情報セキュリティマネジメントシステム(ISMS)は、企業が保持する情報を守るためのセキュリティリスクに関する仕組みです。情報漏えい対策に不可欠であり、一部の仕事を請け負うために必須とされるケースもあるため、取得を考えている企業も多いのではないでしょうか。
本記事では ISMS の概要や取得の方法、メリットや取得方法を解説します。混同しやすい P マークとの違いも解説しているので、取得を考えている方はぜひ参考にしてください。
情報セキュリティマネジメントシステム(ISMS)とは
情報セキュリティマネジメントシステム(ISMS: Information Security Management System)とは、組織全体の情報セキュリティを計画的に管理し、リスクを低減するための仕組みです。ISO / IEC 27001 という国際標準に準拠しており、企業が情報を保護するための包括的な枠組みを提供します。
ISMS により、企業や組織は情報漏えいやサイバー攻撃からデータを守るだけでなく、法令遵守や社会的信頼性の向上を図ることが可能です。ISMS は、機密情報を保護し、情報セキュリティ対策を効果的に実施していくための重要な仕組みといえます。
ISMS は社会や取引先からの信頼度を向上させ、安全な企業であることを証明する手段の一つでもあります。近年では、取引先から ISMS 認証の取得を求められるケースも増えており、企業間取引の条件として重視される場面も少なくありません。
さらに、クラウドサービスの利用が広がったことで、企業自身が情報の管理体制を適切に整える重要性も高まっています。こうした背景から、組織として情報セキュリティを体系的に管理するISMSが注目を集めています。
情報セキュリティ(IS)の要素とは
ISMSでは、次の3つの要素を保持できる体制が必要とされています。
- 機密性
- 完全性
- 可用性
一つずつ見ていきましょう。
1.機密性
機密性とは、「情報が許可された人だけにアクセスされる」ことを確保する要素です。情報が漏洩した場合、競合他社や悪意のある第三者に利用されるリスクがあるため、適切なアクセスコントロールや暗号化が求められます。
例えば、社内ファイルを外部と共有する際に、OneDrive などのクラウドストレージで一時的に共有リンクを発行したまま放置してしまうなど、権限管理のミスが情報漏えいにつながるケースも少なくありません。
そのため、セキュリティソフトの導入や機密情報の取り扱いを厳重にするなどの対策が必要です。
2.完全性
完全性とは、情報が正確であり、改ざんされていないことを保証する要素です。データの誤りや不正な変更を防ぐために、監査ログの保存や変更管理のプロセス導入が求められます。
具体的には、情報が常に最新であることや間違いや抜けが無いかなどです。データの定期的な更新やマニュアルや重要文書の作成ルールの徹底などが必要です。
3.可用性
可用性とは、必要なときに必要な情報が利用できる状態を保つことを指します。システムのダウンタイムを最小限に抑え、データのバックアップや復旧を迅速に実行できる体制が求められます。
災害などでサーバーがダウンしても、長時間ビジネスを止めることなく活動できるように、対策が取られていることが重要です。もしもの時でも、常に情報にアクセス可能な状況を維持できる体制が必要です。
ISMS 認証(ISO/ IEC 27001)とは
ISMS 認証とは 国際規格 ISO / IEC 27001に基づいて実施される認証で、情報セキュリティ管理の効果性を第三者機関が客観的に評価し認証するものです。企業はこの認証を取得することで、情報セキュリティの管理体制が国際標準に準じていることを証明できます。
認証を取得するには、リスク評価、資産管理、アクセス制御、セキュリティインシデント管理など、包括的な管理プロセスを導入し、運用していくことが求められます。ISMS 認証を取得することで、取引先や顧客からの信頼を得るとともに、情報漏えいのリスクを減らし、法的なリスクにも対応できるのです。
なお、日本では ISO / IEC 27001 を国内規格として定めた「JIS Q 27001」という規格も用いられています。JIS Q 27001 は日本の法律や実情を考慮して国際規格の内容を日本向けに整理したものですが、要求事項や管理の考え方は基本的に同一であり、実態として大きな違いはありません。
要求事項
ISO / IEC 27001 は以下の項目から構成されており、ISMS 認証を取得するには下記4〜10項の要求事項を実現する必要があります。
| 項目 | 概要 |
| 0 項 序文 | ISO / IEC 27001・ISMS の前提となる考え方について |
| 1 項 適用範囲 | ISMS の適用範囲について |
| 2 項 引用規格 | ISO / IEC 27001 が引用する文書について |
| 3 項 用語及び定義 | ISO / IEC 27001 に登場する用語や定義について |
| 4 項 組織の状況 | 組織や利害関係者の状況を踏まえ、ISMS の適用範囲を決定すること |
| 5 項 リーダーシップ | 最高責任者の主導によって ISMS を構築すること |
| 6 項 計画 | 情報セキュリティの目的を定め、ISMS の計画を立てること |
| 7 項 支援 | 担当者の教育など、ISMS 構築に必要な支援を行うこと |
| 8 項 運用 | 6 項で定めた計画を実行・運用すること |
| 9 項 パフォーマンス評価 | ISMS が適切に実行・運用できているか評価すること |
| 10 項 改善 | 不適合などが発生した場合の対処法を定めておくこと |
ISMS 認証とプライバシーマーク(Pマーク)との違い
ISMS 認証以外にも、情報セキュリティに関する認証に「プライバシーマーク」があります。どちらも情報の保護に関する認証ですが、対象とする範囲や規格などいくつかの異なる点があります。主な違いは以下の表のとおりです。
| ISMS 認証 | プライバシーマーク | |
| 規格 | 国際標準規格ISO / IEC 27001 | 日本産業企画JIS Q 15001 |
| 保護対象 | 企業内の情報セキュリティ管理システム | 企業が持つ個人情報保護マネジメントシステム |
| 認証範囲 | 事業所・部門単位 | 企業全体 |
| 審査内容 | 情報の機密性・完全性・可用性の維持 | 適切な個人情報の取り扱い |
| 有効期限 | 3 年 | 2 年 |
プライバシーマークについては、以下で詳しく見ていきましょう。
プライバシーマークとは
プライバシーマークとは、企業や団体が個人情報を適切に取り扱っていることを示す、日本国内の認証制度です。インターネットの普及により、ネットワーク上で個人情報のやりとりが大量に行われるようになりました。これによって個人情報保護の重要性が高まり、1998 年 4 月から運用が開始されました。
プライバシーマークは法人単位で付与され、JIS Q 15001「個人情報保護マネジメントシステム-要求事項」に基づいて個人情報保護マネジメントシステムを構築し、実際の事業活動において個人情報を適切に管理・運用していることが求められます。取得すると、個人情報保護体制が整備されていることを対外的に示せます。
プライバシーマークを取得するメリットとデメリット
プライバシーマークの取得には、企業にとってさまざまなメリットとデメリットがあります。主なポイントは以下の通りです。
【メリット】
- 取引先や顧客からの信頼性が向上する
- 社内で個人情報の取り扱いに対する意識が向上する
- 大手企業や官公庁からの案件受注率の向上が期待できる
- 個人情報に関するセキュリティインシデントの防止につながる
【デメリット】
- 取得や維持のために時間やコストがかかる
- 国内制度のため海外では効力がない
- 個人情報以外の情報資産は対象外となる
このように、プライバシーマークは企業の信頼性向上や情報管理体制の強化に役立つ一方で、取得や運用には一定の負担が伴います。また、対象が国内・個人情報に限定される点にも注意が必要です。
ただし、個人情報の取り扱いが重要視される現代においては、企業の社会的信用を高める有効な取り組みの一つといえるでしょう。
ISMS 認証を取得するメリットとデメリット
ISMS 認証の取得は、企業の情報セキュリティを強化し、リスクを最小限に抑えるための重要な手段です。しかし、認証取得にはコストがかかるため、以下に紹介するメリットとデメリットを理解し、企業にとって必要であるか判断しましょう。
メリット
ISMS 認証を取得することで、企業は信頼性の向上、情報漏洩のリスク低減、法令遵守、競争力の強化など、多くのメリットがあります。
まず、情報セキュリティに問題が発生した場合でも、早期に対処する仕組みが整備されているため損害を最小限に抑えることができます。従業員の情報セキュリティ意識の向上が図られるため、企業全体でのセキュリティ文化が定着する点もメリットです。
また、取引先や顧客からの信頼が増し、ビジネスチャンスの拡大にもつながります。顧客や取引先に対し、情報セキュリティへの取り組みを証明でき、信頼が向上するでしょう。そのため、新規顧客の獲得や既存顧客の維持、競合他社との差別化につながり、新たなビジネスチャンスが期待できます。
デメリット
メリットも多い一方で、ISMS 認証の取得にはいくつかのデメリットもあります。認証の取得には初期投資や維持費用がかかり、文書化作業や定期的な内部監査が必要です。情報セキュリティに対する費用が限られている企業にとっては、大きな負担となるでしょう。
また、認証取得のための準備作業や文書化作業が大量に発生し、人的リソースが必要です。選任のチームや人材配置が必要になる場合もあり、他の業務に影響が出るかもしれません。さらに、定期的な監査も求められるため、継続的な人的リソースの確保が必要です。
また、ISMS を運用するためには、企業全体の理解と協力が不可欠です。従業員の教育や意識改革にも時間と労力がかかります。このようなデメリットを考慮しながら、企業の状況に合ったセキュリティ対策を選択する必要があります。
ISMS 認証取得の流れ
ISMS 認証を取得するには、次の 4 つの手順で行います。計画的に準備を進めるために、全体の流れを把握しておきましょう。
- 事前相談・見積もり
- 契約
- 登録審査
- 登録書発行
一つずつ詳しく解説します。
1.事前相談・見積もり
まずは認証機関を選定し、事前相談を行います。この段階では、認証を希望する範囲や対象となる部門、現状の情報セキュリティ体制を詳しく説明し、どの部門や業務が認証の対象となるか、現在のセキュリティポリシーや手順がどの程度整備されているか、などの情報を提供します。
これを基に、認証機関は必要な審査日数や審査員の数を見積もり、費用やスケジュールを提示します。見積もりには初期費用(登録審査費用)や年間費用(維持費用)、審査にかかる日数などを基に、予算やスケジュールを具体的に決めましょう。
2.契約
見積もり内容に納得したら、次に認証機関と正式に契約を締結します。契約書には認証の審査範囲やスケジュール、費用の詳細が明記されており、双方が合意のうえで署名を行います。
契約書は将来のトラブル防止にも役立ちますので、内容を十分に確認してから署名しましょう。契約後、認証機関と詳細な審査計画を策定し、審査の日程や必要な準備について具体的に打ち合わせを行います。
3.登録審査
契約した認証機関が登録審査を実施します。登録審査は 2 段階に分かれていて、第 1 段階審査では、ISMS の運用に必要な計画や文書が適切であるかを評価します。情報セキュリティ方針、リスク評価方法、管理策の文書など、適切に整備されているかが重要なポイントです。
第 2 段階審査では、実際の運用状況が評価されます。審査官が実際に組織を訪問し、インタビューや現地確認を行います。従業員の理解度や実際の運用状況、不適合点がないかを審査され、不適合が見つかった場合は、具体的な是正措置が求められます。内部で必要な修正を行い、再度審査官に確認してもらうステップも含まれます。
4.登録書発行
すべての審査をクリアし不適合点が解消されると、認証機関から正式に ISMS 認証の登録書が発行されます。この登録書は組織が ISO / IEC 27001 の基準を満たしていることを公式に証明するもので、対外的に情報セキュリティの強化をアピールする強力なツールとなります。
登録書の発行後も、毎年のサーベイランス審査や 3 年ごとの再認証審査を通じて、ISMS の維持・改善が継続的に求められます。登録書は取引先や顧客に対して信頼性をアピールするだけでなく、従業員の意識向上にも役立ちます。
ISMS 認証取得に求められる PDCA とは
ISMSは、PDCA(Plan-Do-Check-Act)サイクルを基本として運用されます。
まず、「Plan(計画)」ではリスクアセスメントやセキュリティ方針の策定を行います。続いて「Do(実行)」では計画に基づいてセキュリティ対策を実施し、具体的な管理策を運用します。
「Check(評価)」では、内部監査や外部監査を通じて実施状況を評価し、問題点や改善点を洗い出します。そして「Act(改善)」では、評価の結果に基づき是正措置を講じ、システムやプロセスの改善を行います。
このサイクルを繰り返すことで、常に情報セキュリティの状態を最適化し、リスクを低減することが可能です。PDCA サイクルを効果的に回すために、各フェーズでの細かい実行計画や具体的な目標を設定しましょう。
ISMS認証の取得までにかかる期間と有効期間
ISMS 認証の取得にかかる期間の目安は、組織の規模や準備状況により異なりますが、一般的には約 6 か月から 1 年程度かかります。大まかな目安は以下のとおりです。
準備期間:約 3 か月~ 6 か月
第 1 段階審査:約 1 か月
第 2 段階審査:約 1 か月~ 2 か月
まず、事前相談や見積もり、契約の締結に数週間を要します。その後、第 1 段階審査までに内部監査や文書の整備、従業員のトレーニングなどの準備に、通常 3 か月から 6 か月程度必要です。
第 2 段階審査には およそ 1 か月から 2 か月かかります。不適合が見つかった場合は是正措置の実施と再評価が必要となるため、さらに数週間かかるでしょう。
認証を受けた後は、定期的なサーベイランス審査(監査)が必要です。この審査では、ISMS の運用状況や改善点の確認が行われ、認証の維持が確認されます。ISMS 認証の有効期間は 3 年間です。
有効期間が終了する前に再認証審査が行われ、再度 3 年間の有効期間が更新されます。再認証審査も初回審査と同様に、計画の確認と運用の評価が行われます。
ISMS 認証の取得にかかる費用
ISMS 認証にかかる費用は、認証機関や組織の規模、対象範囲によって異なります。
まず、審査計画の策定、書類審査、現地審査の実施などにかかるコストで、数十万円から数 百万円に及ぶことが一般的です。費用は対象となる部門や業務範囲の広さ、複雑さにより変動します。専門のコンサルタントに依頼する場合は、コンサル費用が必要です。
また、維持費用として年に数十万円程度の費用がかかります。ISMS 認証を維持するためには定期維持審査(サーベイランス審査)が必要です。また、3 年ごとに更新審査があるため、その際の費用も見積もっておきましょう。
費用は依頼する審査機関によっても異なるため、事前見積もりで確認し予算に合わせた機関の選定が必要です。
ISMS 認証を取得してセキュリティレベルの向上を目指そう
ISMS 認証の取得は、企業の情報セキュリティレベルを向上させ、情報漏えいのリスク回避に役立ちます。また、取引先や顧客からの信頼を得ることができ、新たなビジネスチャンスにもつながるでしょう。企業の担当者は、認証の取得や維持にかかる費用や日数を把握し、リソースの確保やスケジュールの調整などが必要です。
まずは自社のセキュリティ状況を洗い出し、ISMS 認証に向けて準備を進めてください。
一方で、ISMS 認証の取得に向けた取り組みでは情報セキュリティに関する管理業務が増えるため、IT 担当者の負担が大きくなる可能性に注意しましょう。
Microsoft 365 を利用している企業であれば、管理権限の状況を把握し、適切にコントロールできる環境を整えられる「Policies & Insights」の活用がおすすめです。 Microsoft 365 のポリシー適用状況の可視化やリスクの検出を自動化でき、適切な権限管理を維持しながら運用負荷の軽減を図れます。セキュリティレベルの向上を目指す方は、ぜひお気軽にご相談ください。
