www.youtube.com 情報処理安全確保支援士試験によく出る「ISMAP-LIU」について、サクラ先輩と一緒に楽しく攻略していく動画です。難しそうなクラウドサービスのセキュリティ制度も、LIU（Low-Impact Use）の意味や他の制度との違いを押さえれば簡単に解けるようになります。試験対策はもちろん、実務でのクラウド選定の基礎知識としても役立つ内容をぎゅっとまとめて解説します。 本動画で学習すべき重要なキーワードについて順番に説明していきます。まず基本となるのがISMAPです。これは政府のクラウドサービス調達におけるセキュリティ水準を確保するための仕組みで、高いセキュリティが求められる重要システムを対象としています。政府の要求を満たすサービスを事前評価してリストに登録する制度であり、各府省庁や独立行政法人などが利用します。 次がこの動画のメインテーマであるISMAP-LIUです。末尾のLIUはLow-Impact Useの略であり、影響が小さい利用という意味を持っています。機密性の低い業務に重厚なISMAPを適用するのはオーバースペックになるため、リスクの小さな業務や情報の処理に用いるSaaSに限定して、審査プロセスを簡素化した制度として二〇二二年に運用が開始されました。物理層などを他社に任せるSaaS向けに監査項目を最適化したものであり、決してセキュリティが甘いというわけではなく、取り扱う情報の格付けが機密性二情報以下である場合に利用できる仕組みです。 また、試験では他の制度とのひっかけ問題が出題されるため、それぞれの違いを理解することが不可欠です。たとえばISMSクラウドセキュリティ認証は、民間第三者による認証制度であり、JISQ27001やJISQ27017といった規格をベースに民間や公共を問わず一般的な信頼性を示すものです。政府による登録制度であるISMAPとは明確に異なります。 さらにSOCというキーワードも頻出です。これは米国公認会計士協会などの基準に基づく保証報告書のことで、受託会社の内部統制に対して監査法人が評価手続きを実施し、その結果と意見を表明するものです。試験問題の選択肢に監査法人が意見を表明するとあれば、それはISMAPではなくSOCに関する記述だと見抜く必要があります。 最後に統一基準群についてですが、これは政府機関において統一的な枠組みを示し、情報セキュリティのベースラインや対策事項を定めた政府機関自身が守るべきルールのことです。政府機関が使えるサービスのリストであるISMAPとは階層や目的が異なる点に注意してください。 これらの制度の違いをしっかり把握することで、試験問題の選択肢からキーワードで消去法を使い、正しい答えを導き出す思考プロセスが身につきます。未来の動向であるOSCALを用いた継続的モニタリングなどの視点も踏まえ、クラウド選定のルールをマスターしていきましょう。