ISMAP-LIU登録促進のための取組み
- 最終更新日:
ISMAP-LIUに関する情報とデジタル庁でのISMAP-LIU登録促進のための取組について紹介しています。
1. 概要
政府情報システムのためのセキュリティ評価制度(以下「ISMAP」という。)は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入に資することを目的とした制度です。
政府は、行政機関等におけるクラウド・バイ・デフォルトの拡大を推進するため、ISMAPのうち、セキュリティリスクの小さな業務・情報の処理に用いるSaaSサービスを対象とした仕組みとして、「ISMAP-LIU(ISMAP(Information system Security Management and Assessment Program) for Low-Impact Useの略称)」を設けています。
デジタル庁では、SaaSサービスのISMAP-LIUへの登録促進を図るための取組を行っています。詳細は4.デジタル庁の取組からご確認ください。
2. ISMAP-LIUについて
対象となるSaaSサービス
機密性2情報を扱うSaaSのうち、リスクの小さな業務・情報の処理に用いるものが対象です。詳細はISMAPポータルサイトに掲載している「ISMAP-LIU業務・情報の影響度評価ガイダンス(制度規程等)」をご参照ください。
メリット
ISMAP-LIUは ISMAPの場合と比較して管理策基準のうち外部監査の対象範囲が縮小します。
外部監査の対象範囲の縮小と内部監査の実施について
ISMAPおよびISMAP-LIUに登録する場合、ISMAP管理基準におけるガバナンス基準、マネジメント基準、管理策基準の各基準の統制に対して外部監査および審査を実施します。
ISMAP-LIUの場合、ガバナンス基準およびマネジメント基準については、全管理策を対象に、毎年、外部監査の実施が必要です。管理策基準については、一部の重要な管理策(サービス基盤やサービス構成に直接的な影響を及ぼし得る管理策)を主に外部監査の対象とし、数年に平準化して外部監査を実施します。
なお、ISMAP-LIUについては、CSP(SaaS提供事業者)は、自ら実施する内部監査の内容について実施状況の報告が必要です。内部監査については、管理策基準の全ての統制目標について、直近3年間において少なくとも一度は対象とされていることが必要となります。
3. ISMAP-LIUへの登録方法
ISMAPポータルサイトに掲載している「ISMAP-LIUクラウドサービス登録規則(制度規程等)」および「ISMAP-LIUクラウドサービス申請の手引き(【ISMAP-LIU】 各種お手続きについて)」等をご参照ください。
4. デジタル庁の取組
デジタル庁では、政府機関等における安全なSaaSサービスの利用拡大のため、「ISMAP-LIU登録促進のための特別措置」(以下、「特別措置」といいます。)を設けました。詳細は以下ご確認ください
特別措置(受付は終了しました)
特別措置では、ISMAP-LIUクラウドサービスリストに登録申請を予定し、かつ一定の要件を満たすSaaSサービスについては、特別措置サービスリスト(以下、「サービスリスト」といいます。)に登録されます。
サービスリストに登録されることで、次のようなメリットがあります。
- サービスリストは政府機関等に共有され(一般には非公開)、各政府機関等におけるSaaSサービスの調達時に参照される
- 特別措置の期間内においては、ISMAP-LIUクラウドサービスリストへの登録に係る提出物の一部等を免除することが可能になる
- 特別措置の期間内においては、外部監査の対象を一部免除することが可能になる
サービスリストへの登録に必要な一定の要件の内容など特別措置の詳細については、 「ISMAP-LIU登録促進のための特別措置について(PDF/679KB)」を参照ください。
また、「ISMAP-LIU登録促進のための特別措置について」に関する留意事項も併せてご確認ください。
「ISMAP-LIU登録促進のための特別措置について」に関する留意事項
「2 特別措置の枠組み(2)適用要件」における「特別措置を適用しようとするSaaSサービスについて、特別措置の運用期間中にISMAP-LIUへの登録申請(事前申請を含む)が提出される予定であること」は、ISMAP-LIUの事前申請に関する提出書類を本特別措置の運用期間の令和7年(2025年)3月末までにISMAPポータルサイトを通じ、ISMAP運用支援機関宛てに提出することを適用要件とするものです。
※原則、本特別措置の運用期間の令和7年(2025年)3月末までにISMAP-LIUクラウドサービス登録規則の第8章(サービス登録に関する申請)を求めますが、例外として、事前申請段階でも特別措置を適用可能とします。