ISMAP-LIUをどう見るか

ISMAPの現状と課題をふまえて、新たな仕組みとして2022年11月1日に公表されたISMAP-LIU制度について解説します。

ISMAPの現状と課題をふまえて、新たな仕組みとして2022年11月1日に公表されたISMAP-LIU制度について解説します。

1.ISMAPの現状の課題

「政府情報システムのためのセキュリティ評価制度(ISMAP)」とは、政府がクラウドサービス利用を促進する方針(クラウド・バイ・デフォルトの原則:2018年6月 各府省情報化総括責任者(CIO)連絡会議決定)を決定したことに伴い、多様化・高度化するクラウドサービスに対して官民双方が一層安全・安心にクラウドサービスを採用し、継続的に利用していくため、情報資産の重要性に応じ、信頼性確保の観点から、クラウドサービスの安全性評価について、諸外国の例も参考に検討されたものです。2020年6月に正式に制度として発表され、当該制度に則ってISMAP運営委員会による審査の後、2021年3月には、最初のクラウドサービスリストが公表されました。その後、若干の軌道修正等があったものの、2022年10月時点では、37サービスが登録されるに至っています。

ISMAPは、わが国において、国が定める初のセキュリティ評価制度である点もあり、直接の対象である政府機関のみならず、地方公共団体や民間企業からも注目を集める制度となっています。しかしながら現時点のISMAPは、最初の申請対応や、年次で求められる更新申請対応において、特に金銭的コストに関して相応の費用が発生しているのが現状であり、この点は制度発足時より課題の1つとして認識されてきていました。また、クラウドサービスの中でも、SaaSに分類されるサービスの中には、該当サービスを構成するごく一部の機能を担うものであったり、利用者はそこまで多くはないものの、ニッチなニーズに対応するもの等、ビジネスとしてのサービス規模が限定的なものも存在します。こういったサービスを提供するクラウドサービスプロバイダ(以下:CSP)にとっては、ISMAP申請および更新申請にかかる費用負担が難しく、制度利用が事実上困難となっているともいわれてきていました。

2.ISMAP-LIUの特徴

上記のような状況に対して、2022年11月1日にISMAP制度の新たな仕組みとしてISMAP-LIU制度が公表されました。この制度の詳細については、公開資料「ISMAP - 政府情報システムのためのセキュリティ評価制度」を確認いただくこととし割愛しますが、ここでは既存のISMAP制度から変更になっている点を取り上げ解説します。

ISMAPとISMAP-LIUにおける違いは、概略的には以下の通りとなります。

【図1】ISMAPとLIUの相違点

No. 項目 ISMAP ISMAP-LIU
01 対象サービス クラウドサービス セキュリティ上のリスクが小さい業務・情報処理に利用されるSaaS
02 ISMAP調達への参加 不可
03 LIU調達への参加
04 管理策 同じ 同じ

05

事前申請 なし あり
06 内部監査実施 あり あり
07 内部監査報告 なし あり
08 外部監査項目 言明書で採用した管理策(500~800程度) 制度が指定した重要な管理策(150~200程度)
09 リスト登録取消・公表 あり あり
10 リスト登録の一時停止 なし あり

これらの中で注目すべき差異は、以下の3点にあると考えます。

対象サービスの限定と事前申請制度

ISMAP-LIUでは、この制度が適用できるサービスとして「リスクの小さな業務・情報の処理に用いるSaaSサービス」を定義しています。これは前述の通り、特にビジネス規模が相対的に小さくなる場合があるSaaSサービスベンダーに対する対応という背景があると同時に、相対的にリスクが小さな業務に対するセキュリティ対策=コストについてもリスクに応じたものであるべきという考え方が読み取れます。現代においては、リスクアプローチという考え方がさまざまな場面で導入されていますが、セキュリティ分野においては、1つの不備が即時に全体に大きな影響を及ぼす可能性が高いという特性上、なかなかリスクアプローチによる対策の軽減は実施判断が難しい側面がありました。従来のISMAP自体にも、「各CSPのリスク評価結果に基づき必要な管理策を採用する」という考え方はあったものの、その実装状況の確認等、必要とする手順の軽減は容易には判断できずにいました。これに対してLIUにおいては、事前申請=「適用する業務・情報自体のセキュリティリスク評価」を導入することで、その確認手順等を軽減するという仕組みを導入しています。

一方で、「リスクの小さな業務・情報の処理」とは具体的にどのような業務を定義すればよいのでしょうか。これについては、同じ業務・情報であっても使われる場面や利用する組織、立場等によってさまざまな状況が考えられ、制度として一定の定義を導入することはかなりの困難が予想されます。全てを1から検討するのでは制度運営上の負担が大きすぎますが、制度規程として一律に定義することは不可能であったため、新たに事前申請制度が導入されたと推測されます。事前申請制度の概要は次の通りです。

【図2】事前申請フロー

事前申請フロー

この制度においては、サービスを利用する側(現時点では政府機関等)においても一定のセキュリティ評価を実施するための知見・スキルが必要となりますが、当該スキルの状況により、その判断結果もさまざまなもの(レベル)が想定されてしまいます。これに対しては、あくまでも目安としてではあるものの、ガイドラインを設定し対応しています。

【図3】対象業務一覧

No. 業務 業務例 サービス例
01 公表を前提とした政策・制度の立案・調整過程等で民間と連携して作業する業務

-「民間企業・団体の有識者を招いた会議体の運営に伴うWeb 会議の開催・運用業務」

-「民間企業・団体の有識者を招いた会議体の運営に伴う会議資料等の管理業務」

- Web会議サービス

- ファイル共有サービス

02 政府機関等職員の業務上の役職・氏名等情報を扱う業務

- 政府機関等における人員の管理業務

- 政府機関等における人員の配置や能力の識別業務

- 政府職員の職員募集・採用に係る業務

- 人事管理サービス

- タレントマネジメントサービス

- 採用管理サービス

03 名刺情報等の一般に広く提供する範囲の情報、公開情報の配信に伴う配信先等管理情報を扱う業務

-「企業名、役職、氏名等の名刺情報を登録・管理する業務」

-「政府機関等の顧客に対する映像・コンテンツ等の配信に伴う配信先の特定を目的とした情報の登録・管理業務」

- クラウド型名刺管理サービス

- クラウド型映像・コンテンツ等配信サービス

04 民間から提供される情報であり、当該情報提供者が低リスクだと判断している情報を処理する業務

- 民間企業・団体からの情報を受信・管理する業務

- 民間企業・団体が主催する会議等に参画する業務

- Web会議サービス

- ファイル共有サービス

05 オープンソース・公知の事実・一般公開情報を扱う業務だが例外的に要機密扱いとする必要がある場合

- オープンソース化したソフトウェアの開発業務

- Webサイト上のコンテンツ管理業務

- 公開されている政策情報や技術情報等の翻訳業務

- パブリックコメントの募集および回答業務

- アンケートの作成・管理・回答業務

- ソースコード管理サービス

- CMS(Contents Management System)サービス

- 自動翻訳サービス

- Webアンケートサービス

06 災害時等に組織構成員の被災状況確認等を行う業務

- 災害時等の政府職員の連絡先等を管理する業務

- 災害時に政府職員の被災状況の管理を行う業務

- 安否確認サービス
07 組織構成員に対する組織ルールやビジネススキル等の教育を行う業務

-「組織の規定やルール、周知事項に関して政府職員に対して教育教材を提供する業務」

-「人材育成やキャリアアップを行うための一般的なビジネススキル等を提供する業務」

- e-ラーニングサービス
08 「行政文書の管理に関するガイドライン」において保存期間1年未満に該当するもののうち、定型的・日常的な業務連絡等を扱う業務 - 政府機関等の掌握事務に対する事実関係の問合せへの応答業務 - チャットボットサービス

最終的には個別の事前申請内容について、ISMAP-LIUの制度所管省庁が確認し、ISMAP-LIU適用の可否を判断するのが当該制度の特徴です。従って、ガイドラインに記載されているサービスであれば自動的にISMAP-LIUとして認定される訳ではなく、あくまでも、最終的には制度所管省庁の判断によるものである点には留意する必要があります。

内部監査と外部監査

ISMAP-LIUにおいて、結果的に最も大きな違いがあるのが、実施事項に対するモニタリング=監査の領域です。

外部監査(情報セキュリティ監査)においては、従来、採用された管理策の全ての項目が対象であったのに対して、ISMAP-LIUにおいては委員会が指定する重要項目のみになりました。FAQによれば、そもそも採用としていた管理策数にもよりますが、概ね1/5程度まで削減されることが想定されています。従来のISMAP対応における負担のうち、特に金銭的コストについては、その多くの部分が外部監査費用であった実態を踏まえれば、CSPが負担する金銭的コストは、これにより大幅に軽減することが想定されます。外部監査は初回申請時のみならず、毎年の更新申請時にも必要になることから、その効果は大きいと思われます(ただし、外部監査対象項目が1/5になったから外部監査費用も1/5になるかといえば、単純に評価項目数だけで必要費用が決定されている訳ではない点は留意が必要です)。

一方でこれをカバーするために内部監査において新たに要求事項が追加されています。そもそも、ISMAPにおいても、マネジメント基準4.6.2において内部監査の実施が求められているため、その内容も含めて監査機関による情報セキュリティ監査(外部監査)を受けることとなっています。

【図4】ISMAPにおける内部監査の要件

ISMAP管理策基準4.6.2で記載されている内部監査への主な要求事項

項目 管理策
4.6.2.2 組織は、あらかじめ定めた間隔で内部監査を実施する。
4.6.2.3 組織は、頻度、方法、責任および計画に関する要求事項および報告を含む、監査プログラムの計画、確立、実施および維持する。
4.6.2.4 組織は、監査基準および監査範囲を明確にする。
4.6.2.5 組織は、監査プロセスの客観性および公平性を確実にする監査員の選定および監査の実施を行う。

4.6.2.6

組織は、監査の結果を関連する管理層に報告することを確実にする。
4.6.2.7 組織は、監査プログラムおよび監査結果の証拠として、文書化した情報を保持する。

上記の通り、ISMAPにおいても一定の内部監査実施は要求されていることから、ISMAP-LIUにおいて完全に新規で追加になった項目とはなりません。しかしながら、3年に1度の頻度で内部監査の実施状況の報告を直接ISMAP-LIU制度に対して実施すること、制度への報告はかなり詳細な内容となる「様式2-3 内部監査に係る報告書」に全て転記が必要になること、監査証跡を含め監査計画書、監査報告書、監査調書は3年間保管が必要になること等、内部監査の実施形態・方法についてもISMAP管理策基準と比較してより具体的な要求事項が示されており、実態としてCSPにおける内部監査実施負荷はそれなりに増加する可能性も低くないことが想定されます。特にISMAP-LIU制度が想定する相対的に小規模な組織であるSaaSベンダーにおいて、内部監査要員が限定的な場合は、これに対応するため別途、内部監査業務の外部委託を検討する必要も発生する可能性があり、その場合、総額としての金銭的コスト軽減効果がどの程度期待できるかについては慎重な見極めが必要になるかもしれません。

管理策基準

結果的に、ISMAP-LIUにおいても対象となる管理策基準に変更はありませんでしたが、ここでは相対的にリスクが小さい業務であっても「要求される管理策に変更がなかった」という点に注目したいと思います。ISMAP-LIU制度の検討経緯を踏まえれば、可能であれば「簡易版」の検討もされていたのではないかと想像できます。簡易版とするのであれば、当然のこととして、現在、1200項目弱を管理基準として要求していること自体を軽減するという方向性もあったはずですが、結果的に、たとえ相対的にリスクが小さい業務・情報処理であったとしても、セキュリティリスクという特性を踏まえた場合、要求すべき管理策の削減はできないという結論に至ったのではないかと考えます。このことは制度の名称が、「ISMAP-Light」(ISMAP簡易版)ではなく、「ISMAP-LIU:Low-Impact Use」となっている=決して簡易版とは名称していないという点からも想像されるところです。

その他(リスト登録の一時停止)

注目すべき差異ではありませんが、ISMAP-LIUに固有の仕組みとして、リスト登録の一時停止が組み込まれています。セキュリティ事故は、どんなにセキュリティ対策を実施していても環境や状況によっては発生する場合(想定外のリスク)があることはもはや常識ですが、こういった事態に制度として適時に対応するための安全弁の1つとして今回追加となったのではないかと想像します。ただし、この仕組みはISMAPにおいても同様に必要な機能であるとも考えられ、今後の制度改善の検討においてISMAP側にも追加導入される可能性は低くないのではないかと考えます。

3.ISMAP-LIUがもたらす意義

少々、大げさな話かもしれませんが、このISMAP-LIUという仕組みが制度化されたことの意義は、大きく次の2点が挙げられるのではないでしょうか。

1点目は、事前申請=サービスを利用する側の業務のセキュリティリスク評価を明示的に制度のリスク評価の枠組みに組み込んだ点です。これまでもセキュリティリスク評価においては、「重要な情報を取り扱うか(例:個人情報の有無)」や「サービス停止が重大な影響を及ぼすか」という観点も踏まえたリスク評価が実施されてきましたが、基本的にはサービスを提供する側を主軸としたリスク評価となっていました。しかしながら実際にはセキュリティ(概念的にはIT・システムも同様)自体にリスクの軽重があるのではなく、それが適用される業務や情報処理自体のリスクの軽重を反映した評価としていたといえないでしょうか。ある意味、暗黙的に評価に組み込まれていた業務・情報処理のリスクを業務実施者(利用)側が明示的に評価し、総合的な評価に組み込んでいくという仕組みはこれまでの制度にはなかった(これまではサービス提供側のみがリスクを評価していた)ものであり、利用側も明示的にリスク評価を実施するという点で画期的な制度であると考えます(ただし今回提示されている事前評価の仕組みは、まだまだ精緻化・改善の余地はありますが)。

2点目は、前項:管理策基準でも触れましたが、利用側のセキュリティリスク評価が相対的に低いものであっても、セキュリティリスク対策として要求すべき管理策は変わらないということを示した点です。ISMAPにおいてもCSPのリスク評価に基づき採用する管理策基準を選択するというリスクアプローチの考え方は採用されているものの、基本的には取捨選択できるのは4桁基準と呼ばれている詳細管理策であって、統制目的である3桁基準は原則全て採用することが求められています。管理策を軽減するのであれば、ここで要求する統制目的を一部削減するということになりますが、業務側のリスク評価がどのようなものであっても、要求すべき統制目的は変わらない(その統制目的を達成するための詳細管理策は増減する)ということを明示したことは、今後、セキュリティリスク評価とその対策の関係を考える上で1つの指標にもなり得る可能性があると考えます。

ISMAP-LIU自体は発表されたばかりの制度であり、その基となるISMAPも今なお更なる改善に向けた検討が継続していると聞いています。これらの制度が今後どのような進展を見せるかについては興味を持って見守っていきたいと思いますが、DX推進やサプライチェーンの広域化・深化といった状況を踏まえると、セキュリティリスク対応は業種業態を問わず、今後ますます重要度が高くなる領域です。その領域に対して社会で共通のリスク認識・対策イメージを醸成していくことが重要であり、ISMAPおよびISMAP-LIUがその一助となることに大いに期待します。

執筆者

有限責任 あずさ監査法人
Digital Innovation & Assurance統轄事業部 Digital Advisory事業部
パートナー  山口達也
テクニカル・ディレクター  鈴木雅之

お問合せ