募を開始 NISCなど
- セキュリティ評価制度(ISMAP)の紹介動画を公開 IPA
- 「政府情報システムのためのセキュリティ評価制度(ISMAP)」の運用を開始 経産省・内閣官房・総務省
- 「政府情報システムのためのセキュリティ評価制度」の各種基準についてパブコメ開始 経産省・内閣官房・総務省
- ISMAPサービスリストを公表 IPA
- 広報資料「はじめてのISMAP-政府情報システムのためのセキュリティ評価制度の概要-」を公表 NISCほか
- 設定ミスの防止に向けてクラウドサービス利用者を対象とした設定ミス対策ガイドブックを公表 総務省
- システムのブラックボックス化を懸念、「重要情報を扱うシステムの要求策定ガイド」活用の手引き(別冊)を公開 IPA
- 米・英・独・豪におけるクラウドサービス評価制度の実施状況調査結果を公開 IPA
- ISMAP-LIU (ISMAP for Low-Impact Use)