2022年7月8日

NECサイバーセキュリティ戦略統括部セキュリティ技術センターの中野です。2022年6月15日に政府の新しいクラウド認定制度であるISMAP-LIUが発表されました。今回はそのISMAP-LIUについて紹介します。なお、ISMAP-LIUはまだ正式に稼働しているわけではなく、パブリックコメントを受け付けている段階です（受け付けは2022年7月5日まで。[1]を参照）。現時点の制度はドラフト版であり、今後変更になる可能性があります。

概要

ISMAP-LIUについて説明する前に、まずはISMAPとは何かについて説明します。ISMAP [2]は政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program、略称ISMAP）です。政府が求めるセキュリティ要求を満たしているクラウドサービスを評価・登録します。これにより、政府機関等はクラウドサービスを調達する際、原則としてISMAPクラウドサービスリストに登録されたサービスから調達することで、クラウドサービスを安全に利用できることを目指しています。
ISMAP-LIU（ISMAP for Low-Impact Use）は、SaaSの中でも特にセキュリティ上のリスクの小さな業務・情報の処理に用いるサービスについての新しい認証制度です。ISMAPは機密性2情報（行政事務で取り扱う情報のうち、秘密文書に相当する機密性は要しないが、漏えいにより、国民の権利が侵害され又は行政事務の遂行に支障を及ぼすおそれがある情報）を扱うことを想定して策定されています。対象となっているクラウドサービスは、IaaS、PaaS、SaaSと多岐にわたります。その中でもSaaSはサービスの幅が広く、用途や機能が極めて限定的なサービスや、機密性2情報の中でも比較的重要度が低い情報のみを取り扱うサービスなど、リスクが低いサービスもあります。それらのサービスを現行のISMAPで一律で扱った場合、過剰なセキュリティ要求となり、ISMAPの活用が進まない可能性があります。そういった背景を踏まえ、ISMAP-LIUが新設されました。

ISMAP-LIUの対象

前述した通り、ISMAP-LIUはセキュリティリスクが低いサービスを扱うSaaSのための認定制度です。しかし、セキュリティリスクの小さな業務・情報について、政府機関等において統一的な定義が現状存在しません。そこで、ISMAP-LIUではリスクの小さな業務・情報の判断を行うため、登録規則の別紙として「業務・情報の影響度評価基準」 [3]およびそのガイダンス [4]を用意しています。そのガイダンスによると、業務で取り扱う情報ごとに、機密性、完全性、可用性が侵害された場合の影響度を、「N/A」「低位」「中位」「高位」の4段階で評価するとなっています。そして、最終的にはその影響度から総合的な業務・情報の影響度評価結果を導出し、ISMAP-LIUの対象となるかの判断材料とするようです。
また、ISMAP-LIUではCSP（クラウドサービスプロバイダ）や各省庁による効率的な申請や、業務・情報の影響度評価を促すため、ISMAP-LIUの対象となる業務一覧（対象業務一覧）を用意しています。
現時点でISMAP-LIUの対象となっている業務一覧は下記の8つです（ [5]より引用）。赤字が対象業務、黒字が具体的な例となっています。

こちらの対象業務一覧の考え方は、下図（ [5]より引用）のようになっています。

対象業務一覧に該当する業務の場合は、基本的にISMAP-LIUの対象として扱われます。一方で、該当しない業務については、影響度評価が低位であることの妥当性を判断するようです。そして、低位であることが認められれば、対象業務一覧に追加するとしています。制度開始当初は上記の8つの業務を対象業務とするようですが、今後制度を運営していく中で影響度評価を順次行い、一覧を拡充していく想定のようです。
ISMAP-LIUでは下図（ [5]より引用）のように、事前申請において、上記の影響度評価の結果と、対象業務一覧に当てはまるか否かを元に、ISMAP-LIUに該当するかを判断することになっています。この結果により、セキュリティ影響度の低い業務に用いられるSaaSであることが確認されれば、後はISMAPと同様、外部監査等を受けることになります。

ISMAP-LIUの監査概要

ISMAP-LIUの監査の全体概要は下図（ [5]より引用）のようになっています。

通常、ISMAPの監査にはガバナンス基準（経営陣が実施すべき事項）、マネジメント基準（管理者が実施すべき事項）、管理策基準（業務実施者が実施すべき具体的なセキュリティ対策）の3つの基準があります。その中でも管理策基準は全部で1000項目以上もあり、CSPとしてはISMAP取得の大きな負担になっていたと思われます。これに対して、ISMAP-LIUではこの管理策基準をサービス基盤・構成に直接的な影響を与える可能性がある一部の重要な管理策を対象として実施します。これにより、1年ごとの外部監査においては管理策基準の対象範囲が縮小されます。監査機関との契約においては監査項目数を踏まえた上での契約となるため、CSPとしては現行のISMAPよりもコストの低減が期待できます。
ISMAPの管理策基準の監査では内部監査の実施は求められない一方で、ISMAP-LIUでは1年ごとに内部監査の報告書の提出を求められます。ただし、内部監査においても管理策基準（統制目標）の各項目に対して3年に1回は監査を実施し、全項目の対応状況を3年かけて確認するという方針になっており、CSPの負担を軽減する施策が実施されています。その結果、監査全体としては現行のISMAPよりも負担が軽くなっていると思われます。

今後のスケジュール

ISMAP-LIUの今後のスケジュール案については下図（ [5]より引用）となっています。

2022年7月5日までパブリックコメントを受け付けた後、募集したパブリックコメントをもとに8～9月頃には制度を正式に立ち上げ、今年度中にはサービス申請の受付を開始する予定となっています。

まとめ

本ブログでは、2022年6月15日に発表された政府の新しいクラウド認定制度であるISMAP-LIUについて紹介いたしました。現行のISMAPと比較して、以下の相違点がありました。

CSPとしては特に監査が緩和される点が嬉しいのではないでしょうか。ISMAPは少なからず取得にかかる負担は大きいという側面があるため、このISMAP-LIUで認定制度の活用が広まり、政府機関等においてもクラウドの利用が普及すると良いと思いました。
重ね重ねになりますが、本ブログで紹介したISMAP-LIUの情報はあくまでドラフト版の情報になります。ISMAP-LIUが正式に稼働した後は、必ず公式の最新情報を確認するようにしてください。

参考資料

執筆者の他の記事を読む