【初心者向け】ISMSとは?規格やISOとの違いを徹底解説
- ISMSとは、情報資産を保護する「情報セキュリティマネジメントシステム」の略称
- ISMSでは、可用性、機密性、完全性をバランス良く保つことが望ましい
- ISMSは、ITの進歩によりサイバー攻撃や情報漏洩などのリスクを適切に管理するためのもの
近年ではますますIT化が進んでおり、ヒト・モノ・カネに加えて情報も企業の経営資源とみなされるようになってきました。そんな中で近年日本企業の課題になってきているのが企業の情報セキュリティです。
さて、組織における情報セキュリティ管理を行う仕組みのことを「ISMS」と呼びますが、簡単に説明されてもピンとこない方も多いかもしれません。ということで、今回はISMSとは何なのかということについて、初めての方にもわかりやすく解説します。
目次
ISMSとは「Information Security Management System」の略
ISMSとは「Information Security Management System」の略称で、企業・組織の情報を守るための情報セキュリティマネジメントシステムのことです。
ざっくり結論から述べると、ISMSとは、「企業にとって大事な情報が外部あるいは内部に流出してしまうリスクや、使いやすい状態で管理されることを、ちゃんとした体制を組んで対策していこうとするもの」のことを指します。
「情報が流出してしまうリスク」は非常にさまざまです。例えば、社員が帰宅途中に立ち寄った居酒屋で会社から持ち出したノートPCを盗まれてしまい、情報が流出することもあるでしょうし、会員ページの脆弱性を突いた攻撃をされてWEBページを通じて情報漏えいにつながることも考えられます。
こういった問題を、高度なセキュリティ技術や高度なスキルを持った人材などに限定して頼るのではなく、
情報セキュリティ方針
や
情報セキュリティ目的
、マニュアル、教育などのさまざまな面から仕組みとして管理できる体制を築くための仕組みがISMSなのです。
企業の情報資産を守るための仕組みである情報セキュリティマネジメントシステムISMS。
ISMSの認証制度として、ISO27001などがあります。
ISOプロでは、ISMSの構築や運用の仕方、ISO27001認証の取得方法や取得コスト、審査機関についてまとめた資料をご用意しています。無料でお渡しできますので、ぜひ下記から資料請求ください。
情報セキュリティとは
情報セキュリティと聞くと、「パスワードを設定する」や「ファイアウォール を設置する」といったイメージが強い方も多いのではないでしょうか。もちろん、こういったセキュリティ対策も非常に重要であり、外部から不正にアクセスされないようにリスクマネジメントを施しておくことは、ISMSでも望ましいとされています。
しかし、単純に「不正アクセスされないこと」だけが情報セキュリティではありません。情報セキュリティでは、以下の3つの要素が重要視されています。
- 機密性:情報に対して許可された個人のみアクセスできる状態
- 完全性:情報および処理方法が正確かつ最新の状態で管理されている状態
- 可用性:許可された個人が必要な時にアクセスできる状態
悪意ある攻撃によって、情報が改ざんされたり破壊されたりしないように対策を施しておくべきであるという「機密性
」、「完全性
」に関しては、多くの人がイメージする「情報セキュリティ」と同じ意味で、理解しやすいかと思います。
しかし、ISMSでは「可用性」を欠いてはいけないとされています。外部からの攻撃を阻止するだけでなく、内部の人が情報を利用しやすい状態で、適切に管理することが重要であるとされているのです。
これら3つの「情報セキュリティ三大要素」をバランスよく維持し、それぞれを改善していくことがISMSには求められるということを理解しておきましょう。
例えば、PCのパスワードを30桁以上とすれば、機密性は高まるかもしれませんが、単純に面倒くさくてログインの手間が増えますよね?このように、可用性を無視した対策はいけないのです。
情報セキュリティの三大要素については以下の記事で詳しく解説しているので、合わせてご確認ください。
マネジメントシステムとは
ISMSというものを理解するためには、マネジメントシステムについても理解を深める必要があります。
マネジメントシステムと聞くとなんだか難しいような気もしますが、簡単に言えば組織が目的を達成するための仕組みのことです。ここで言う「仕組み」とは、業務マニュアル、会社のルール、事業計画などさまざまなモノや活動のことを指します。
皆さんの身近なもので例えると、営業マンの「売上目標」や「ノルマ」もマネジメントシステムの一つとして挙げられます。営業マン一人ひとりがノルマを達成することができれば、会社の売上を上げることができる「仕組み」となるということです。
このように、マネジメントシステムは「何らかの目的を達成するためにある組織内部のモノや活動」を意味するのです。
ISMSは、「情報セキュリティ」を達成するための「仕組み」
上記で説明したマネジメントシステムは、非常に広い範囲の意味を持ったものでしたが、マネジメントシステムにもさまざまな種類があります。
例えば、品質
を向上させ顧客満足を目指す「品質マネジメントシステム(ISO
9001)」や、従業員の安全衛生水準を向上させるためにある「労働安全衛生マネジメントシステム(ISO45001)」は有名です。
ISMSは、「情報セキュリティ」という企業の目標を達成するためのマネジメントシステムということになるため、情報セキュリティリスク管理における適切な手段といえます。
最近では、自社における情報セキュリティ管理の方針を情報セキュリティポリシーとして公表している企業も多くあります。ISMSを構築・運用した場合には、対外的に自社の取り組みをアピールすることがおすすめです。
情報資産を管理する必要性
近年急速にIT化が進み、より情報セキュリティへの需要が高まっていますが、なぜここまで重要視されるようになっているのでしょうか?
そもそも情報資産は、「ヒト・モノ・カネ」に関する情報、つまりデータのことを指します。紙媒体の資料をはじめ、サーバやパソコン、USBメモリなどに保存されているデータもすべて情報資産です。
例えば、パソコン内に保存されている契約書や売上データといった機密情報、従業員や顧客の情報などが例として挙げられます。
ITの進歩により、これらの情報資産をより手軽に扱うことができるようになった反面、その管理方法が確立されていないと脆弱性を狙ったサイバー攻撃やヒューマンエラーによる情報漏洩、内部不正といったリスクに晒される可能性があります。
このようなリスクを防ぐためにも、情報セキュリティの重要性が増してきているのです。情報資産を適切に管理することは、リスク軽減だけでなく、対外的な信頼の向上や入札条件に対応することが可能になるなど、さまざまなメリットが見込めます。また、情報セキュリティ管理のマニュアルやルールが明確化されることで、従業員のセキュリティ意識の向上も期待できるでしょう。
そのため、ISMS認証 を取得することはリスクというマイナス面に備えるだけでなく、経営においてプラスになる側面ももっているのです。
ISOとの違いとは?
そもそもISO(International Organization for Standardization)とは、非営利法人の名称です。クレジットカードなどの「モノ」や、企業のルールなどの「マネジメントシステム」において、国際的な基準となる「ISO規格」を定めています。
このISO規格のうち、情報セキュリティに関する規格に
ISO27001
があります。
ISO27001はISMSの国際規格であり、ISMSはマネジメントシステムの略称です。
この2つの位置づけとして、ISO27001は有効に機能するISMSを構築・運用するガイドラインのようなもの、ISMSは情報資産を保護するための仕組みと押さえておきましょう。
また、ISO27001の認証取得を得るためには、ISO27001の要求事項を満たすISMSを構築・運用する必要があります。
ISMSとISO27001との違いとは
ISO規格のうち、情報セキュリティに関する規格にISO27001があります。ISO27001はISMSの国際規格であり、ISMSはマネジメントシステムの略称です。
ISMSとISO27001の違いは、ISMSは情報セキュリティを高めるための「仕組み」で、ISO27001 は「規格」であるという点にあります。つまり、ISMSは「情報資産を保護するための仕組み」であり、ISO27001は「どのようにISMSを構築・運用すれば、有効に機能するのか」を示したガイドライン、と押さえておきましょう。
そのため、ISO27001の認証取得を得るためには、ISO27001の要求事項を満たすISMSを構築・運用する必要があります。また、企業が構築したISMSがISO27001 に適合していることを審査機関によって認証する制度として、「ISMS適合性評価制度」があります。
ISMSの規格
ISMSのマネジメントシステム規格には、ISO27001があるとご紹介しました。ここでは、ISMSの規格であるISO/IEC27001と、JISQ27001について解説します。
JIS Q 27001の概要
JIS(Japanese Industrial Standards)とは、日本産業規格のことです。
ISOで発行された国際規格は英語やフランス語のため、日本語に翻訳されることになります。ただし、個々人がそれぞれ翻訳を行うと、規格の内容や規格票の様式が変更されてしまう可能性があるため、すべて日本産業標準調査会(JISC)が翻訳しています。
こうして翻訳されたものをJISとして発行しているのです。分野ごとにアルファベットが設けられており、ISO27001の場合には、Qが付与されています。
また、JISQ27001は、ISO/IEC27001と同等に扱うことが認められています。
JIS規格の中で、Qがついているものがマネジメントシステムという区分けがされています。
ISO/IEC 27001の概要
ISO/IEC27001は、ISOが発行している国際規格のひとつであり、情報セキュリティに関する国際規格です。
企業が保持する情報資産を、情報漏洩やサイバー攻撃などから保護するISMSの構築・運用について規定されています。ISO27001を取得するためには、ISO27001の要求事項を満たすISMSを構築・運用することが必要です。
ISMSを有効に機能させるためのガイドラインのような存在のため、多種多様な業種においてISO27001の要求事項に沿ったISMSを構築・運用することで、情報セキュリティのリスクを低減させることにつながります。
そのため、ISO27001を取得する企業数は年々増加しています。
ISMS認証評価制度における3つの機関
ISMS認証評価制度における3つの機関について、それぞれ解説します。
認証機関
認証機関とは、ISMSがISO27001に適合しているかどうかを審査し、登録する機関のことです。日本国内に50~80社ほど存在しています。
認証機関として登録されるには、認定 機関から認証審査を行うための許可を得ることが必要です。
要員認証機関
要員認証機関とは、審査員の資格を付与し、登録する機関のことです。審査員としての力量があるかどうかの審査を行っています。
認証機関と同様に、認定機関により許可を得ることで、要員認証機関として登録されます。
認定機関
認定機関とは、各国に基本的に1機関だけ存在し、審査機関である認証機関を認定する組織のことです。ISOの基準に則った審査を実施しているかどうかを公平に保つために存在しています。
ISMSの要求事項とは?
組織がISO27001を取得するには、要求事項を満たしたISMSを構築・運用する必要があります。ここでは、以下の要求事項について、いくつか取り上げて解説します。
- 適用範囲
- 引用規格
- 用語及び定義
- 組織の状況
- リーダーシップ
- 計画
- 支援
- 運用
- パフォーマンス評価
- 改善
5.リーダーシップ
「5.リーダーシップ」では、トップによるISMSに対するコミットメント の実証を求めています。従業員が、ISMSの構築に積極的に取り組む環境 を作り出すために、トップマネジメントを必要としています。また、方針を策定する必要もあります。
6.計画
ISMSの計画を策定するときには、リスクアセスメントを実施し、対処する必要があるリスクを決定することが重要です。
リスクアセスメントでは、まず、自社内の情報資産を洗い出し、情報セキュリティの三大要素を損なう要因を見つけ出す「リスク特定
」を行います。
次に、それぞれの情報資産やセキュリティリスクを、重要度・発生率・脆弱性といった観点から評価し、「リスク分析」をします。
最後に、リスク分析で調査した結果をもとにリスクレベルを定め、それぞれのリスクへの対応の必要性について判断する「
リスク評価
」を行います。
リスクアセスメントの詳細は、以下の記事をご覧ください。
7.支援
「7.支援」では、ISMSの運用に必要となる経営資源を明確にする必要があります。従業員の教育や情報の文書化、組織内外へのコミュニケーションの実施について決定するように規定されています。
9.パフォーマンス評価~10.改善
「9.パフォーマンス評価 」および「10.改善」は、構築・運用してきたISMSを内部監査 やマネジメントレビューなどによって評価し、改善していくための要件です。内部監査では、自社のISMSがISO27001の要求事項を満たし、有効に機能するかを確認していきます。内部監査担当者を決定し、適用範囲 の監査対象部門に対して、監査を実施します。
内部監査の詳細は、以下の記事をご覧ください。
有効なISMSの構築・運用のためには、ISO27001の要求事項に則り、ISO27001を取得することがおすすめです。また、管理策についても同様に対応していき、取り組むかどうかという点から確認していきましょう。まずは要求事項を理解し、ISMSを構築する参考にしてください。
ISMSの取得・維持に必要な認証審査とは
ここでは、ISMSの取得・維持するために受けることが必要な認証審査について解説します。
取得審査
取得審査とは、ISMSを取得するための審査のことです。一次審査(文書審査)、二次審査(現地審査)の2つの審査を受け、通過することが必要です。
一次審査では、ISMSの構築・運用において作成された文書や運用記録といった文書を確認し、マネジメントシステムが構築・運用されているかを確認します。
二次審査では、実際に審査員が取得を希望する組織に訪問し、対象者と面談して要求事項との適合性を確認します。
維持審査
維持審査とは、認証取得後に毎年受けることが必要な審査で、サーベイランス審査または定期審査と呼ばれることもあります。
基本的に、運用が適切に継続されているかという確認であるため、審査工数や期間は取得審査や更新審査に比べて少ないことが多いです。
更新審査
更新審査とは、取得から3年おきに行われる審査のことで、再認証審査とも呼ばれています。
3年間の運用状況を確認し、ISMSの基準を満たしているかを再度確認するため、審査工数や期間は維持審査よりも多くなる傾向にあります。
ISMS認証取得にかかる期間と費用相場
最後に、ISMS認証取得にかかる主な期間と費用相場について紹介します。ISMSを築く組織の規模や適用範囲、コンサルティング会社を利用するかどうかによって大きく変動するため、目安として参考にしてください。
期間
ISMS認証取得にかかる主な期間は、従業員50名で自社取得を目指した場合、約6ヵ月~数年となるでしょう。ISMSの構築に1~4ヵ月ほど、運用は都度発生する課題を是正していくため1ヵ月~数年と大きく変動する可能性があります。
ただし、スキルやノウハウのある人材がいない場合には、計画していたよりも長期間かかる可能性があるため、注意が必要です。
信頼できるコンサルティング会社を利用すると、取得にかかる期間の短縮が見込めます。
費用相場
ISMS(ISO27001)の審査費用相場(業種&人数規模別)
業種 | 1-20名 | 21-50名 | 51-100名 | 101名以上 |
---|---|---|---|---|
製造業・加工業 | 51万円 | 73万円 | 103万円 | 123万円 |
建築・建設業 | 51万円 | 71万円 | 97万円 | 129万円 |
ITサービス | 54万円 | 76万円 | 98万円 | 120万円 |
システム開発 | 53万円 | 74万円 | 97万円 | 120万円 |
WEB制作 | 55万円 | 81万円 | 97万円 | – |
卸売業・小売業 | 52万円 | 77万円 | 104万円 | 114万円 |
コンサル業 | 51万円 | 82万円 | 95万円 | 103万円 |
保険業 | 58万円 | – | 100万円 | 113万円 |
不動産 | 62万円 | – | 97万円 | 113万円 |
※2022年7月調査(ISOプロ調べ)。現在の費用と異なる可能性があるため詳しくはお問合せください。
ISMSの取得には、必ず審査費用がかかります。認証を受ける範囲や認証機関によって異なりますが、50~100万円程度が費用相場となっています。また、コンサルティング会社に依頼すると、コンサルティング料もかかってきます。
ただし、コンサルタントに依頼することで、作業工数や時間を低減できるため、従業員が本業に従事する時間の確保につながります。そのため、結果としてコンサルティング会社に依頼した方がコストを安く抑えられる可能性があります。
まとめ
組織の情報セキュリティを高めるための仕組みであるISMSは、情報の価値が高まっている今日の社会において必要不可欠です。
組織が保有する情報資産を適切に管理することで、リスクに備えることができるだけでなく、対外的な評価を高めるための手段として企業の経営においてもプラスになるというメリットがあります。
このような背景から、近年では多くの企業がISMSを取得しています。自社の情報セキュリティを見直すきっかけとして、ISMSの取得を目指してみてはいかがでしょうか?
ただし、可用性の観点からの取り組みを重視する企業もあり、サーバのデータをクラウドに移行することがISMSのセキュリティ対策となっている場合もあります。
ISMS(ISO27001)取得企業については、一般社団法人情報マネジメントシステム認定センターが公表しています。以下の記事で詳しく解説していますので、ISMSの取得を検討されている方は、ぜひこちらの記事も参考にしてみてください。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい