catch-img

ISMAP-LIU(イスマップエルアイユー)とは?ISMAPとの違いや対象となるSaaSについて解説します


目次[非表示]

  1. 1.ISMAP-LIU とは
  2. 2.ISMAP-LIU と ISMAP の違い
  3. 3.ISMAP-LIU の対象となるSaaS
  4. 4.ISMAP-LIU の対象となる業務
  5. 5.ISMAP-LIU での影響度評価のプロセス
    1. 5.1.1. 業務および情報の特定と列挙
    2. 5.2.2. SaaS に関するセキュリティに係る要件の確認
    3. 5.3.3. 業務・情報の影響度評価の実施
    4. 5.4.4. 影響度評価の確認とモニタリング
  6. 6.ISMAP-LIU に認定されたクラウドサービスのリスト

ISMAP-LIU とは

ISMAP-LIU(イスマップ・エル-アイ-ユー)とは、日本の政府情報システムのためのセキュリティ評価制度(ISMAP)における、リスクの小さな業務・情報の処理に用いるSaaSを対象とした仕組みです。

ISMAP-LIU は ISMAP for Low-Impact Use の略で、ISMAPの管理基準では過剰なセキュリティ要求となってしまうような、セキュリティ上のリスクや比較的重要度の低い機密情報を扱うSaaSを対象とする評価制度です。2022年に運用が開始されており、ISMAPと同様に、内閣官房(内閣サイバーセキュリティセンター(NISC))・デジタル庁・総務省・経済産業省が共同で運営しています。

ISMAP-LIU と ISMAP の違い

ISMAP-LIU と ISMAP それぞれの登録制度には、以下のような違いがあります。

内部監査の報告
ISMAP、ISMAP-LIU 双方において、内部監査の実施は必須とされていますが、登録の申請にあたって ISMAP では内部監査結果を提出する必要はありません。ISMAP-LIU のみ、内部監査結果の提出を所定の様式で提出する必要があります。

外部監査の対象範囲
ISMAP管理基準に定める詳細管理策の外部監査について、ISMAPにおいては言明された範囲のすべての管理策について整備状況および運用状況の評価を実施する必要がありますが、ISMAP-LIUでは、クラウドサービスの基盤・構成に深刻な影響を与え重大な事故につながるリスクに関連する詳細管理策を中心として評価を実施することとされています。

事前申請と該当性判断
ISMAP-LIU では、登録の申請をされたSaaSがISMAP-LIUの対象となるかどうかは実施する業務や情報の内容によって判断されるものであるため、登録申請の前に政府機関等による業務・情報の影響度評価を行った結果を提出する「事前申請」が必要となります。事前申請で提出された業務・情報の影響度評価の結果をもって、ISMAP-LIU に該当するかが判断されます。ISMAPではこの事前申請は必要ありません。

サービス登録の一時停止
ISMAP では、登録サービスに情報セキュリティインシデントが発生したにも関わらずクラウドサービス事業者からのインシデント報告がない場合に、ISMAP運用支援機関がインシデントの発生を認知してからそのインシデント報告の届出があるまでサービスの登録が一時停止されます。ISMAP-LIU ではこれに加え、ISMAP運営委員会がインシデント報告の届出を受け、発生したインシデントが利用者に特に重大な影響を及ぼしうると判断した場合にもサービスの登録が一時停止されます。

ISMAP-LIU の対象となるSaaS

ISMAP-LIU の対象となるのは、「機密性2情報を扱うSaaSのうち、セキュリティ上のリスクの小さな業務・情報の処理に用いるもの」とされています。

ここでいう「機密性2情報」というのは、「政府機関等のサイバーセキュリティ対策のための統一基準群」(統一基準)で定義されているものです。機密性情報は機密性1、機密性2、機密性3が定義されており、このうち機密性2、3が「要機密情報」とされています。

  • 機密性3: 行政文書の管理に関するガイドライン(平成23年4月1日内閣総理大臣決定) に定める秘密文書としての取扱いを要する情報。およびそれに準ずる情報。
  • 機密性2: 情報公開法第5条各号、および独法等情報公開法第5条各号における不開示情報に該当すると判断される蓋然性の高い情報を含む情報。およびそれに準ずる情報。
  • 機密性1: 情報公開法第5条各号、および独法等情報公開法第5条各号における不開示情報に該当すると判断される蓋然性の高い情報を含まない情報。およびそれに準ずる情報。

つまり「機密性2情報」は、行政文書の秘密文書以外の機密情報といえます。こうした機密情報は非常に幅広いことから、そうした情報を扱うSaaSは、 ISMAP-LIU の対象業務にあたるか、業務・情報への影響度がどの程度か等を踏まえて ISMAP-LIU に該当するかどうかが審査されます。

ISMAP-LIU の対象となる業務

ISMAP-LIU の対象となる業務は、ISMAPの作成する「ISMAP-LIU業務・情報の影響度評価ガイダンス」別紙1 に記載されている以下のような業務です。

この業務一覧は、ISMAP-LIU の対象となるSaaSが扱う蓋然性の高い代表的な業務を例示したものであり、制度運用の中で必要に応じて拡充していくこととされています。

  • 公表を前提とした政策・制度の立案・調整過程等で民間と連携して作業する業務
    ​​​​​​​外部に公開する会議の動画・音声、会議資料や議事録を扱う Web 会議サービス、ファイル共有サービスなど
  • 政府機関等職員の業務上の役職・氏名等情報を扱う業務
    政府職員の職員募集・採用を行ったり、労務情報を管理するための人事管理サービス、タレントマネジメントサービス、採用管理サービスなど
  • 名刺情報等の一般に広く提供する範囲の情報、公開情報の配信に伴う配信先等管理情報を扱う業務
    名刺情報(企業名、役職、氏名等)の管理やコンテンツ等の配信に必要な情報を扱うクラウド型名刺管理サービス、クラウド型映像・コンテンツ等配信サービスなど
  • 民間から提供される情報であり、当該情報提供者が低リスクだと判断している情報を処理する業務
    民間企業・団体からの情報を受信したり、民間企業・団体が主催する会議等に参画するためのWeb 会議サービス、ファイル共有サービスなど
  • オープンソース・公知の事実・一般公開情報を扱う業務だが例外的に要機密扱いとする必要がある場合
    パブリックコメントの募集・及び回答業務や公開されている政策情報等の翻訳業務に利用するCMSサービス、自動翻訳サービス、Web アンケートサービスなど
  • 災害時等に組織構成員の被災状況確認等を行う業務
    災害時に政府職員の被災状況の管理を行うための安否確認サービスなど
  • 組織構成員に対する組織ルールやビジネススキル等の教育を行う業務
    組織の規定やルールに関する教育教材、一般的なビジネススキルに関する教材等を提供するe-ラーニングサービスなど
  • 「行政文書の管理に関するガイドライン」において保存期間1年未満に該当するもののうち、定型的・日常的な業務連絡等を扱う業務
    重要度の低い行政文書や政府機関等の掌握事務に対する事実関係の問い合わせに利用するチャットボットサービスなど

ISMAP-LIU での影響度評価のプロセス

調達するサービスが ISMAP-LIU の対象となるかどうかは、実施する業務や情報の内容によって判断されるものであり画一的な定義をするのは困難なため、ISMAP-LIU においては業務・情報の影響度評価を実施することとしています。

このための評価基準となる「業務・情報の影響度評価基準」が規定されており、これに従って評価を行った上で、最終的な業務・情報の影響度評価の判断は各政府機関等の責任で行われることとなっています。以下に評価の流れを説明します。

1. 業務および情報の特定と列挙

取り扱うSaaS上で処理する業務を特定し、列挙します。「業務・情報の影響度評価基準」の中では、ISMAP-LIU の対象となる「対象業務」が示されており、列挙した業務がそれらの対象業務にあたるかも併せて確認します。

その上で、各業務ごとに業務内容の詳細を確認しつつ、業務の主体(人物、組織、情報システム等)や業務内容の概要、業務で取り扱う情報を列挙します。

2. SaaS に関するセキュリティに係る要件の確認

ISMAP-LIU では、クラウドサービスの調達担当者はこの影響度評価を行う場合の参考情報として、クラウドサービス事業者に以下の情報の提供を求めています。調達担当者はこれらの内容を確認し、この後の影響度評価の参考にします。

  • SLA/SLO
  • サーバの所在地並びにデータの保存場所
  • 外部サービスの利用とその ISMAP 登録有無
  • 提供されているセキュリティの機能

3. 業務・情報の影響度評価の実施

1のステップで列挙した各業務で取り扱う情報について、SaaS の利用において想定される以下の6つのリスクの影響度を評価します。影響度評価では、これらのリスクの影響度を評価基準に照らして「上位」「中位」「低位」「N/A(リスクなし)」で分類します。

  • 国民に不便、苦痛を与える、又は機関等が信頼を失う
  • 利用者に金銭的被害や賠償責任が生じるなど、財務上の影響を与える
  • 機関等の活動計画や公共の利益に対して影響を与える
  • 個人情報等の機微な情報が漏えいする
  • 利用者の身の安全に影響を与える
  • 法律に違反する

それぞれの情報に対してリスクの影響度を評価し終わったら、その業務全体としての影響度も評価します。業務全体として、影響度が「低位」であるものは ISMAP-LIU の対象として利用できます。

4. 影響度評価の確認とモニタリング

最終的に得た影響度評価の結果は、セキュリティ部門の責任者と調達部門の責任者2名で確認する必要があります。また、SaaSの利用開始から1年ごとに、利用するSaaSが業務・情報の影響度評価を実施した際に記載した範囲を超えて利用されていないかどうかを確認します。

ISMAP-LIU に認定されたクラウドサービスのリスト

ISMAP-LIUクラウドサービスリストは、まだ公開されていません。ISMAPポータルサイトでは、サービスリストは登録が決定次第公開予定となっています。
ISMAP-LIUのサービスリストの運用が開始されれば、四半期毎にISMAP運営委員会を開催の上、審査に通ったものをISMAP-LIUクラウドサービスリストへサービス登録することになります

【クラウドサービス事業者様向け】ISMAP-LIU各種お手続きについて - ISMAPポータル

早崎 敏寛
早崎 敏寛
Webシステム開発を中心としたSIでキャリアをスタートし、金融システム子会社でPM、インフラ構築・運用等を経験。その後、総合コンサルティングファームにて、マネージャとしてセキュリティコンサルティングを担当したのち、アシュアードに入社。ドメインエキスパートとしてサービス開発や顧客支援を担う。主な資格:CISA、CISM、PMP。

セキュリティ評価プラットフォーム「Assured」は、クラウドサービスの安全性を可視化するサービスです。

国内外のガイドラインやフレームワークに基づき、クラウドサービス事業者からセキュリティ情報を収集。専門家がリスクを評価し、データベース化しています。評価情報は開示申請だけで最短、即日で確認可能。海外のクラウドサービスも評価でき、未掲載のサービスは代行調査も承ります。

セキュリティ評価情報は、最新の評価に更新次第、通知されるため、定期監査にもうってつけ。セキュリティ評価にお悩みの方はぜひ、資料をダウンロードし詳細をご確認ください。

Assured紹介資料のダウンロード(無料)はこちら

Assured

クラウドサービスの安全性を可視化する
セキュリティ評価プラットフォーム

メールマガジン配信中

コラムの更新情報、セキュリティ評価にまつわるセミナー情報、企業のセキュリティ評価・管理体制事例などをお届けします。

関連記事

Seminar

開催予定のセキュリティセミナー

Ranking

人気記事ランキング

Tag

タグ

Assuredとは?

Assured(アシュアード)は、クラウドサービスの安全性を可視化する、セキュリティ評価プラットフォームです。最短即日でご覧いただけるセキュリティ評価情報や、クラウドサービスが取得している認証などを一元化したデータベースにより、貴社のDXを加速します。

メールマガジン配信中

コラムの更新情報、セキュリティ評価にまつわるセミナー情報、企業のセキュリティ評価・管理体制事例などをお届けします。

Assured

クラウドサービスの安全性を可視化するセキュリティ評価プラットフォーム