ISMAP-LIU|情報処理安全確保支援士試験 令和6年春期午前Ⅱ 問7
出典:令和6年春期 午前Ⅱ 問7
分野:セキュリティ / 情報セキュリティ管理
ISMAP-LIUクラウドサービス登録規則(令和6年3月1日最終改定)でのISMAP-LIUに関する記述として,適切なものはどれか。
- ア:JIS Q 27001に加え,JIS Q 27017に規定されたクラウドサービス固有の管理策が適切に導入,実施されていることも認証する。
- イ:アウトソーシング事業者が記述したセキュリティの内部統制に対しても,監査法人が評価手続を実施した結果とその意見を表明する。
- ウ:リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とする。
- エ:我が国の政府機関などにおける情報セキュリティのベースライン,及びより高い水準の情報セキュリティを確保するための対策事項を規定している。
TSUNAGARU-ADVICE
まず押さえたいこと
ISMAP-LIUは、通常のISMAPよりも対象を限定した制度で、リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とします。
迷ったときの判断軸
ISMAP-LIUの「LIU」はLow-Impact Useの意味であり、影響度の低い利用を想定したクラウドサービス登録の枠組みです。したがって、政府機関などが低リスク用途で利用するSaaSを対象にする制度と整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、クラウドサービスの利用場面で、通常のISMAPが必要なケースか、低リスク用途としてISMAP-LIUの対象になり得るケースかを判断させる形で問われます。制度名だけでなく、対象となるサービスの種類や利用リスクの大きさまで結び付けて理解しておきましょう。
ISMAP-LIUは、政府情報システム向けのセキュリティ評価制度であるISMAPの一部です。LIUは「Low-Impact Use」の略で、リスクの小さな業務や情報の処理に使うSaaSサービスを対象としています。
ISMAPは、政府がクラウドサービスを使うときに、一定のセキュリティ水準を満たしているサービスをあらかじめ評価・登録しておく制度です。これにより、政府機関などがクラウドサービスを安全かつ円滑に導入しやすくなります。
ISMAP-LIUは、その中でも影響度の低い業務に使うSaaS向けの仕組みです。通常のISMAPより対象を絞り、低リスクな利用に適したクラウドサービスを登録する制度と考えると分かりやすいです。
なお、ISMAP-LIUクラウドサービス登録規則は、ISMAP-LIUクラウドサービスリストへの申請・審査・登録・更新などの手続きを定めた規則です。ISMAP-LIUは、2022年11月から運用が始まっています。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:JIS Q 27001に加え,JIS Q 27017に規定されたクラウドサービス固有の管理策が適切に導入,実施されていることも認証する。
⇒ISO/IEC 27017などのクラウドセキュリティ認証に関する説明であり、ISMAP-LIUそのものの説明ではありません。
イ:アウトソーシング事業者が記述したセキュリティの内部統制に対しても,監査法人が評価手続を実施した結果とその意見を表明する。
⇒SOC報告書など、受託業務に係る内部統制保証報告の説明です。ISMAP-LIUの説明ではありません。
エ:我が国の政府機関などにおける情報セキュリティのベースライン,及びより高い水準の情報セキュリティを確保するための対策事項を規定している。
⇒政府機関等のサイバーセキュリティ対策のための統一基準群に関する説明です。ISMAP-LIUは低リスク利用のSaaSサービスを登録する制度です。