ISMAPとISMAP-LIUの違いから特徴まで徹底解説!
セキュリティリスク評価において重要な役割を果たすISMAPとISMAP-LIU。これらのフレームワークは、組織や業務のセキュリティ強化に向けて不可欠なツールとなっています。しかし、ISMAPとISMAP-LIUの違いや特徴については十分に理解されているでしょうか?本記事では、ISMAPとISMAP-LIUの比較からその特徴まで、徹底的に解説していきます。セキュリティリスク評価の重要性を理解し、適切なフレームワークの選択が組織のセキュリティにどのような影響を与えるのか、ぜひともご一読ください。
目次
ISMAPとISMAP-LIUの概要
ISMAP-LIU(ISMAP for Low-Impact Use)は、セキュリティ上のリスクが比較的低い業務や情報処理に使用されるクラウドサービスに対する新しい認証制度です。ISMAPは機密性2の情報(機密情報ではない非公開情報)を扱うことを想定して策定されていますが、ISMAP-LIUはそれよりもリスクが低い業務や情報に特化した制度です。
ISMAP-LIUでは、SaaS(Software as a Service)を中心に、IaaS(Infrastructure as a Service)やPaaS(Platform as a Service)などのクラウドサービスも対象としています。SaaSは幅広いサービスが提供されており、一部のサービスは非常に特定の目的や機能に特化していたり、機密性が比較的低い情報のみを処理する場合もあります。
ISMAP-LIUの導入には、ISMAPで要求されるよりも緩やかなセキュリティ要件が適用されます。これは、ISMAPの要求がISMAP-LIUの対象となるクラウドサービスにとって過剰であると考えられる場合に、より柔軟なセキュリティ要件が提供されるためです。
ISMAP-LIUの導入により、セキュリティ上のリスクが低いクラウドサービスに対しても適切なセキュリティ評価と認証が行われ、政府機関や関連組織がこれらのサービスを安心して利用できるようになります。ISMAP-LIUはISMAPと連携しており、ISMAP-LIU認証を取得したクラウドサービスは、ISMAPクラウドサービスリストに登録されることで、政府機関等が安全にクラウドサービスを調達する際の参考となります。
ISMAPの課題
ISMAPの課題としては、以下のような点が挙げられます:
・適用範囲の限定性: ISMAPは政府機関が利用するクラウドサービスに焦点を当てています。そのため、一般企業や個人が利用するクラウドサービスに対する適用は限定的です。この制約により、クラウドサービスのセキュリティ評価や登録が必要な場合でも、ISMAPが適用されないため、セキュリティの保証が不十分になる可能性があります。
・更新の遅れ: ISMAPのセキュリティ要件や評価基準は定期的に見直される必要がありますが、その更新が遅れていると指摘されています。セキュリティ技術や脅威環境は日々進化しており、古い基準に基づいたままでは、新たな脅威に対する対策が不十分になる可能性があります。
・評価プロセスの負担: ISMAPのセキュリティ評価は、クラウドサービスプロバイダーにとって負担が大きい場合があります。評価のための情報提供やセキュリティ対策の実施など、時間とリソースを要する作業が必要となります。そのため、一部のプロバイダーはISMAPへの登録を躊躇する可能性があります。
・国際的な標準との整合性: ISMAPは日本独自の制度であるため、国際的な標準との整合性に課題があります。特に、海外企業やクラウドサービスプロバイダーとのデータ移転やビジネス提携の際には、異なるセキュリティ要件や評価基準が存在する可能性があり、調整が必要となります。
これらの課題を解決するために、ISMAPの見直しや改善が行われています。例えば、ISMAP-LIUのような新たな制度の導入や、国際的なセキュリティ標準との連携強化などが検討されています。
ISMAP-LIUの特徴
ISMAP-LIUとISMAPの違いは以下のようになります。
| No. | 項目 | ISMAP | ISMAP-LIU |
|---|---|---|---|
| 1 | 対象サービス | クラウドサービス | セキュリティ上のリスクが小さい業務・情報処理に利用されるSaaS |
| 2 | ISMAP調達への参加 | 可 | 不可 |
| 3 | LIU調達への参加 | 可 | 可 |
| 4 | 管理策 | 同じ | 同じ |
| 5 | 事前申請 | なし | あり |
| 6 | 内部監査実施 | あり | あり |
| 7 | 内部監査報告 | なし | あり |
| 8 | 外部監査項目 | 言明書で採用した管理策(500〜800程度) | 制度が指定した重要な管理策(150〜200程度) |
| 9 | リスト登録取消・公表 | あり | あり |
| 10 | リスト登録の一時停止 | なし | あり |
1.対象サービスの限定と事前申請制度について
ISMAP-LIUでは、「リスクの低い業務や情報の処理に使用されるSaaSサービス」を対象としています。この制度は、特に小規模なSaaSサービスベンダーに対する対応を考慮しており、リスクの低い業務に対するセキュリティ対策とコストのバランスを取ることを目指しています。現代ではリスクアプローチが様々な分野で導入されていますが、セキュリティ分野では1つの不備が全体に大きな影響を及ぼす可能性が高いため、リスクに応じた対策の軽減が難しい側面がありました。従来のISMAPでは各CSP(クラウドサービスプロバイダ)のリスク評価結果に基づいて必要な管理策を採用する考え方がありましたが、実装状況の確認や手順の軽減については容易ではありませんでした。そのため、ISMAP-LIUでは「業務や情報のセキュリティリスク評価」に基づく事前申請を導入することで、確認手続きを簡略化する仕組みが導入されました。
しかし、「リスクの低い業務・情報の処理」とは具体的にどのような業務を指すのか、その定義は難しいものです。同じ業務や情報でも、使用される場面や組織、立場によって異なる状況が考えられます。全ての要素を1から検討することは制度の運営に大きな負担をかけることになりますし、一律の定義を導入することも不可能です。このため、新たに事前申請制度が導入されたと推測されます。事前申請制度の概要は以下の通りです。
2.内部監査と外部監査の概要
ISMAP-LIUでは、最も顕著な違いは、実施事項の監視と監査の範囲にあります。
従来のISMAPでは、情報セキュリティ監査(外部監査)では採用された管理策のすべての項目が対象でしたが、SMAP-LIUでは、委員会が指定する重要な項目のみが対象となりました。FAQによれば、採用されている管理策の数によりますが、おおよそ1/5程度に削減されることが予想されています。従来のISMAPにおける負担の中でも、特に金銭的な負担は、外部監査費用の大部分であったため、CSPの負担金額は大幅に軽減されることが期待されます。外部監査は初回申請時だけでなく、年次更新申請時にも必要となるため、その効果は大きいと考えられます(ただし、外部監査費用は単純に項目数に比例して減少するわけではない点に留意する必要があります)。
一方、これに対応するために、内部監査に新たな要件が追加されました。ISMAPでも、マネジメント基準4.6.2において内部監査の実施が求められていましたが、SMAP-LIUでは、その内容も含めて情報セキュリティ監査(外部監査)によってカバーされることになります。
管理策基準について
ISMAP-LIUにおいては、対象となる管理策基準に変更はなかったものの、注目すべき点は、相対的にリスクが小さい業務でも「要求される管理策に変更がなかった」ということです。ISMAP-LIU制度の検討の経緯からは、おそらく「簡易版」の検討も行われていた可能性が考えられます。もし簡易版が導入された場合、現在の約1200項目の管理基準を軽減する方向性もあったはずです。しかし、セキュリティリスクという特性を考慮すると、相対的にリスクが小さい業務・情報処理であっても、管理策の削減はできないという結論に至った可能性があります。実際に、制度の名称が「ISMAP-Light(ISMAP簡易版)」ではなく、「ISMAP-LIU:Low-Impact Use」となっていることからも、簡易版ではなく、リスクが低い業務に対する適用として位置付けられていることが想像されます。
ISMAP-LIUのメリット
ISMAP-LIUという仕組みが導入されたことによるメリットについて解説していきます。
利用者側の業務リスク評価を制度に組み込んだISMAP-LIUの画期的なアプローチ
ISMAP-LIU制度では、事前申請における利用側の業務のセキュリティリスク評価が制度のリスク評価の枠組みに組み込まれることとなりました。従来のリスク評価では、重要な情報の取り扱いやサービス停止の影響などが考慮されてきましたが、主にサービス提供者のリスク評価に焦点が当てられていました。しかし、セキュリティ自体にはリスクの軽重があるのではなく、業務や情報処理のリスクの軽重が重要です。この制度では、利用側が明示的に業務・情報処理のリスクを評価し、総合的な評価に組み込む仕組みが導入されました。これは以前の制度には存在しなかったものであり、利用側もリスク評価を実施する画期的な制度です。
ISMAP-LIUにおける管理策要件の相対性とセキュリティリスク評価の関係性の明示
ISMAPでは、管理策基準においても示した通り、利用側のセキュリティリスク評価が低い場合でも、要求される管理策は変わらないことが示されています。ISMAPでは、CSPのリスク評価に基づき、管理策基準を選択するリスクアプローチが採用されていますが、基本的には4桁基準と呼ばれる詳細な管理策の取捨選択が可能であり、3桁基準である統制目的は原則的に全て採用する必要があります。したがって、管理策の削減を行う場合でも、要求される統制目的は変わらず、詳細な管理策が増減することになります。この明示は、将来的にセキュリティリスク評価と対策の関係を考える上での指標となる可能性があります。
まとめ
ISMAPとISMAP-LIUは、セキュリティリスク評価における重要なフレームワークです。ISMAPは、サービスを提供する側の視点に立ち、業務のセキュリティリスク評価を行うための指針として広く利用されています。一方、ISMAP-LIUは、サービスを利用する側の視点を重視し、利用側の業務のセキュリティリスク評価を明示的に制度のリスク評価の枠組みに組み込むことを目的としています。
これらのフレームワークは、それぞれ異なる視点からセキュリティリスク評価を行うため、組織や業務の特性に応じて適切な選択が求められます。セキュリティリスク評価と対策の重要性がますます高まる現代において、ISMAPとISMAP-LIUは組織のセキュリティ強化に貢献する重要なツールと言えるでしょう。
株式会社UPFでは様々な規格の認証支援・構築支援を経て得たリスクマネジメントへの深い知見で、その企業に最もフィットする制度構築によりISMAP登録までを支援します。
ISMAP取得をご検討される企業様・ご担当者様は、Pマーク取得の実績No.1のコンサル会社UPFまでどうぞお気軽にお問い合わせください。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]
