ISMAP-LIU【情報処理安全確保支援士試験 令和6年度 春期 午前Ⅱ 問7】

情報処理安全確保支援士試験 令和6年度 春期 午前Ⅱ 問7

【出典：情報処理安全確保支援士試験 令和6年度 春期 午前Ⅱ（一部、加工あり）】

 ISMAP-LIUクラウドサービス登録規則（令和6年3月1日最終改定）でのISMAP-LIUに関する記述として、適切なものはどれか。

ア　JIS Q 27001に加え、JIS Q 27017に規定されたクラウドサービス固有の管理策が適切に導入、実施されていることを認証する。
イ　アウトソーシング事業者が記述したセキュリティの内部統制に対しても、監査法人が評価手続を実施した結果とその意見を表明する。
ウ　リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とする。
エ　我が国の政府機関などにおける情報セキュリティのベースライン、及びより高い水準の情報セキュリティを確保するための対策事項を規定している。

今回は、皆さんの学習に役立つ「ISMAP-LIU」について、わかりやすく解説していきます。

ISMAP-LIUってなに？

ISMAP-LIU（イスマップ・リュー）は、「Information System Security Management and Assessment Program for Low-Impact Use」の略称です。簡単に言うと、政府機関がクラウドサービスを利用する際に、セキュリティ対策が適切に行われているかを確認するための制度ISMAP（イスマップ）の簡易版として導入されました。

---

なぜISMAP-LIUが生まれたの？その背景と経緯

もともと、政府機関がクラウドサービスを導入する際には、ISMAPによる厳格なセキュリティ評価が義務付けられていました。これは、国民の重要な情報を取り扱う政府機関にとって、サイバー攻撃のリスクを最小限に抑えるために不可欠な措置です。

しかし、ISMAPの審査は非常に厳しく、時間とコストがかかるという課題がありました。このため、比較的機密性の低い情報（低影響度情報）を扱うクラウドサービスについても、ISMAPの審査を受けなければならない現状が、政府機関のクラウドサービス導入を遅らせる要因となっていました。

そこで、より迅速かつ効率的にクラウドサービスを導入できるよう、セキュリティリスクの低いサービスに特化した簡易的な評価制度として、2023年6月にISMAP-LIUが導入されたんです。これにより、政府機関は必要なサービスをよりスムーズに利用できるようになり、クラウド活用の促進が期待されています。

---

どんなサービスが対象になるの？ISMAP-LIUの適用事例

ISMAP-LIUの対象となるのは、以下のような低影響度情報を取り扱うクラウドサービスです。

• 政府機関内の情報共有ツール（例：スケジュール管理、文書共有、チャットなど）
• 研修資料の配信システム
• Web会議システム（機密情報を含まないもの）
• 一般的なWebサイトのホスティングサービス

これらのサービスは、万が一情報漏洩が起きても、国民生活や政府活動に重大な影響を及ぼす可能性が低いと判断されるものです。これにより、必要なサービスを迅速に導入し、業務の効率化を図ることができます。

---

ISMAP-LIUの課題とこれからの対策

ISMAP-LIUはクラウド導入を加速させる一方で、いくつかの課題も存在します。

• 「低影響度」の判断基準の明確化
  どの情報が「低影響度」に該当するのか、その線引きをより明確にする必要があります。
• セキュリティレベルの維持
  簡易版とはいえ、最低限必要なセキュリティレベルが担保されているかを継続的に確認する仕組みが重要です。
• 制度の認知度向上
  ISMAP-LIUの存在や目的が、政府機関やクラウドサービス提供事業者により広く認知される必要があります。

これらの課題に対しては、ガイドラインのさらなる整備や、情報共有の強化、継続的なモニタリング体制の構築などが今後の対策として挙げられます。

---

ISMAP-LIUの今後の動向

ISMAP-LIUはまだ新しい制度ですが、政府機関のクラウド活用を促進する上で重要な役割を担っています。今後は、対象となるサービスの拡大や、より使いやすい制度への改善が進められる可能性があります。

情報処理安全確保支援士やネットワークスペシャリストを目指す皆さんにとっては、このような政府のセキュリティ制度に関する知識は、実務においても非常に役立ちます。クラウドセキュリティの動向を常に把握し、自身のスキルアップに繋げていきましょう！

さて、問題の解説です

 ISMAP-LIUクラウドサービス登録規則（令和6年3月1日最終改定）でのISMAP-LIUに関する記述として、適切なものはどれか。

ア　JIS Q 27001に加え、JIS Q 27017に規定されたクラウドサービス固有の管理策が適切に導入、実施されていることを認証する。
イ　アウトソーシング事業者が記述したセキュリティの内部統制に対しても、監査法人が評価手続を実施した結果とその意見を表明する。
ウ　リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とする。
エ　我が国の政府機関などにおける情報セキュリティのベースライン、及びより高い水準の情報セキュリティを確保するための対策事項を規定している。

ウ　リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とする。

正解です。

• ISMAP-LIUは、政府機関が利用する軽微な業務・情報の処理に使用されるクラウドサービス、特にSaaSに対象を限定しています。

ア　JIS Q 27001に加え、JIS Q 27017に規定されたクラウドサービス固有の管理策が適切に導入、実施されていることを認証する。

誤りです。

• これはISO/IEC 27017に基づく第三者認証の説明であり、ISMAP-LIUではないです。ISMAP-LIUはあくまで登録制度であり、認証制度ではありません。

イ　アウトソーシング事業者が記述したセキュリティの内部統制に対しても、監査法人が評価手続を実施した結果とその意見を表明する。

誤りです。

• これはSOC2報告書の説明に近い内容です。ISMAP-LIUはこのような監査法人による意見表明の制度ではありません。

エ　我が国の政府機関などにおける情報セキュリティのベースライン、及びより高い水準の情報セキュリティを確保するための対策事項を規定している。

誤りです。

• これは、ISMAP（通常版）の説明に該当します。ISMAP-LIUはそこまで高水準を求める制度ではなく、軽微利用向けの簡素化された仕組みです。