【基本】ISMS(情報セキュリティマネジメントシステム)とは?必要性や認証取得の流れを徹底解説
- ISMSとは、情報資産を保護する「情報セキュリティマネジメントシステム」の略称
- ISMSでは、可用性、機密性、完全性をバランスよく保つことが望ましい
- ISMSは、ITの進歩によりサイバー攻撃や情報漏洩などのリスクを適切に管理するためのもの
近年ではますますIT化が進んでおり、ヒト・モノ・カネに加えて情報も企業の経営資源とみなされるようになってきました。そんな中で近年日本企業の課題になってきているのが企業の情報セキュリティです。
さて、組織における情報セキュリティ管理を行う仕組みのことを「ISMS」と呼びますが、簡単に説明されてもピンとこない方も多いかもしれません。ということで、今回はISMSとは何なのかについて、初めての方にもわかりやすく解説します。
目次
ISMS(情報セキュリティマネジメントシステム)とは
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、企業・組織の情報資産を守るための仕組みのことです。
わかりやすくまとめると、「企業にとって大事な情報が流出するリスクを防ぎ、使いやすい状態で管理できる体制を構築し、運用すること」を指します。
情報が流出するセキュリティリスクの例には、サイバー攻撃・不正アクセス・マルウェアの侵入・盗難・紛失などが挙げられます。
こうしたリスクに対して、個々に対策を取るのではなく、包括に取り組むことで情報セキュリティを向上させることが重要です。
ISMSでは、会社の情報セキュリティの方向性を定める情報セキュリティ方針や情報セキュリティ目的を策定したのち、マニュアルの作成・従業員教育などの多角的な面から管理できる体制の構築・運用を目指します。
企業の情報資産を守るための仕組みである情報セキュリティマネジメントシステムISMS。
ISMSの認証制度として、ISO27001などがあります。
ISOプロでは、ISMSの構築や運用の仕方、ISO27001認証の取得方法や取得コスト、審査機関についてまとめた資料をご用意しています。無料でお渡しできますので、ぜひ下記から資料請求ください。
ISMSで守るべき情報資産とは
会社で保有する情報資産と一言でいっても、個人情報や会社概要(所在地や電話番号)などのさまざまな情報があります。
ISMSではこうしたすべての情報を保護するわけではなく、「保護すべき資産価値のある情報」を見極めることが必要です。例えば、以下のような情報が保護対象として挙げられます。
- 製品に関する技術情報
- 経営や事業計画などの組織の戦略に関する情報
- 財務情報
- 顧客情報
- 従業員の個人情報
- 設備・機械などの物理的資産
- 情報システムやソフトウェア、社内ネットワークなどのIT環境
- 無形資産
情報資産の詳細は、以下の記事をご覧ください。
情報セキュリティの三要素
情報セキュリティでは、以下の3つの要素をバランスよく向上する対策が重要視されています。
- 機密性:情報に対して許可された個人のみアクセスできる状態
- 完全性:情報および処理方法が正確かつ最新の状態で管理されている状態
- 可用性:許可された個人が必要な時にアクセスできる状態
わかりやすくまとめると、「その情報へのアクセスを許可された人だけ(機密性)が、正確かつ最新の情報(完全性)にアクセスし、使用したいときにいつでも使用できる(可用性)状態」です。
三要素をバランスよく高めるには、多角的に対策を検討することが必要です。
例えば、機密性を高めるために「PCのパスワードを30桁以上にする」という対策を行うと、ログインの手間が増えて業務効率が低下します。
つまり、この対策は可用性を無視した対策であり、現実的ではないことがわかります。
情報セキュリティの三大要素については以下の記事で詳しく解説しているので、合わせてご確認ください。
ISMSの規格
ここでは、ISMSの認証規格であるISO/IEC27001やJISQ27001、また混同されやすいPマークとの違いについて解説します。
JIS Q 27001の概要
JIS Q 27001
JIS(Japanese Industrial Standards)とは日本産業規格のことで、JIS Q 27001とは、ISO/IEC27001を日本語訳した規格です。
実は、ISO規格は英語やフランス語で発行されるため、規格原本を日本語に翻訳する必要があります。その際に個々人がそれぞれ翻訳を行うと、規格の内容や規格票の様式が変更されてしまう可能性があるため、すべて日本産業標準調査会(JISC)が翻訳し、JIS規格として発行しているのです。
JIS Q 27001はISO/IEC27001と同等に扱うことが認められているため、JIS Q 27001を取得することで、海外においても取引の優位性や信頼の獲得などにつながります。
またJIS Q 27001の「Q」は、JIS規格における規格の分野を表すアルファベットで、「管理システム」に分類されていることを表しています。
ISO/IEC27001の概要
ISO/IEC27001とは、ISOが発行している情報セキュリティマネジメントシステムに関する国際規格です。
企業が保持する情報資産を、情報漏洩やサイバー攻撃などから保護するISMSの構築・運用について規定されています。
ISO27001の認証取得を得るためには、ISO27001の要求事項を満たすISMSを構築・運用したうえで審査を受けることが必要です。審査機関によって認証する制度は、「ISMS適合性評価制度」と呼ばれています。
IT技術の進歩により、業種や企業規模に関わらず情報セキュリティが重視されるようになっているため、ISO27001を取得する企業数は年々増加しています。
ISO27001に関する要求事項の詳細は、以下の記事をご覧ください。
また情報セキュリティに関するISO規格のシリーズは、以下の記事をご覧ください。
Pマークとの違い
プライバシーマーク(Pマーク)とは、「組織が保有する個人情報を管理する仕組みを構築・運用する個人情報保護マネジメントシステム(PMS)に関する国内規格」です。
そもそもISMSは「仕組み」、Pマークは「規格」であり、概念そのものが異なります。そこで、ここではISMS認証(ISMSに関する基準を定めている規格)とPマークの違いについてまとめました。
| 異なる点 | ISMS認証 | Pマーク |
|---|---|---|
| 対象範囲 | 個人情報を含む情報資産全般 | 個人情報のみ |
| 有効範囲 | 国際的に有効 | 日本国内のみ |
| 取得単位 | 法人単位、事業所単位、部署単位など自社で選択可能 | 法人単位のみ |
| 認証の有効期間 | 3年間 | 2年間 |
Pマークの詳細は、以下の記事をご覧ください。
ISMS認証を取得するメリット・デメリット
ここでは、ISMS認証を取得するメリット・デメリットを解説します。
メリット
ISMS認証を取得するメリットをまとめました。
- 情報セキュリティ体制の強化
- 情報セキュリティリスクの低減
- 業務効率向上・ムダなコストの削減
- 取引先や顧客からの信頼獲得
- 取引先の拡大
ISMS認証を取得することで、「情報セキュリティ体制における国際的な基準を満たしている」という証明になります。
そのため、組織内部におけるメリット(情報セキュリティリスクの低減や業務効率化・ムダなコストの削減)だけでなく、取引先や顧客にもプラスの影響を与えることが期待できるでしょう。
デメリット
ISMS認証を取得するデメリットをまとめました。
- ISMS認証を取得するまでに業務負担が増える
- ISMS認証を取得時だけでなく、毎年審査を受ける必要がある
- 審査に費用がかかる
ISMS認証を取得するために書類を作成したり、業務プロセスを見直したりといった新たな業務を行うことが必要です。そのため、ISMS認証を取得する際は社員の業務負担が増加することがよくあります。
またISMS認証は「継続的改善」を掲げているため、取得して完了ではなく取得後も運用し、定期的に審査を受けることが求められます。そのため、審査の度に審査のための業務や費用が発生します。
ISMS認証のメリット・デメリットの詳細は、以下の記事をご覧ください。
ISMS認証の要求事項とは
組織がISMS認証(ISO27001)を取得するには、要求事項を満たしたISMSを構築・運用する必要があります。
ISMS認証の要求事項は以下の10項目に分かれており、それぞれの項目を順番に行うことで情報セキュリティ体制の強化につながります。
| 要求事項 | 概要 |
|---|---|
| 1.適用範囲 | 用語・定義の説明など。 |
| 2.引用規格 | |
| 3.用語及び定義 | |
| 4.組織の状況 | PDCAサイクルのPlan(計画)にあたる部分で、ISMSを構築する段階。 |
| 5.リーダーシップ | |
| 6.計画 | |
| 7.支援 | |
| 8.運用 | PDCAサイクルのDo(実行)にあたる部分で、ISMSを運用する段階。 |
| 9.パフォーマンス評価 | PDCAサイクルのCheck(確認・評価)にあたる部分で、ISMSの有効性・適合性を確認する段階。 |
| 10.改善 | PDCAサイクルのAction(改善)にあたる部分で、ISMSの問題点・課題点を改善する段階。 |
ここでは、各要求事項の項目で求められている内容を解説します。
1.適用範囲~3.用語及び定義
「1.適用範囲~3.用語及び定義」には、ISO27001の基本的な考え方や適用範囲、用語・定義の説明といった内容が示されています。
実際に企業が取り組むことは記載されていませんが、読んでおくことでISO27001への理解が深まるでしょう。
4.組織の状況
「4.組織の状況」は、組織を取り巻く情報セキュリティの状況を把握し、ISMSの適用範囲を決定する段階です。
組織には企業理念や経営方針などの目的があります。この目的を達成する際に妨げとなる組織内部・外部の課題や利害関係者からのニーズを明確にしたうえで、自社のどの範囲においてISMSを適用させるかを決定します。
5.リーダーシップ
「5.リーダーシップ」は、トップマネジメントの責任や求められる役割について示している項目です。
ここでいうトップマネジメントとは、「ISOに関する方針や目標などの策定、調整、統制などを行う最終責任者」のことです。適用範囲によっては、工場長や部長などがトップマネジメントに該当する場合もあります。
またトップマネジメントが行うこととして、ISMSの方向性や実施するべきことをまとめた「情報セキュリティ方針」を文書化し、組織内部に周知させることを求めています。
6.計画
「6.計画」は、ISMSにおいて取り組むべき内容を計画することを求めている項目です。
具体的には、主に以下の4つについて取り組む必要があります。
リスクアセスメントを実施するプロセスの明確化
リスクアセスメントでは、適用範囲に潜んでいる情報セキュリティリスクを特定し、分析・評価する「リスク特定 ・リスク分析・リスク評価 」を行います。
リスク基準を設け、それぞれのリスクにおける 脅威 ・脆弱性を評価し、情報資産のリスクレベルを決定します。
リスクに関する対策の決定
リスクアセスメントの結果をもとに、ISMSにおいて実施するリスク対応について決定します。
またリスク対応の選択にもとづき、実施に必要な管理策を附属書Aから選択し、適用宣言書・リスク対応計画を作成します。
情報セキュリティ目的の策定
リスクアセスメント・リスク対応の結果をもとに、ISMSの達成度を判定する指標となる情報セキュリティ目的を策定します。
情報セキュリティ目的は、情報セキュリティ方針と整合し、基本的に測定可能な内容にすることが必要です。
情報セキュリティ目的を達成するための計画の策定
情報セキュリティ目的を達成するために実施することや必要な資源、責任者、達せ起源、結果の評価方法を記した具体的な計画を作成します。
7.支援
「7.支援」は、ISMSの運用をサポートするために必要な5つの要素において、求めていることを示した項目です。
- 必要な資源(ヒト・モノ・カネ・情報)を決定し、提供すること
- 従業員の力量(スキル・経験など)を明確にし、必要に応じて教育訓練を実施すること
- 各要員が自身の責任や役割を認識すること
- 必要な情報を共有するためのコミュニケーションを取るプロセスを確立すること
- 必要な情報を文書化すること
8.運用
「8.運用」は、「6.計画」で計画した内容を実行し、ISMSの運用における要求事項が示されている項目です。
- リスクアセスメントの実施
- 情報セキュリティ目的を達成するための計画の実施
9.パフォーマンス評価
「9.パフォーマンス評価」は、運用したISMSの有効性や要求事項との適合性について、測定・評価するための要求が示されている項目です。
内部監査を実施し、ISO27001の要求事項との適合性や有効性を確認します。その後、監査結果をもとに、トップマネジメントは「ISMSが意図した成果をあげているかどうか」について評価するマネジメントレビューを行います。
10.改善
「10.改善」は、ISMSの改善を行うための要求事項が示されている項目です。
マネジメントレビューをもとに不適合が発生した場合、是正処置を実施することが求められています。
運用した結果を評価したうえで対策することでISMSの継続的改善を実現させ、組織の情報セキュリティパフォーマンスを継続的に向上できるのです。
ISMS認証の取得・維持に必要な認証審査とは
ISMS認証の取得・維持には、認証機関による認証審査を受ける必要があります。以下に、まずはISMS認証評価制度において欠かせない認証機関や要員認証機関、認定機関について簡単にまとめました。
- 認証機関
- 認証機関とは、ISMSがISO27001に適合しているかどうかを審査し、登録する機関のことです。日本国内に50~80社ほど存在しています。
- 要員認証機関
- 要員認証機関とは、審査員の資格を付与し、登録する機関のことです。認証機関と同様に、認定機関により許可を得ることで、要員認証機関として登録されます。
- 認定機関
- 認定機関とは、各国に基本的に1機関だけ存在し、審査機関である認証機関を認定する組織のことです。ISOの基準に則った審査を実施しているかどうかを公平に保つために存在しています。
ここでは、ISMSの取得・維持するために受けることが必要な認証審査について解説します。
取得審査
取得審査とは、ISMSを取得するための審査のことです。一次審査(文書審査)、二次審査(現地審査)の2つの審査を受け、通過することが必要です。
一次審査
ISMSの構築・運用において作成された文書や運用記録といった文書を確認し、マネジメントシステムが構築・運用されているかを確認します。
二次審査
審査員が適用範囲に含まれている場所を訪問し、対象者と面談して要求事項との適合性を確認します。
維持審査
維持審査とは、認証取得後に毎年受けることが必要な審査です。サーベイランス審査または定期審査と呼ばれることもあります。
基本的に、運用が適切に継続されているかという確認であるため、審査工数や期間は取得審査や更新審査に比べて少ないことが一般的です。
更新審査
更新審査とは、ISMS認証の有効期限である3年おきに行われる審査のことです。再認証審査とも呼ばれています。
3年間の運用状況を確認し、ISMSの基準を満たしているかを再度確認するため、審査工数や期間は維持審査よりも多くなる傾向にあります。
ISMS認証取得にかかる期間と費用相場
ここでは、ISMS認証取得にかかる主な期間と費用相場について紹介します。ISMSを適用する組織の規模や適用範囲、コンサルティング会社を利用するかどうかによって大きく変動するため、目安として参考にしてください。
期間
ISMS認証取得にかかる主な期間は、約6か月~数年となることが一般的です。その内訳は、以下のとおりです。
- ISMSの構築:約1か月~4か月
- ISMSの運用:約1か月~数年
発生する課題の是正に時間がかかった場合には、1か月~数年と大きく変動する可能性があります。またスキルやノウハウのある人材がいない場合には、計画していたよりも長期間かかる可能性があるため、注意が必要です。
信頼できるコンサルティング会社を利用すると、取得にかかる期間の短縮が見込めます。
費用相場
ISMS認証(ISO27001)の審査費用相場は、約50万~130万円です。
以下に、業種別・従業員数別の審査費用をまとめているため、自社が取得する場合の参考にしてください。
ISMS認証(ISO27001)の審査費用相場(業種&人数規模別)
| 業種 | 1-20名 | 21-50名 | 51-100名 | 101名以上 |
|---|---|---|---|---|
| 製造業・加工業 | 51万円 | 73万円 | 103万円 | 123万円 |
| 建築・建設業 | 51万円 | 71万円 | 97万円 | 129万円 |
| ITサービス | 54万円 | 76万円 | 98万円 | 120万円 |
| システム開発 | 53万円 | 74万円 | 97万円 | 120万円 |
| WEB制作 | 55万円 | 81万円 | 97万円 | – |
| 卸売業・小売業 | 52万円 | 77万円 | 104万円 | 114万円 |
| コンサル業 | 51万円 | 82万円 | 95万円 | 103万円 |
| 保険業 | 58万円 | – | 100万円 | 113万円 |
| 不動産 | 62万円 | – | 97万円 | 113万円 |
※2022年7月調査(ISOプロ調べ)。現在の費用と異なる可能性があるため詳しくはお問合せください。
審査費用とは別に、コンサルティング会社にサポートを依頼すると、約50万~150万円のコンサルティング料もかかります。
ただし、コンサルタントに依頼することで、作業工数や時間を低減できるため、従業員が本業に従事する時間の確保につながります。そのため、結果としてコンサルティング会社に依頼した方がコストを安く抑えられる可能性があります。
ISMS認証を取得する必要性
多額な費用や作業負担がかかるISMS認証の取得ですが、それでもISMS認証を取得する必要性は、どこにあるのでしょうか。
ISMS認証を取得する必要性は「情報セキュリティ体制を強化できる」以外に、「取引先や顧客からの信頼を得られる」「取引が優位に行える」ことが大きいでしょう。
「本当にISMS認証は取引に良い影響があるのか不安」という方もいるかもしれません。そこで、IT系中小企業経営者である約1,000人を対象に行ったアンケート調査から「ISMS認証が取引に与える影響」について紹介します。
| Q:世界共通の規格であるISO27001(ISMS:情報セキュリティマネジメントシステム)を取得することで、取引先や顧客からセキュリティに関する信頼が得られると思いますか? |
| A:はい(84.3%)いいえ(15.7%) |
| Q:ISO27001などの認証がないことで実際に契約に至らなかったことはありましたか? |
| A:はい(65.2%)いいえ(34.8%) |
つまり、「ISO27001などの認証がないために、取引先や顧客から信頼を獲得できず、契約が成立しなかったという企業が多い」ことがわかるのです。こうした結果からみても、ISO27001などのISMS認証が取引において優位に働く可能性があるといえるでしょう。
「自社の情報セキュリティ管理の課題」に関する実態調査の詳細は、以下の記事をご覧ください。
まとめ
組織の情報セキュリティを高めるための仕組みであるISMSは、情報の価値が高まっている今日の社会において必要不可欠です。
組織が保有する情報資産を適切に管理することで、リスクへの態勢を整備できるでなく、対外的な評価を高めるための手段として企業の経営においてもプラスになるというメリットがあります。
このような背景から、近年では多くの企業がISMSを取得しています。自社の情報セキュリティを見直すきっかけとして、ISMSの取得を目指してみてはいかがでしょうか?
ただし、可用性の観点からの取り組みを重視する企業もあり、サーバのデータをクラウドに移行することがISMSのセキュリティ対策となっている場合もあります。
ISMS(ISO27001)取得企業については、一般社団法人情報マネジメントシステム認定センターが公表しています。以下の記事で詳しく解説していますので、ISMSの取得を検討されている方は、ぜひこちらの記事も参考にしてみてください。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい