ISMSとは?情報セキュリティの基本から認証取得の流れ・費用までわかりやすく解説
FAQISMSに関するよくある質問
ISMSとは何ですか?
ISMSとは、Information Security Management Systemの略称で、「情報セキュリティマネジメントシステム」のことです。 企業の情報資産が漏洩するリスクを防ぎ、使いやすい状態で管理できる仕組みを構築します。
ISMSを構築するときのポイントはありますか?
ISMSでは、可用性、機密性、完全性をバランスよく保つようにしましょう。簡単にいうと、「その情報へのアクセスを許可された人だけ(機密性)が、正確かつ最新の情報(完全性)にアクセスし、使用したいときにいつでも使用できる(可用性)状態」にする必要があります。
ISMS認証の取得っていくらくらいかかるの?
ISMS認証の取得は、代表的な認証であるISO27001で50-150万円が目安になります。 企業規模やコンサルに依頼するかどうか、どの審査機関へ依頼するかなどで大きく変動します。
近年ではますますIT化が進んでおり、ヒト・モノ・カネに加えて情報も企業の経営資源とみなされるようになってきました。そんな中で近年日本企業の課題になってきているのが企業の情報セキュリティです。
さて、組織における情報セキュリティ管理を行う仕組みのことを「ISMS」と呼びますが、簡単に説明されてもピンとこない方も多いかもしれません。ということで、今回はISMSとは何なのかについて、初めての方にもわかりやすく解説します。
目次
ISMS(情報セキュリティマネジメントシステム)とは?
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、企業・組織の情報資産を守るための仕組みのことです。
わかりやすくまとめると、「企業にとって保護すべき情報資産が流出するリスクを防ぎ、使いやすい状態で管理できる体制を構築し、運用すること」を指します。
企業が扱う情報には、個人情報や営業資料、技術データなどさまざまなものがあります。これらの情報は、サイバー攻撃や不正アクセス、ウイルス感染、紛失や盗難などによって失われるリスクがあります。
ISMSでは、このようなリスクに対して場当たり的に対応するのではなく、ルールを決めて組織全体で継続的に管理・改善していくことが重視されています。
例えば、「誰がどの情報にアクセスできるのか」「情報はどのように保管するのか」といったルールを明確にして取り組み、定期的に見直すことで、リスクを最小限に抑えるのです。
このように、ISMSは「情報を守るための仕組みづくり」であり、企業の信頼性を高め、事業を安定して続けていくために欠かせない取り組みとなっています。
ここでは、ISMSを構築するうえで欠かせない情報セキュリティの三要素やISMS認証との違いについて解説します。
企業の情報資産を守るための仕組みである情報セキュリティマネジメントシステムISMS。
ISMSの認証制度として、ISO27001などがあります。
ISOプロでは、ISMSの構築や運用の仕方、ISO27001認証の取得方法や取得コスト、審査機関についてまとめた資料をご用意しています。無料でお渡しできますので、ぜひ下記から資料請求ください。
情報セキュリティの三要素
ISMSの基本的な考え方は「情報セキュリティの三要素」に基づいています。これは以下の3つをバランスよく確保することを意味します。
- 機密性:情報に対して許可された個人のみアクセスできる状態
- 完全性:情報および処理方法が正確かつ最新の状態で管理されている状態
- 可用性:許可された個人が必要な時にアクセスできる状態
つまり、「その情報へのアクセスを許可された人だけ(機密性)が、正確かつ最新の情報(完全性)にアクセスし、使用したいときにいつでも使用できる(可用性)状態」です。
三要素をバランスよく高めるには、多角的に対策を検討することが必要です。
例えば、機密性を高めるために「PCのパスワードを30桁以上にする」という対策を行うと、ログインの手間が増えて業務効率が低下します。
つまり、この対策は可用性を無視した対策であり、現実的ではないことがわかります。
情報セキュリティの三大要素については以下の記事で詳しく解説しているので、合わせてご確認ください。
ISMS認証(ISO27001・Pマーク)との違い
ISMS(仕組み)とISMS認証(ISO27001・Pマーク)は、社内で運用する管理体制そのものか、それを第三者が評価・認証する制度かという違いがあります。両者は似た部分もありますが、対象範囲や国際的な位置づけが異なります。
ISO27001
ISO27001(JIS Q 27001)とは、国際標準化機構(ISO)が定めた情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。あらゆる情報資産を対象としていることから、業種問わずに取得できます。
ISMSの国際基準として世界中で認知されていることから、入札条件や取引先の要件とされることもあります。
プライバシーマーク(Pマーク)
Pマークは、日本産業規格(JIS Q 15001)に基づく国内の認証制度で、個人情報の適切な取り扱いを重点的に評価する認証です。
対象範囲を「個人情報」に特化している国内規格であるため、国内市場での信頼向上に効果を発揮し、BtoC企業や個人情報を多く扱う事業者(人材サービス、金融など)で取得ニーズが高い点が特徴です。
ISO27001やPマークは、「どのようにISMSを構築すれば、情報資産を適切に保護・管理できるのか」を示すガイドラインといえます。これらの認証を取得することで、自社が国際規格または国内規格の要求事項を満たすISMSを構築・運用していることを、第三者に客観的に証明できるのです。
【アンケート調査】なぜ今、ISMS認証が必要とされているのか?
ISMS認証が求められる理由は、情報セキュリティの強化だけでなく、「信頼の獲得」と「取引機会の拡大」に直結するためです。
ISMS認証(ISO27001など)の取得には、一定の費用や運用負担がかかります。
しかし、それ以上に大きなメリットとして、取引先や顧客からの信頼性向上や、ビジネスチャンスの拡大が挙げられます。
一方で、「本当に取得する意味があるのか」「取引にどれほど影響するのか」と疑問を感じている方も少なくありません。
そこで、ここではなぜ今、ISMS認証が必要とされているのかについて、3つの側面から解説します。
サイバー攻撃・情報漏洩リスクの増大
近年、サイバー攻撃や情報漏えいのリスクは年々高まっており、企業規模を問わず対策が不可欠となっています。
特に、中小企業は「セキュリティ対策が甘い」と狙われやすく、ランサムウェアや不正アクセスによる被害や内部不正・ヒューマンエラーによる情報流出が増加しています。
このような状況の中で、個別の対策だけでは不十分とされ、組織全体で体系的に管理・改善していくISMSの重要性が高まっているのです。
取引要件・入札条件としてのISMS認証
ISMS認証は、企業間取引における「必須条件」や「評価項目」として扱われるケースが増えています。
特に、大手企業や官公庁との取引では、情報セキュリティ体制が厳しくチェックされるため、ISMS認証の有無が取引可否を左右することもあります。
また、認証を取得していることで、「一定水準のセキュリティ体制が整っている企業」として客観的に評価されるため、営業活動においても優位に働きやすくなります。
アンケートデータで見るISMS認証の実態
実際に、IT系中小企業の経営者約1,000人を対象にした調査からも、ISMS認証の重要性が明らかになっています。
| Q:世界共通の規格であるISO27001(ISMS:情報セキュリティマネジメントシステム)を取得することで、取引先や顧客からセキュリティに関する信頼が得られると思いますか? |
A:
|
| Q:ISO27001などの認証がないことで実際に契約に至らなかったことはありましたか? |
A:
|
この結果から「ISO27001をはじめとした認証がないために、取引先や顧客から信頼を獲得できず、契約が成立しなかったという企業が多い」ことがわかります。ISO27001などのISMS認証が取引において優位に働く可能性があるといえるでしょう。
「自社の情報セキュリティ管理の課題」に関する実態調査の詳細は、以下の記事をご覧ください。
ISMS認証を取得するメリット・デメリット
ここでは、ISMS認証を取得するメリット・デメリットを解説します。
メリット
ISMS認証を取得するメリットをまとめました。
- 情報セキュリティ体制の強化
- 情報セキュリティリスクの低減
- 業務効率向上・ムダなコストの削減
- 取引先や顧客からの信頼獲得
- 取引先の拡大
ISMS認証を取得することで、「情報セキュリティ体制における国際的な基準を満たしている」という証明になります。
そのため、組織内部におけるメリット(情報セキュリティリスクの低減や業務効率化・ムダなコストの削減)だけでなく、取引先や顧客にもプラスの影響を与えることが期待できるでしょう。
デメリット
ISMS認証を取得するデメリットをまとめました。
- ISMS認証を取得するまでに業務負担が増える
- ISMS認証の取得時だけでなく、毎年審査を受ける必要がある
- 審査に費用がかかる
ISMS認証を取得するために書類を作成したり、業務プロセスを見直したりといった新たな業務を行うことが必要です。そのため、ISMS認証を取得する際は社員の業務負担が増加することがよくあります。
またISMS認証は「継続的改善」を掲げているため、取得して完了ではなく取得後も運用し、定期的に審査を受けることが求められます。そのため、審査の度に審査のための業務や費用が発生します。
ISMS認証のメリット・デメリットの詳細は、以下の記事をご覧ください。
ISMS認証の要求事項とは?
ISMS認証の要求事項は以下の10項目に分かれており、それぞれの項目を順番に行うことで情報セキュリティ体制の強化につながります。
| 要求事項 | 概要 |
|---|---|
| 1.適用範囲 | 用語・定義の説明など。 |
| 2.引用規格 | |
| 3.用語及び定義 | |
| 4.組織の状況 | PDCAサイクルのPlan(計画)にあたる部分で、ISMSを構築する段階。 |
| 5.リーダーシップ | |
| 6.計画 | |
| 7.支援 | |
| 8.運用 | PDCAサイクルのDo(実行)にあたる部分で、ISMSを運用する段階。 |
| 9.パフォーマンス評価 | PDCAサイクルのCheck(確認・評価)にあたる部分で、ISMSの有効性・適合性を確認する段階。 |
| 10.改善 | PDCAサイクルのAction(改善)にあたる部分で、ISMSの問題点・課題点を改善する段階。 |
ここでは、各要求事項の項目で求められている内容を解説します。
0.序文
「0.序文」は「なぜISMSが必要なのか」という哲学と、「この規格がどのような思想で設計されているか」という全体像を示し、箇条4以降で詳述される具体的な要求事項への導入的な役割を果たしています。
1.適用範囲~3.用語及び定義
「1.適用範囲~3.用語及び定義」には、ISO27001の適用範囲、用語・定義の説明といった内容が示されています。
実際に企業が取り組むことは記載されていませんが、読んでおくことでISO27001への理解が深まるでしょう。
4.組織の状況
「4.組織の状況」は、組織を取り巻く情報セキュリティの状況を把握し、ISMSの適用範囲を決定する段階です。
組織には企業理念や経営方針などの目的があります。この目的を達成する際に妨げとなる組織内部・外部の課題や利害関係者からのニーズを明確にしたうえで、自社のどの範囲においてISMSを適用させるかを決定します。
5.リーダーシップ
「5.リーダーシップ」は、トップマネジメントの責任や求められる役割について示している項目です。
ここでいうトップマネジメントとは、「ISOに関する方針や目標などの策定、調整、統制などを行う最終責任者」のことです。適用範囲によっては、工場長や部長などがトップマネジメントに該当する場合もあります。
またトップマネジメントが行うこととして、ISMSの方向性や実施するべきことをまとめた「情報セキュリティ方針」を文書化し、組織内部に周知させることを求めています。
6.計画
「6.計画」は、ISMSにおいて取り組むべき内容を計画することを求めている項目です。
具体的には、主に以下の4つについて取り組む必要があります。
- リスクアセスメントを実施するプロセスの明確化
- リスクに関する対策の決定
- 情報セキュリティ目的の策定
- 情報セキュリティ目的を達成するための計画の策定
関連記事:【サンプルあり】ISMS適用宣言書とは?必要性や作成方法を解説
関連記事:ISO27001附属書Aとは?役割や内容をわかりやすく解説
関連記事:ISO27001の情報セキュリティ目的とは?
7.支援
「7.支援」は、ISMSの運用をサポートするために必要な5つの要素において求めることを示した項目です。
- 必要な資源(ヒト・モノ・カネ・情報)を決定し、提供すること
- 従業員の力量(スキル・経験など)を明確にし、必要に応じて教育訓練を実施すること
- 各要員が自身の責任や役割を認識すること
- 必要な情報を共有するためのコミュニケーションを取るプロセスを確立すること
- 必要な情報を文書化すること
8.運用
「8.運用」は、「6.計画」で計画した内容を実行し、ISMSの運用における要求事項が示されている項目です。
- リスクアセスメントの実施
- 情報セキュリティ目的を達成するための計画の実施
9.パフォーマンス評価
「9.パフォーマンス評価」は、運用したISMSの有効性や要求事項との適合性について、測定・評価するための要求が示されている項目です。
内部監査を実施し、ISO27001の要求事項との適合性や有効性を確認します。その後、監査結果をもとに、トップマネジメントは「ISMSが意図した成果をあげているかどうか」について評価するマネジメントレビューを行います。
10.改善
『10.改善』は、ISMSの改善を行うための要求事項が示されている項目です。パフォーマンス評価(内部監査など)やマネジメントレビューの結果、特定された不適合に対して是正処置を実施し、ISMSを継続的に改善していくことが求められています。
運用した結果を評価したうえで対策することでISMSの継続的改善を実現させ、組織の情報セキュリティパフォーマンスを継続的に向上できるのです。
ISMS認証取得の流れと必要な期間の目安
ISMS認証の取得は、一般的に6か月~1年程度が目安とされており、企業規模や体制、準備状況によって期間は前後します。
ここでは、認証取得の一般的な流れを4つのステップにわけて解説します。
1.事前準備を行う
まずは、ISMS認証取得に向けた事前準備を行います。例えば、以下のような内容を決定します。
- コンサルタントの選定:はじめてISMSを導入する場合や効率的に進めたい場合は、ISO認証に精通した外部コンサルタントの活用が有効です。
- ISMS担当者の選定:社内でISMS構築・運用を推進する責任者やチームを決めます。
- スケジュールの策定:ISMSの構築~審査までのスケジュールを具体的に決定し、各担当者の作業範囲や期限を明確にします。
- 現状分析・情報資産の整理:自社で管理している情報資産や現状のリスク、課題を洗い出し、認証取得に向けた準備を行います。
こうした準備を行うことで、スムーズなISMSの構築・運用につながります。
2.ISMSを構築する
ISMS(情報セキュリティマネジメントシステム)を実際に構築します。
情報セキュリティ方針や運用規程、業務手順書などの文書を整備し、リスク対応策を決定します。
また従業員への教育や研修を行い、適用範囲内において情報セキュリティの認識を共有します。ここで構築した仕組みが、認証審査における基盤となります。
3.ISMSを運用する
構築したISMSを日常業務に組み込み、運用します。一定期間運用したのち、内部監査やリスク評価を実施し、改善点を洗い出して対応策を講じることが求められます。
ISMSを実際に運用し、改善のプロセスを実施することで、実効性のある情報セキュリティ体制を確立しましょう。
4.ISMS認証の審査を受ける
ISMS認証を取得するためには、外部の認証機関(審査機関)による審査を受ける必要があります。
審査は、ISMSの運用状況や作成した文書を確認する「書類審査」と、実際の運用状況を確認する「実地審査」の2段階に区分されています。
審査に合格すると、ISO27001などのISMS認証が付与されます。その後も定期的な維持審査・更新審査を受け、継続的に情報セキュリティを改善し、運用を安定させる必要があります。
ISMS認証の取得・維持に必要な認証審査とは?
これらの審査は、構築したISMSがISO27001の要求事項に適合しているか、また適切に運用・改善されているかを第三者が客観的に確認するために実施されるプロセスです。
以下に、ISMS認証評価制度において欠かせない認証機関や要員認証機関、認定機関について簡単にまとめました。
- 認証機関
- 認証機関とは、ISMSがISO27001に適合しているかどうかを審査し、登録する機関のことです。日本国内に50~80社ほど存在しています。
- 要員認証機関
- 要員認証機関とは、審査員の資格を付与し、登録する機関のことです。認証機関と同様に、認定機関により許可を得ることで、要員認証機関として登録されます。
- 認定機関
- 認定機関とは、各国に基本的に1機関だけ存在し、審査機関である認証機関を認定する組織のことです。ISOの基準に則った審査を実施しているかどうかを公平に保つために存在しています。
ここでは、ISMSの取得・維持するために受けることが必要な認証審査について解説します。
取得審査
取得審査とは、ISMSを取得するための審査のことです。一次審査(文書審査)、二次審査(現地審査)の2つの審査を受け、通過することが必要です。
一次審査
ISMSの構築・運用において作成された文書や運用記録といった文書を確認し、マネジメントシステムが構築・運用されているかを確認します。
二次審査
審査員が適用範囲に含まれている場所を訪問し、対象者と面談して要求事項との適合性を確認します。
維持審査
維持審査とは、認証取得後に毎年受けることが必要な審査です。サーベイランス審査または定期審査と呼ばれることもあります。
基本的に、運用が適切に継続されているかという確認であるため、審査工数や期間は取得審査や更新審査に比べて少ないことが一般的です。
更新審査
更新審査とは、ISMS認証の有効期限である3年おきに行われる審査のことです。再認証審査とも呼ばれています。
3年間の運用状況を確認し、ISMSの基準を満たしているかを再度確認するため、審査工数や期間は維持審査よりも多くなる傾向にあります。
ISMS認証取得にかかる費用の内訳・相場
ISMS認証の取得にかかる費用は、おおよそ50万円〜150万円程度が目安です。しかし、企業規模や支援体制によって大きく変動します。
費用は大きく「審査費用」「人件費」「コンサル費用」「構築費用」に分かれており、それぞれの内容、内訳について理解しておくことで、おおよその予算感を把握できます。以下では、ISMS認証の取得時と維持にかかる費用について解説します。
取得にかかる費用
ISMS認証の取得時には、主に以下の費用が発生します。内訳や費用相場についてまとめました。
| 費用項目 | 内容 | 相場 |
|---|---|---|
| 審査費用 | 文書審査・現地審査など | 約50万〜150万円 |
| コンサル費用(任意) | 構築・運用サポート | 約25万〜200万円 |
| 登録料 | 認証登録にかかる費用 | 約3万〜5万円 |
| 人件費 | 社内担当者の工数 | 企業による |
審査費用は企業規模が大きくなるほど高くなる傾向があります。また、コンサルを活用することで工数削減は可能ですが、その分費用は増加します。
【取得後】維持にかかる費用
ISMS認証は取得して終わりではなく、毎年一回以上実施される維持審査や3年ごとの更新審査に費用が発生します。
以下に、維持にかかる費用の内訳や費用相場についてまとめました。
| 費用項目 | 内容 | 相場 |
|---|---|---|
| 維持審査(毎年) | 定期的な運用チェック | 約15万〜35万円 |
| 更新審査(3年ごと) | 再認証のための審査 | 約30万〜70万円 |
| コンサル費用(任意) | 運用支援・改善対応 | 年間30万〜120万円 |
維持審査の費用は「取得時の審査費用の約1/3程度」、更新審査の費用は「取得時の審査費用の約2/3程度」が目安とされています。
ISMS認証取得にかかる費用の詳細は、以下の記事をご覧ください。
ISMS認証の取得がおすすめの企業の特徴
ISMS認証の取得がおすすめの企業は、情報資産を多く取り扱い、かつ取引においてセキュリティ体制が重視される企業です。
近年は業種を問わず情報セキュリティの重要性が高まっていますが、特に以下のような特徴を持つ企業は、ISMS認証の取得によるメリットが大きいといえます。
情報セキュリティが特に重視される業種を営む企業
IT企業やクラウドサービス事業者、Web制作会社などの顧客データやシステムを扱う企業は、個人情報や機密情報を日常的に取り扱うため、特に情報セキュリティ対策が求められます。
これらの業種では、万が一の情報漏えいが事業継続に大きな影響を与える可能性があります。そのため、ISMS認証を取得し、適切な管理体制を整備していることを示すことが重要です。
また、近年ではIT業界に限らず、EC事業者や人材サービス業なども顧客情報を多く扱うため、同様に取得の必要性が高まっています。
官公庁・大企業との取引がある企業
官公庁や大企業との取引では、情報セキュリティ体制が厳しく求められる傾向があります。
入札条件や取引要件として、ISMS認証の取得が必須、または評価項目となるケースも多く、認証の有無が取引の可否に影響することも少なくありません。
そのため、「官公庁や大企業と取引している」「今後官公庁や大企業との取引を拡大していきたい」という企業にとって、ISMS認証は信頼性を証明する有効な手段となります。
海外展開を視野に入れている企業
海外企業との取引やグローバル展開を検討している場合にも、ISMS認証の取得は有効です。
ISMS認証(ISO27001)は国際規格であるため、世界共通の基準として情報セキュリティ体制を証明できます。これにより、海外企業との取引においても信頼を得やすくなり、ビジネスの拡大につながります。
特に、海外では日本独自の認証よりもISO規格が重視される傾向があるため、国際的な信用力を高めたい企業にとって大きなメリットとなるでしょう。
まとめ
組織の情報セキュリティを高めるための仕組みであるISMSは、情報の価値が高まっている今日の社会において必要不可欠です。
組織が保有する情報資産を適切に管理することで、リスクへの態勢を整備できるだけではなく、対外的な評価を高めるための手段として企業の経営においてもプラスになるというメリットがあります。
このような背景から、近年では多くの企業がISMSを取得しています。自社の情報セキュリティを見直すきっかけとして、ISMSの取得を目指してみてはいかがでしょうか?
ISMS(ISO27001)取得企業については、一般社団法人情報マネジメントシステム認定センターが公表しています。以下の記事で詳しく解説していますので、ISMSの取得を検討されている方は、ぜひこちらの記事も参考にしてみてください。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
医療機器製造販売会社に特定派遣にて設計開発に従事、FDAの監査を受けるに設計開発にも品質に関わる知識が必要と考えQC検定1級取得。 その後、転職を行い、品質保証を主としながらも経理・総務以外の実務に従事し、マネジメントシステムの基盤を構築。さらなるスキルアップのためにISO9001の審査員補の資格取得の際に、とある御縁でISOセミナー講師となる。 2000年に個人事業主として独立し、ISO14001・45001の審査員資格を得て現在は主任審査員として活動、ISOセミナー講師としても登壇、2024年からISOプロのコンサルタントとして活動開始。