ISMAP新制度が運用開始 「ISMAP-LIU」はクラウド活用の裾野拡大につながるか

政府情報システムのためのセキュリティ評価制度「ISMAP」の新制度「ISMAP-LIU」が、2022年11月から運用されています。ISMAP-LIUの概要を理解するとともに、日本のサイバーセキュリティへの影響を考察してみましょう。

1．まずはISMAPをおさらい

ISMAP-LIUはセキュリティリスクが低い業務や情報の処理に使うSaaSを対象とした政府の認定制度です。まずはISMAP-LIUについて触れる前に、ISMAPそのものの内容を改めておさらいします。

日本政府は2016年、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を定め、政府の情報システム整備にあたってクラウド利用を第一候補として検討する原則「クラウド・バイ・デフォルト原則」を掲げました。ただし当時、そのための環境は未整備で、クラウドサービスに要求する統一的なセキュリティ要求基準は存在しませんでした。

こうした状況を受け、クラウド・バイ・デフォルト原則に沿って適切に安全性が評価されたクラウドサービスを利用できるようにするための制度の検討が進められ、20年にISMAP（Information system Security Management and Assessment Program）が立ち上がりました。所管官庁は内閣官房内閣サイバーセキュリティセンター（NISC）、デジタル庁、総務省、経済産業省の4組織です。

ISMAPは、国際標準を踏まえて策定したセキュリティ基準を満たすクラウドサービスを、第三者の監査プロセスを経て登録する制度です。政府機関は今後、原則として「ISMAPクラウドサービスリスト」（ISMAPの運用支援機関である独立行政法人情報処理推進機構（IPA）が運用するポータルサイトで公開されています）に掲載されたサービスから調達を行います。21年3月には初めてリストの登録・公開が行われ、政府機関がISMAPの利用を開始しました。22年末現在、ISMAPクラウドサービスリストには28社38サービスが登録されています。

現段階でISMAPは、政府機関の調達で利用されるクラウドサービスの評価・登録制度という位置づけですが、より広く活用されるようになる可能性もあります。ISMAPクラウドサービスリストに掲載されているクラウドサービスは、政府に求められるセキュリティの要求を第三者の監査を経てクリアしたものであり、民間企業などのセキュアなクラウド活用という観点でも、サービス選定における参照資料として有効であると言えるでしょう。

2．ISMAP-LIUは低リスク用途のSaaS向け認定・登録制度

ただし、従来のISMAPには課題もありました。ISMAPの対象となる情報システムはIaaS、PaaS、SaaSとクラウドの全レイヤーにまたがっていますが、とりわけSaaSはサービスの幅が広く、用途や機能が限定的なサービスや、比較的重要度が低い情報のみを扱うサービスも存在します。こうしたサービスにもISMAPとして一律の基準を適用した場合、セキュリティの要求が過剰になり、クラウドサービス活用の阻害要因になる可能性があります。

そこで、セキュリティ上のリスクが小さい業務やデータを扱うSaaS対象とした新しい評価・登録制度として新たに設けたのが、ISMAP-LIU（ISMAP for Low-Impact Use）です。22年6月に新制度の各種規定案を公開し、パブリックコメントを経て改訂。同11月に運用を開始しました。既存のISMAPの枠組みをベースに、外部監査対象範囲を縮小するなど、ISMAP-LIUは「簡易版ISMAP」とでも言うべき制度になっています。


また、経産省は22年から、DXに取り組む中堅・中小企業のモデルケースとなるような優良事例を選定して紹介する「DXセレクション」という取り組みを実施しています。デジタルガバナンス・コード（https://www.intra-mart.jp/im-press/useful/digital_governance）の主要項目における評価が選定基準ですが、選定対象企業は地方版IoT推進ラボに参加している企業に限られています。

3．クラウドサービス提供者側の負担軽減を目指す

ISMAP-LIUの対象となるSaaS活用業務は、現時点で以下の8項目が想定されています。

（1）公表を前提とした政策・制度の立案・調整過程等で民間と連携して作業する業務（具体例……有識者を招いた審議会等の運営を行うために、Web会議による会議運用や、ファイル共有による情報の保存・管理・共有を行う）

（2）政府職員の業務上の役職・氏名情報を扱う業務（具体例……政府職員の役職・氏名情報を用いて職員の人事管理やタレントマネジメントを行う）

（3）名刺情報等の一般に広く提供する範囲の情報、公開情報の配信に伴う配信先等管理情報を扱う業務（具体例……企業、役職、氏名等の名刺情報を登録・管理を行う。政府機関等の顧客に対する映像・コンテンツ等の配信に伴う配信先の特定を目的とした情報の登録・管理を行う）

（4）民間から提供される情報であり、当該情報提供者が低リスクだと判断している情報を処理する業務（具体例……民間企業・民間団体が利用しているWeb会議やファイル共有のためのSaaSを用いて、当該情報提供元企業が提供する情報の保存・管理を行う）

（5）オープンソース・公知の事実・一般公開情報を扱う業務だが例外的に要機密扱いとする必要がある場合（具体例……Webサイトの公開前情報など、公開が予定されている情報であり、当該情報の公開が意思決定されている情報を扱う。機械翻訳を用いて他国の政策情報や技術情報等を翻訳し調査を行う）

（6）災害時等に組織構成員の被災状況確認等を行う業務

（7） 組織構成員に対する組織ルールやビジネススキル等の教育を行う業務

（8） 「行政文書の管理に関するガイドライン」において保存期間1年未満に該当するもののうち、定型的・日常的な業務連絡等を扱う業務（具体例……定型的・日常的な業務連絡やスケジュール共有。出版物や公表物を編集した文書のやり取り。中央官庁の所掌事務に関する事実関係の問い合わせへの応答。意思決定の途中段階で作成したもので当該意思決定に与える影響が極めて小さい文書のやり取り）

ISMAP-LIUの登録にあたっては、まずユーザーである省庁などの政府機関が、当該SaaSで取り扱われる業務や情報について、対象業務8項目のどれに該当するのかを明らかにした上で、機密性・完全性・可用性が損なわれた場合の影響度を評価します。クラウドサービスの提供者は、ユーザー側の影響度評価結果を含む所定の書類を準備して、事前申請の審査を受けます。これが既存のISMAPにはなかったプロセスで、登録申請のあったSaaSが実際にセキュリティリスクの小さい業務・情報に用いられることを確認するための手順です。ここでISMAP-LIUの対象になると認められれば、従来と同様に外部監査などを経て本申請に移行。サービスリストに登録されるかどうかの最終的な審査が行われることになります。


ISMAP-LIUの登録までの流れ


現状、政府としてセキュリティリスクが小さい業務や情報などについての統一の基準が存在しないため、ISMAP-LIUの登録には従来のISMAPにはないプロセスが付加されたかたちです。一方で、監査全体のプロセスは「ISMAPよりも緩やかな設計になっている」としています。特に外部監査対象範囲は縮小しており、クラウドサービス提供者側の負担軽減に配慮した制度になっているようです。

4．まとめ

政府機関の業務の現状に即したかたちでISMAPをアップデートし、クラウド・バイ・デフォルトのさらなる推進を意図して新設されたISMAP-LIU。対象業務も妥当性があると認められれば随時拡充される方針です。

クラウドサービス市場は拡大の一途ですが、民間も含めてまだまだ活用の余地は大きく、セキュリティへの不安を理由にクラウドへのシフトを躊躇してしまうケースは少なくないようです。それでもDXの取り組みにおいては、クラウドを有効かつ適切に使うことで、ビジネスの競争優位性を継続的に向上させる基盤を構築できる可能性は高まるはずです。ISMAPの継続的なアップデートが、そうした気運を後押ししてくれるように期待したいところです。