クラウドサービスの拡大に伴い、政府がその調達においてクラウドサービス事業者に対して求める管理体制やセキュリティ体制を統一するべく、ISMAPが2020年6月に開始しました。しかし、一口にクラウドサービスといっても、単純な情報処理のみを行うものから、柔軟にデータベースを構築できるものまで、様々なサービスが存在します。サービスの機能によって組織にとってのリスクの大きさは異なるため、一律に扱うと、一部のサービスにとってはセキュリティ要求が過剰なものとなってしまい、サービスの活用が進まない可能性が危惧されていました。

そこで、ISMAPの枠組みのなかで、リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とし、登録のハードルを下げた仕組みとして新たに策定されたのがISMAP-LIU(ISMAP for Low-Impact Use）です。ISMAP-LIUはISMAPと同様に政府機関等の調達基準として設けられているため、 登録されることで政府機関等の調達において入札資格を得ることができます。加えて地方公共団体の調達においてもクラウドサービスの調達にはISMAPの管理基準を満たしていることの確認が推奨されており、地方公共団体における入札においても有利になることが考えられます。

ISMAPに比べて管理基準が絞り込まれているとはいえ、ISMAP-LIUも約200項目 の管理基準が要求されるため、ISMAP-LIUクラウドサービスリストへの登録があることは民間企業に対しても自社のサービスの安全性、信頼性が公的に認められていることをアピールすることにつながります。

ISMAPとISMAP-LIUは情報の機密性についての政府が利用する情報格付けのうち、共に「機密性2情報」を扱うサービスを対象とした制度ですが、ISMAP-LIUが対象とするのは機密性2情報のうちセキュリティ上のリスクが小さい業務および情報の処理に限定されています。そのため2つの制度には主に下記の4点の違いがあります。

① 事前申請（該当性の判断）の必要性

ISMAP-LIUに登録するためには、初めに「該当性判断」のための事前申請が必要です。監査機関等の 審査に先立って、事前に「影響度評価」を実施し、制度所管省庁に当該SaaSサービスがリスクの小さな業務・情報の処理に用いられるものであることを証明し、認めてもらう必要があります。この事前申請のプロセスによりISMAP-LIUへの該当性が認められると、管理策の内容を審査する本申請に進むことができます。

② 外部監査の対象範囲

ISMAP-LIUは本申請のプロセスにおける外部監査項目もISMAPと比較して限定的です。約1200項目あるISMAP管理基準のうち、重大な事故につながるリスクに関連する、約200項目のみが対象となります。ISMAPと比べ設問数が大幅に削減されているため、期間・金額面でのコストを抑さえた形で監査対応を進めることが可能です。

③ 内部監査結果の報告

ISMAP、ISMAP-LIUともに内部監査の実施は必要ですが、ISMAPでは内部監査結果の提出が不要なのに対し、ISMAP-LIUでは外部監査で確認が必要な項目が少ない分、その様式に従い結果を提出する必要があります。ただし、後述する特別措置期間内であれば、一度だけこの提出の免除を受けることができます。

④ 登録の取消

それぞれの登録組織においてインシデントが発生した際、ISMAPではインシデントが発生したにも関わらずその届け出を行っていない場合、ISMAP運用支援機関がインシデントの発生を認知した時から届け出が行われるまで登録が一時的に停止されます。ISMAP-LIUではそれに加え、届け出があった場合でも、発生したインシデントが重大な影響を及ぼしうると判断された場合には登録の停止が解除されません。

ISMAP-LIUの対象サービスであると判断するためには、以下の3ステップを踏む必要があります。

1. 利用者と用いられる業務を整理する

まず、自社のサービスがどのような形で利用されるのか、その利用主体、サービスを用いて行う業務の種別や内容を整理します。さらに、洗い出した業務ごとに取り扱う情報を洗い出します。

2. 取り扱いうる情報が漏えいした際の影響度を評価する

続いて、洗い出した各情報について、以下の表にある6つのリスクについて機密性、完全性、可用性が侵害された場合の影響度を評価します。6つの評価結果のうち、もっとも高位の評価結果がその情報の影響度として決定します。

出典：NISC・デジタル庁・総務省・経済産業省・デジタル庁・総務省・経済産業省「ISMAP for Low-Impact Useにおける業務・情報の影響度評価ガイダンス」

3. 業務ごとの影響度を評価する

最後に、業務の中で扱うすべての情報の影響度とその根拠を記載し、すべての情報の影響度の中から最も高位なものをその業務の影響度として決定します。この結果、すべての業務の影響度が低位であることが確認できると、ISMAP-LIUの対象であると判断することができます。 また、この影響度評価の作業においては、SLA/SLOやサーバの保存場所、外部サービスの利用有無等を管理している情報セキュリティ部門と、実際に利用する業務やデータを管理している調達部門の両面から確認することが求められていますのでご注意ください。

続いては、ISMAP-LIUへの登録申請の流れを解説します。大きくは事前申請、内部・外部監査、本申請の3段階に分けられます。

1. 事前申請

まずはISMAP-LIUの該当性を確認するため、先述の影響度評価の内容をISMAP運用支援機関を通じて制度所管省庁に申請します。

2. 内部・外部監査

制度所管省庁から事前申請が認められたら、内部・外部監査を実施します。ISMAP管理基準の該当項目に基づいて内部監査を実施し、その内容を基に自組織の管理策について記載した言明書を作成します。次に、その言明書の内容の妥当性について外部の監査機関から外部監査を 受けます。

3. 本申請

監査結果に問題がなければ、その内容に基づいて登録申請書、また必要に応じて添付書類を作成し、ISMAP運用支援機関に提出します。その内容が認められれば、ISMAP-LIUクラウドサービスリストに登録が完了します。

ISMAP-LIUもISMAPと同様、クラウドサービスリストへの登録期間は1年4か月なっているため、毎年登録更新のために、影響度評価、 内部監査、外部監査を行う必要があります。

図１　ISMAP-LIUの全体像

出典：NISC・デジタル庁・総務省・経済産業省・デジタル庁・総務省・経済産業省「ISMAP for Low-Impact Useにおける業務・情報の影響度評価ガイダンス」

適用拡大を目的に2022年に新設されたISMAP-LIUですが、その対象となるSaaSサービス事業者は中小・スタートアップ企業が多く、対応のための時間・コスト面での負担が大きいことから、事業者の登録が進まないことが課題でした 。登録促進を図るため、2023年5月から2025年3月末までの約2年間、その期間内に登録する事業者へのインセンティブ措置として特別措置が実施されています。

特別措置が適用されたSaaSサービスは、「特別措置サービスリスト」に登録され各政府機関等がSaaSサービスの調達時に参照されるようになるのに加え、ISMAP-LIUへの登録に必要な対応について下記のような措置を受けることができます。

1. 特別措置の期間内においては、外部監査の対象を一部免除し、最小限の運用状況評価のみ監査対象にすることが可能になる(具体的な運用状況評価項目についてはISMAP運営委員会において定める)。
2. 特別措置の期間内においては、一度に限り内部監査報告書の提出を免除されることが可能になる。

またもう一つの特別措置として、デジタル庁が相談窓口を開設しました。こちらのフォームからデジタル庁に直接ISMAP-LIU登録に関する質問や相談をすることが可能となっています。前述のISMAP-LIU への登録可否を判断する影響度評価も含めて、必要な対応についてご不明点がある場合は、ぜひこちらの窓口もご活用ください。

ISMAP-LIUに登録されるための対応は、ISMAPよりは負荷が軽減されているものの、それでも1～2年ほどかかることが多いでしょう。

追加で発表された特別措置からもわかる通り、ISMAP-LIUに関して政府としては登録組織の拡充を推進しています。すでに政府機関等のSaaSサービスの調達条件にISMAPやISMAP-LIUを含める動きが見られており、政府機関等へのサービスの提供を考えておられる方は対応が必須になっていきます。
それだけでなく、サプライチェーンリスクへの関心が高まる中、クラウドサービスに対するセキュリティのチェックは多くの組織が悩まれているところであり、クラウドサービスの確認方法として民間の取引においてもISMAPやISMAP-LIUが前提条件に入ってくる時代もくるかもしれません。

前述の特別措置を活用すれば、手間のかかるISMAP-LIUへの初回の対応を軽減しつつ、継続しながら対応を進めていくことができますので、その恩恵を最大限享受することができます。この機会に信頼性、安全性の確保について他社との差別化を図るべく、ISMAP-LIU登録に向けた検討を進めてみてはいかがでしょうか。