【基本】ISMSとは?必要性や認証取得の流れを徹底解説
- ISMSとは、情報資産を保護する「情報セキュリティマネジメントシステム」の略称
- ISMSでは、可用性、機密性、完全性をバランスよく保つことが望ましい
- ISMSは、ITの進歩によりサイバー攻撃や情報漏洩などのリスクを適切に管理するためのもの
近年ではますますIT化が進んでおり、ヒト・モノ・カネに加えて情報も企業の経営資源とみなされるようになってきました。そんな中で近年日本企業の課題になってきているのが企業の情報セキュリティです。
さて、組織における情報セキュリティ管理を行う仕組みのことを「ISMS」と呼びますが、簡単に説明されてもピンとこない方も多いかもしれません。ということで、今回はISMSとは何なのかについて、初めての方にもわかりやすく解説します。
目次
ISMS(情報セキュリティマネジメントシステム)とは
ISMS(Information Security Management System)とは、企業・組織の情報を守るための情報セキュリティマネジメントシステムのことです。
わかりやすくまとめると、「企業にとって大事な情報が流出するリスクを防ぎ、使いやすい状態で管理されることを、きちんと体制を組んで対策していくもの」のことを指します。
「情報流出のリスク」にはどのようなケースがあるのでしょうか。以下に例をまとめました。
- 社員が帰宅途中に立ち寄った居酒屋で会社から持ち出したノートパソコンを盗まれてしまい、情報が流出する
- 会員ページの脆弱性を突いた攻撃をされてWebページを通じて情報漏えいにつながる
- 会社に侵入されて、機密情報を補完しているパソコンを盗まれた結果、情報が流出する
こういった問題に対して、高度なセキュリティ技術や高度なスキルを持った人材の登用などの個々の対策を取るのではなく、情報セキュリティ方針や情報セキュリティ目的 、マニュアル、教育などのさまざまな面から仕組みとして管理できる体制を築くための仕組みがISMSなのです。
企業の情報資産を守るための仕組みである情報セキュリティマネジメントシステムISMS。
ISMSの認証制度として、ISO27001などがあります。
ISOプロでは、ISMSの構築や運用の仕方、ISO27001認証の取得方法や取得コスト、審査機関についてまとめた資料をご用意しています。無料でお渡しできますので、ぜひ下記から資料請求ください。
情報セキュリティとは
情報セキュリティと聞くと、「パスワードを設定する」や「ファイアウォール を設置する」といったイメージが強い方も多いのではないでしょうか。もちろん、こういったセキュリティ対策も非常に重要であり、外部から不正にアクセスされないようにリスクマネジメントを施しておくことは、ISMSでも望ましいとされています。
しかし、単純に「不正アクセスされないこと」だけが情報セキュリティではありません。情報セキュリティでは、以下の3つの要素が重要視されています。
- 機密性:情報に対して許可された個人のみアクセスできる状態
- 完全性:情報および処理方法が正確かつ最新の状態で管理されている状態
- 可用性:許可された個人が必要な時にアクセスできる状態
悪意ある攻撃によって、情報が改ざんされたり破壊されたりしないように対策を施しておくべきであるという「機密性
」、「完全性
」に関しては、多くの人がイメージする「情報セキュリティ」と同じ意味で、理解しやすいかと思います。
しかし、ISMSでは「可用性」も同様に重視されています。外部からの攻撃を阻止するだけでなく、内部の人が情報を利用しやすい状態で、適切に管理することが重要であるとされているのです。
これら3つの「情報セキュリティ三大要素」をバランスよく維持し、それぞれを改善していくことがISMSには求められることを理解しておきましょう。
例えば、PCのパスワードを30桁以上とすれば、機密性は高まるかもしれませんが、単純に面倒くさくてログインの手間が増えますよね?このように、可用性を無視した対策は現実的ではないのです。
情報セキュリティの三大要素については以下の記事で詳しく解説しているので、合わせてご確認ください。
ISMSの規格
ここでは、ISMSの認証規格
である
ISO
/IEC27001と、JIS Q 27001について解説します。
JIS Q 27001の概要
JIS(Japanese Industrial Standards)とは、日本産業規格のことです。
ISOで発行された国際規格は英語やフランス語のため、日本語に翻訳されることになります。ただし、個々人がそれぞれ翻訳を行うと、規格の内容や規格票の様式が変更されてしまう可能性があるため、すべて日本産業標準調査会(JISC)が翻訳しています。
こうして翻訳されたものをJISとして発行しているのです。分野ごとにアルファベットが設けられており、ISO27001の場合には、Qが付与されています。
また、JIS Q 27001は、ISO/IEC27001と同等に扱うことが認められています。
JIS規格の中で、Qがついているものがマネジメントシステムという区分けがされています。
ISO/IEC27001の概要
ISO/IEC27001は、ISOが発行している国際規格のひとつであり、情報セキュリティに関する国際規格です。
企業が保持する情報資産を、情報漏洩やサイバー攻撃などから保護するISMSの構築・運用について規定されています。
ISO27001の認証取得を得るためには、ISO27001の要求事項
を満たすISMSを構築・運用したうえで審査を受けることが必要です。審査機関によって認証する制度は、「ISMS適合性評価制度」と呼ばれています。
ISMSを有効に機能させるためのガイドラインのような存在です。そのため、多種多様な業種においてISO27001の要求事項に沿ったISMSを構築・運用することで、情報セキュリティのリスクを低減させることにつながります。
そのため、ISO27001を取得する企業数は年々増加しています。
ISMS認証を取得する必要性
ISMS認証を取得する必要性について、IT系中小企業経営者である約1,000人を対象に行ったアンケート調査から紹介します。
「世界共通の規格であるISO27001(ISMS:情報セキュリティマネジメントシステム)を取得することで、取引先や顧客からセキュリティに関する信頼が得られると思いますか?」と質問したところ、8割以上の方が「はい(84.3%)」と回答しました。
さらに、「ISO27001などの認証がないことで実際に契約に至らなかったことはありましたか?」と質問したところ、6割以上の方が「はい(65.2%)」と回答しました。
この結果から、ISO27001などの認証がないことで取引先や顧客から信頼を得ることができず、契約が成立しなかったという企業も少なくないことがわかります。
このアンケートではIT企業の経営者を対象としていますが、IT企業に関わらず、情報を取り扱う多くの業種・規模の企業が取得しています。
「自社の情報セキュリティ管理の課題」に関する実態調査の詳細は、以下の記事をご覧ください。
ISMSの要求事項とは?
組織がISO27001を取得するには、要求事項を満たしたISMSを構築・運用する必要があります。ここでは、以下の各要求事項について解説します。
- 適用範囲
- 引用規格
- 用語及び定義
- 組織の状況
- リーダーシップ
- 計画
- 支援
- 運用
- パフォーマンス評価
- 改善
1.適用範囲~3.用語及び定義
「1.適用範囲~3.用語及び定義」には、実際に企業が取り組むことではなく、ISO27001の基本的な考え方や適用範囲、用語・定義の説明といった内容が示されています。
4.組織の状況~7.支援
「4.組織の状況~7.支援」は、ISMSの構築段階における要求事項が示されています。PDCAサイクルにおけるPlan、つまり計画を立てる段階ともいえます。
この段階では、主に以下のような取り組みに関する要求が示されています。
- 自社におけるISMS適用範囲の決定
- トップマネジメントによるISMSに関するリーダーシップやコミットメント
- 情報セキュリティ方針や情報セキュリティ目標の策定
- 情報セキュリティ上のリスクマネジメント
- 資源の決定や提供
- 文書化する情報や方法
リスクアセスメントの詳細は、以下の記事をご覧ください。
8.運用
「8.運用」は、構築したISMSの運用段階における要求事項が示されています。PDCAサイクルにおけるDo、つまり実行する段階ともいえます。
この段階では、主に以下のような取り組みに関する要求が示されています。
- リスクアセスメントの実施
- 情報セキュリティ管理策やリスク対応計画の実施・管理
9.パフォーマンス評価~10.改善
「9.パフォーマンス評価
」は、運用したISMSの有効性や要求事項との適合性について、測定・評価するための要求事項が示されています。PDCAサイクルのCheck、つまり評価する段階ともいえます。
また「10.改善」は、ISMSの改善を行うための要求事項が示されています。PDCAサイクルのAction、つまり対策・改善段階ともいえます。
「9.パフォーマンス評価」の段階では、ISMSを評価する内部監査 やマネジメントレビューに関する要求が示されています。そして「10.改善」では、マネジメントレビューをもとにしたISMSの継続的改善や不適合、是正処置 に関する要求が示されています。
内部監査の詳細は、以下の記事をご覧ください。
有効なISMSの構築・運用のためには、ISO27001の要求事項に則り、ISO27001を取得することがおすすめです。また、管理策についても同様に対応していき、取り組むかどうかという点から確認していきましょう。まずは要求事項を理解し、ISMSを構築する参考にしてください。
ISMSの取得・維持に必要な認証審査とは
ISMS認証の取得・維持には、認証機関による認証審査を受ける必要があります。以下に、まずはISMS認証評価制度において欠かせない認証機関や要員認証機関、認定
機関について簡単にまとめました。
- 認証機関
- 要員認証機関
- 認定機関
- 認証機関とは、ISMSがISO27001に適合しているかどうかを審査し、登録する機関のことです。日本国内に50~80社ほど存在しています。
- 要員認証機関とは、審査員の資格を付与し、登録する機関のことです。認証機関と同様に、認定機関により許可を得ることで、要員認証機関として登録されます。
- 認定機関とは、各国に基本的に1機関だけ存在し、審査機関である認証機関を認定する組織のことです。ISOの基準に則った審査を実施しているかどうかを公平に保つために存在しています。
ここでは、ISMSの取得・維持するために受けることが必要な認証審査について解説します。
取得審査
取得審査とは、ISMSを取得するための審査のことです。一次審査(文書審査)、二次審査(現地審査)の2つの審査を受け、通過することが必要です。
一次審査では、ISMSの構築・運用において作成された文書や運用記録といった文書を確認し、マネジメントシステムが構築・運用されているかを確認します。
二次審査では、実際に審査員が取得を希望する組織に訪問し、対象者と面談して要求事項との適合性を確認します。
維持審査
維持審査とは、認証取得後に毎年受けることが必要な審査で、サーベイランス審査または定期審査と呼ばれることもあります。
基本的に、運用が適切に継続されているかという確認であるため、審査工数や期間は取得審査や更新審査に比べて少ないことが一般的です。
更新審査
更新審査とは、取得から3年おきに行われる審査のことで、再認証審査とも呼ばれています。
3年間の運用状況を確認し、ISMSの基準を満たしているかを再度確認するため、審査工数や期間は維持審査よりも多くなる傾向にあります。
ISMS認証取得にかかる期間と費用相場
最後に、ISMS認証取得にかかる主な期間と費用相場について紹介します。ISMSを築く組織の規模や適用範囲、コンサルティング会社を利用するかどうかによって大きく変動するため、目安として参考にしてください。
期間
ISMS認証取得にかかる主な期間は、従業員50名で自社取得を目指した場合、約6か月~数年となるでしょう。ISMSの構築に1~4か月ほど、運用は都度発生する課題を是正していくため1か月~数年と大きく変動する可能性があります。
ただし、スキルやノウハウのある人材がいない場合には、計画していたよりも長期間かかる可能性があるため、注意が必要です。
信頼できるコンサルティング会社を利用すると、取得にかかる期間の短縮が見込めます。
費用相場
ISMS(ISO27001)の審査費用相場(業種&人数規模別)
| 業種 | 1-20名 | 21-50名 | 51-100名 | 101名以上 |
|---|---|---|---|---|
| 製造業・加工業 | 51万円 | 73万円 | 103万円 | 123万円 |
| 建築・建設業 | 51万円 | 71万円 | 97万円 | 129万円 |
| ITサービス | 54万円 | 76万円 | 98万円 | 120万円 |
| システム開発 | 53万円 | 74万円 | 97万円 | 120万円 |
| WEB制作 | 55万円 | 81万円 | 97万円 | – |
| 卸売業・小売業 | 52万円 | 77万円 | 104万円 | 114万円 |
| コンサル業 | 51万円 | 82万円 | 95万円 | 103万円 |
| 保険業 | 58万円 | – | 100万円 | 113万円 |
| 不動産 | 62万円 | – | 97万円 | 113万円 |
※2022年7月調査(ISOプロ調べ)。現在の費用と異なる可能性があるため詳しくはお問合せください。
ISMSの取得には、必ず審査費用がかかります。認証を受ける範囲や認証機関によって異なりますが、50~100万円程度が費用相場となっています。また、コンサルティング会社に依頼すると、コンサルティング料もかかってきます。
ただし、コンサルタントに依頼することで、作業工数や時間を低減できるため、従業員が本業に従事する時間の確保につながります。そのため、結果としてコンサルティング会社に依頼した方がコストを安く抑えられる可能性があります。
まとめ
組織の情報セキュリティを高めるための仕組みであるISMSは、情報の価値が高まっている今日の社会において必要不可欠です。
組織が保有する情報資産を適切に管理することで、リスクに備えることができるだけでなく、対外的な評価を高めるための手段として企業の経営においてもプラスになるというメリットがあります。
このような背景から、近年では多くの企業がISMSを取得しています。自社の情報セキュリティを見直すきっかけとして、ISMSの取得を目指してみてはいかがでしょうか?
ただし、可用性の観点からの取り組みを重視する企業もあり、サーバのデータをクラウドに移行することがISMSのセキュリティ対策となっている場合もあります。
ISMS(ISO27001)取得企業については、一般社団法人情報マネジメントシステム認定センターが公表しています。以下の記事で詳しく解説していますので、ISMSの取得を検討されている方は、ぜひこちらの記事も参考にしてみてください。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい