SaaSセキュリティ評価認定

この認定は何のためのものか

SaaSセキュリティ評価認定は、SaaS事業者が自社サービスのセキュリティ対策を第三者の監査を通じて客観的に証明し、特に政府機関・地方公共団体への調達ルートに乗せるための仕組みです。中核となるのが ISMAP(政府情報システムのためのセキュリティ評価制度)で、その中でも利用リスクが比較的小さいSaaSを対象とした簡易枠が ISMAP-LIU(LIU=Low-Impact Use)です。

法律というより、政府の運営委員会が定める「ISMAP管理基準」に基づく登録制度である点が特徴です。許認可のように取得が法的義務になるわけではなく、政府調達に参加するための事実上の前提条件として機能します。

対象となる事業者

• 官公庁・自治体への販売を狙う SaaS / クラウドサービス提供者
• 取扱情報の機密性が比較的低く、ISMAP-LIU の対象範囲(利用リスクの小さいサービス)に該当する事業者
• 自前のデータセンターではなく IaaS / PaaS 上にサービスを構築している事業者(基盤側の登録状況も評価に関係します)

機密性の高い情報を扱う基幹システムは LIU ではなく通常の ISMAP 本登録が必要になるため、自社サービスがどちらの枠に当たるかの見極めが最初の分岐点です。

取得の流れ

• ISMAP管理基準(LIU向けの管理策)に沿って社内の情報セキュリティ管理体制・技術対策を整備する
• ISMAP登録監査機関(登録を受けた監査法人・セキュリティ監査会社)と契約し、外部監査を受ける
• 監査結果を添えて ISMAP運営支援機関へ登録申請する
• 審査を通過すると「ISMAPクラウドサービスリスト」に掲載され、政府機関が調達候補として扱えるようになる

費用の内訳

• 監査機関への監査報酬(費用の大半を占める)
• 管理基準適合のための社内体制整備・文書整備のコスト(コンサル費用を含む場合あり)
• 申請・登録に伴う事務費

目安は20万〜100万円程度とされますが、サービス規模・対象範囲・監査範囲によって大きく変動します。LIU は本登録より監査負荷が軽い分、費用も抑えられる傾向にありますが、正確な額は監査機関の見積もりによります。

よくあるつまずき

• 管理基準で求められる文書(ポリシー・運用記録・台帳類)が運用実態と乖離しており、監査で指摘される
• アクセス管理・ログ管理・脆弱性対応など「運用が回っている証跡」が不足している
• LIU対象外の情報を扱っているのに LIU 枠で申請しようとして範囲設定で差し戻される

制度開始時点の整備だけでなく、日々の運用記録が残っていることが通過の鍵です。

関連する制度・更新時の注意

ISMAP登録は一度取れば終わりではなく、継続的な監査(年次)と再登録のサイクルがあります。サービス内容や利用する基盤クラウドを変更した場合は、評価範囲の見直しが必要です。あわせて、IPA の情報セキュリティサービス審査登録制度(情報セキュリティ監査・脆弱性診断サービス等の登録)や ISO/IEC 27001(ISMS)・27017 を取得しておくと、管理基準適合の土台として有利に働きます。

まず着手すべきは、自社サービスが ISMAP-LIU の対象範囲に当たるかの確認と、登録監査機関への事前相談です。制度の運用詳細は ISMAP ポータルおよび運営委員会の公表資料で最新情報を確認してください。