【簡単解説】ISMS(情報セキュリティマネジメントシステム)とは?認証取得の流れ・メリット・注意点を解説
- ISMSとは、情報資産を保護する「情報セキュリティマネジメントシステム」の略称
- ISMSでは、可用性、機密性、完全性をバランスよく保つことが望ましい
- ISMSは、ITの進歩によりサイバー攻撃や情報漏洩などのリスクを適切に管理するためのもの
近年ではますますIT化が進んでおり、ヒト・モノ・カネに加えて情報も企業の経営資源とみなされるようになってきました。そんな中で近年日本企業の課題になってきているのが企業の情報セキュリティです。
さて、組織における情報セキュリティ管理を行う仕組みのことを「ISMS」と呼びますが、簡単に説明されてもピンとこない方も多いかもしれません。ということで、今回はISMSとは何なのかについて、初めての方にもわかりやすく解説します。
目次
ISMS(情報セキュリティマネジメントシステム)とは
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、企業・組織の情報資産を守るための仕組みのことです。
わかりやすくまとめると、「企業にとって保護すべき情報資産が流出するリスクを防ぎ、使いやすい状態で管理できる体制を構築し、運用すること」を指します。
情報が流出するセキュリティリスクの例には、サイバー攻撃・不正アクセス・マルウェアの侵入・盗難・紛失などが挙げられます。こうしたリスクに対して、個々に対策を取るのではなく、包括的に取り組むことで情報セキュリティを向上させて損失を防ぐことが重要です。
情報漏えいやサイバー攻撃が企業の信用失墜や損害賠償につながる事例は年々増加しており、事業継続のためにもISMSの構築は欠かせない取り組みとなっています。
企業の情報資産を守るための仕組みである情報セキュリティマネジメントシステムISMS。
ISMSの認証制度として、ISO27001などがあります。
ISOプロでは、ISMSの構築や運用の仕方、ISO27001認証の取得方法や取得コスト、審査機関についてまとめた資料をご用意しています。無料でお渡しできますので、ぜひ下記から資料請求ください。
情報セキュリティの三要素
ISMSの基本的な考え方は「情報セキュリティの三要素」に基づいています。これは以下の3つをバランスよく確保することを意味します。
- 機密性:情報に対して許可された個人のみアクセスできる状態
- 完全性:情報および処理方法が正確かつ最新の状態で管理されている状態
- 可用性:許可された個人が必要な時にアクセスできる状態
わかりやすくまとめると、「その情報へのアクセスを許可された人だけ(機密性)が、正確かつ最新の情報(完全性)にアクセスし、使用したいときにいつでも使用できる(可用性)状態」です。
三要素をバランスよく高めるには、多角的に対策を検討することが必要です。
例えば、機密性を高めるために「PCのパスワードを30桁以上にする」という対策を行うと、ログインの手間が増えて業務効率が低下します。
つまり、この対策は可用性を無視した対策であり、現実的ではないことがわかります。
情報セキュリティの三大要素については以下の記事で詳しく解説しているので、合わせてご確認ください。
ISMS認証(ISO27001・Pマーク)との関係
ISMSの代表的な認証制度には、ISO27001とプライバシーマーク(Pマーク)が挙げられます。両者は似た部分もありますが、対象範囲や国際的な位置づけに違いがあります。
ISO27001
ISO27001(JIS Q 27001)とは、国際標準化機構(ISO)が定めた情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。あらゆる情報資産を対象としていることから、業種問わずに取得できます。
ISMSの国際基準として世界中で認知されていることから、入札条件や取引先の要件とされることもあります。
プライバシーマーク(Pマーク)
Pマークは、日本産業規格(JIS Q 15001)に基づく国内の認証制度で、個人情報の適切な取り扱いを重点的に評価する認証です。
対象範囲を「個人情報」に特化している国内規格であるため、国内市場での信頼向上に効果を発揮し、BtoC企業や個人情報を多く扱う事業者(人材サービス、金融など)で取得ニーズが高い点が特徴です。
ISO27001やPマークは、「どのようにISMSを構築すれば、情報資産を適切に保護・管理できるのか」を示すガイドラインといえます。これらの認証を取得することで、自社が国際規格または国内規格の要求事項を満たすISMSを構築・運用していることを、第三者に客観的に証明できるのです。
【アンケート調査】なぜ今、ISMS認証が必要とされているのか?
ISMS認証(ISO27001など)の取得には、費用や工数といった負担が伴います。
それでも、ISMS認証を取得する理由は「情報セキュリティ体制を強化できる」以外に、「取引先や顧客からの信頼を得られる」「取引が優位に行える」ことが大きいでしょう。
「本当にISMS認証は取引に良い影響があるのか不安」という方もいるかもしれません。そこで、IT系中小企業経営者である約1,000人を対象に行ったアンケート調査から「ISMS認証が取引に与える影響」について紹介します。
| Q:世界共通の規格であるISO27001(ISMS:情報セキュリティマネジメントシステム)を取得することで、取引先や顧客からセキュリティに関する信頼が得られると思いますか? |
A:
|
| Q:ISO27001などの認証がないことで実際に契約に至らなかったことはありましたか? |
A:
|
この結果から「ISO27001をはじめとした認証がないために、取引先や顧客から信頼を獲得できず、契約が成立しなかったという企業が多い」ことがわかります。ISO27001などのISMS認証が取引において優位に働く可能性があるといえるでしょう。
「自社の情報セキュリティ管理の課題」に関する実態調査の詳細は、以下の記事をご覧ください。
ISMS認証取得企業の調べ方
ISMS認証の取得は、自社だけの課題解決の手段にとどまらず、取引先企業のセキュリティ状況やサプライチェーン全体のリスク管理にも影響を与える可能性があります。そのため、「ISMS認証を取得すべきか検討している場合」はもちろん、同業他社の取り組みや取引市場の傾向を把握する手段として、認証取得企業を調べることも有効です。
例えば、以下のようなシーンで役立ちます。
- 取引先のセキュリティ体制を事前に確認して信頼性を判断したい場合
- 新規の取引先を選定する際にリスクを見極めたい場合
- 競合企業の取り組み状況を把握し、自社の戦略に活かしたい場合
ISMS認証取得企業の調べ方は、大きく分けて3つの方法があります。
- JIPDEC(日本情報処理開発協会)が運営する「ISMS認証登録組織検索」で検索する
- 登録審査を行っている認証機関の公開情報を確認する
- 企業の公式ホームページをチェックする
このように、公式の検索ツールや企業の公開情報を活用することで、取引先や競合の認証状況を正確に把握することが可能です。
ISO27001の取得企業数や取得が多い業種などの詳細は、以下の記事をご覧ください。
ISMS認証を取得するメリット・デメリット
ここでは、ISMS認証を取得するメリット・デメリットを解説します。
メリット
ISMS認証を取得するメリットをまとめました。
- 情報セキュリティ体制の強化
- 情報セキュリティリスクの低減
- 業務効率向上・ムダなコストの削減
- 取引先や顧客からの信頼獲得
- 取引先の拡大
ISMS認証を取得することで、「情報セキュリティ体制における国際的な基準を満たしている」という証明になります。
そのため、組織内部におけるメリット(情報セキュリティリスクの低減や業務効率化・ムダなコストの削減)だけでなく、取引先や顧客にもプラスの影響を与えることが期待できるでしょう。
デメリット
ISMS認証を取得するデメリットをまとめました。
- ISMS認証を取得するまでに業務負担が増える
- ISMS認証を取得時だけでなく、毎年審査を受ける必要がある
- 審査に費用がかかる
ISMS認証を取得するために書類を作成したり、業務プロセスを見直したりといった新たな業務を行うことが必要です。そのため、ISMS認証を取得する際は社員の業務負担が増加することがよくあります。
またISMS認証は「継続的改善」を掲げているため、取得して完了ではなく取得後も運用し、定期的に審査を受けることが求められます。そのため、審査の度に審査のための業務や費用が発生します。
ISMS認証のメリット・デメリットの詳細は、以下の記事をご覧ください。
ISMS認証の要求事項とは
組織がISMS認証(ISO27001)を取得するには、要求事項を満たしたISMSを構築・運用する必要があります。
ISMS認証の要求事項は以下の10項目に分かれており、それぞれの項目を順番に行うことで情報セキュリティ体制の強化につながります。
| 要求事項 | 概要 |
|---|---|
| 1.適用範囲 | 用語・定義の説明など。 |
| 2.引用規格 | |
| 3.用語及び定義 | |
| 4.組織の状況 | PDCAサイクルのPlan(計画)にあたる部分で、ISMSを構築する段階。 |
| 5.リーダーシップ | |
| 6.計画 | |
| 7.支援 | |
| 8.運用 | PDCAサイクルのDo(実行)にあたる部分で、ISMSを運用する段階。 |
| 9.パフォーマンス評価 | PDCAサイクルのCheck(確認・評価)にあたる部分で、ISMSの有効性・適合性を確認する段階。 |
| 10.改善 | PDCAサイクルのAction(改善)にあたる部分で、ISMSの問題点・課題点を改善する段階。 |
ここでは、各要求事項の項目で求められている内容を解説します。
0.序文
「0.序文」は「なぜISMSが必要なのか」という哲学と、「この規格がどのような思想で設計されているか」という全体像を示し、箇条4以降で詳述される具体的な要求事項への導入的な役割を果たしています。
1.適用範囲~3.用語及び定義
「1.適用範囲~3.用語及び定義」には、ISO27001の適用範囲、用語・定義の説明といった内容が示されています。
実際に企業が取り組むことは記載されていませんが、読んでおくことでISO27001への理解が深まるでしょう。
4.組織の状況
「4.組織の状況」は、組織を取り巻く情報セキュリティの状況を把握し、ISMSの適用範囲を決定する段階です。
組織には企業理念や経営方針などの目的があります。この目的を達成する際に妨げとなる組織内部・外部の課題や利害関係者からのニーズを明確にしたうえで、自社のどの範囲においてISMSを適用させるかを決定します。
5.リーダーシップ
「5.リーダーシップ」は、トップマネジメントの責任や求められる役割について示している項目です。
ここでいうトップマネジメントとは、「ISOに関する方針や目標などの策定、調整、統制などを行う最終責任者」のことです。適用範囲によっては、工場長や部長などがトップマネジメントに該当する場合もあります。
またトップマネジメントが行うこととして、ISMSの方向性や実施するべきことをまとめた「情報セキュリティ方針」を文書化し、組織内部に周知させることを求めています。
6.計画
「6.計画」は、ISMSにおいて取り組むべき内容を計画することを求めている項目です。
具体的には、主に以下の4つについて取り組む必要があります。
リスクアセスメントを実施するプロセスの明確化
リスクアセスメントでは、適用範囲に潜んでいる情報セキュリティリスクを特定し、分析・評価する「リスク特定 ・リスク分析・リスク評価 」を行います。
リスク基準を設け、それぞれのリスクにおける 脅威 ・脆弱性を評価し、情報資産のリスクレベルを決定します。
リスクに関する対策の決定
リスクアセスメントの結果をもとに、ISMSにおいて実施するリスク対応について決定します。
またリスク対応の選択にもとづき、実施に必要な管理策を附属書Aから選択し、適用宣言書・リスク対応計画を作成します。
情報セキュリティ目的の策定
リスクアセスメント・リスク対応の結果をもとに、ISMSの達成度を判定する指標となる情報セキュリティ目的を策定します。
情報セキュリティ目的は、情報セキュリティ方針と整合し、実行可能な限り測定可能な内容にすることが必要です。
情報セキュリティ目的を達成するための計画の策定
情報セキュリティ目的を達成するために実施することや必要な資源、責任者、達成期限、結果の評価方法を記した具体的な計画を作成します。
7.支援
「7.支援」は、ISMSの運用をサポートするために必要な5つの要素において、求めていることを示した項目です。
- 必要な資源(ヒト・モノ・カネ・情報)を決定し、提供すること
- 従業員の力量(スキル・経験など)を明確にし、必要に応じて教育訓練を実施すること
- 各要員が自身の責任や役割を認識すること
- 必要な情報を共有するためのコミュニケーションを取るプロセスを確立すること
- 必要な情報を文書化すること
8.運用
「8.運用」は、「6.計画」で計画した内容を実行し、ISMSの運用における要求事項が示されている項目です。
- リスクアセスメントの実施
- 情報セキュリティ目的を達成するための計画の実施
9.パフォーマンス評価
「9.パフォーマンス評価」は、運用したISMSの有効性や要求事項との適合性について、測定・評価するための要求が示されている項目です。
内部監査を実施し、ISO27001の要求事項との適合性や有効性を確認します。その後、監査結果をもとに、トップマネジメントは「ISMSが意図した成果をあげているかどうか」について評価するマネジメントレビューを行います。
10.改善
『10.改善』は、ISMSの改善を行うための要求事項が示されている項目です。パフォーマンス評価(内部監査など)やマネジメントレビューの結果、特定された不適合に対して是正処置を実施し、ISMSを継続的に改善していくことが求められています。
運用した結果を評価したうえで対策することでISMSの継続的改善を実現させ、組織の情報セキュリティパフォーマンスを継続的に向上できるのです。
ISMS認証取得を成功させるポイント
ここでは、ISMS認証取得を成功させるために、特に重要な3つのポイントを解説します。
トップマネジメントの関与
ISMS認証の成功において重要とされるのが、トップマネジメントの関与です。ISO27001では、経営層が情報セキュリティ方針を策定し、リスク管理に積極的に関与することが求めています。
現場に任せて認証取得を進めると、単なる形式的な対応にとどまり、実効性のある仕組みを構築できません。経営層がリーダーシップを発揮し、情報セキュリティを経営課題の一部として位置づけることで、組織全体に意識が浸透し、認証取得がスムーズに進みます。
継続的な教育と内部監査の実施
ISMS認証取得後も、組織全体でセキュリティ意識を維持するためには、定期的な教育や研修が欠かせません。教育訓練に関する仕組みを整備し、ISMSに関わる人々が必要な力量を確保できる体制を目指しましょう。
また内部監査を継続的に実施することで、運用における課題を早期に発見し、改善につなげることが可能です。単なる認証取得にとどまらず、実際に安全な情報管理体制を組織に根付かせることが可能になります。
外部コンサルタントの活用
ISMS認証は、一般的に6か月~1年程度の長期間にわたり、複雑なプロセスを遂行する必要があります。外部コンサルタントを活用することで、規格の理解不足や手順の抜け漏れを防ぎ、効率的に認証取得を進められます。
特に、文書作成やリスク評価の方法、内部監査のポイントを知るには、専門知識をもつコンサルタントのサポートが大きな強みとなります。また、客観的な視点から自社の運用改善を提案してもらえるため、認証取得後の組織運営にもプラスの影響を与えます。
ISMS認証取得の流れ
ここでは、認証取得の一般的な流れを4つのステップにわけて解説します。
1.事前準備を行う
まずは、ISMS認証取得に向けた事前準備を行います。例えば、以下のような内容を決定します。
- コンサルタントの選定:はじめてISMSを導入する場合や効率的に進めたい場合は、ISO認証に精通した外部コンサルタントの活用が有効です。
- ISMS担当者の選定:社内でISMS構築・運用を推進する責任者やチームを決めます。
- スケジュールの策定:ISMSの構築~審査までのスケジュールを具体的に決定し、各担当者の作業範囲や期限を明確にします。
- 現状分析・情報資産の整理:自社で管理している情報資産や現状のリスク、課題を洗い出し、認証取得に向けた準備を行います。
こうした準備を行うことで、スムーズなISMSの構築・運用につながります。
2.ISMSを構築する
ISMS(情報セキュリティマネジメントシステム)を実際に構築します。
情報セキュリティ方針や運用規程、業務手順書などの文書を整備し、リスク対応策を決定します。
また従業員への教育や研修を行い、適用範囲内において情報セキュリティの認識を共有します。ここで構築した仕組みが、認証審査における基盤となります。
3.ISMSを運用する
構築したISMSを日常業務に組み込み、運用します。一定期間運用したのち、内部監査やリスク評価を実施し、改善点を洗い出して対応策を講じることが求められます。
ISMSを実際に運用し、改善のプロセスを実施することで、実効性のある情報セキュリティ体制を確立しましょう。
4.ISMS認証の審査を受ける
ISMS認証を取得するためには、外部の認証機関(審査機関)による審査を受ける必要があります。
審査は、ISMSの運用状況や作成した文書を確認する「書類審査」と、実際の運用状況を確認する「実地審査」の2段階に区分されています。
審査に合格すると、ISO27001などのISMS認証が付与されます。その後も定期的な維持審査・更新審査を受け、継続的に情報セキュリティを改善し、運用を安定させる必要があります。
ISMS認証の取得・維持に必要な認証審査とは
ISMS認証の取得・維持には、認証機関による認証審査を受ける必要があります。以下に、まずはISMS認証評価制度において欠かせない認証機関や要員認証機関、認定機関について簡単にまとめました。
- 認証機関
- 認証機関とは、ISMSがISO27001に適合しているかどうかを審査し、登録する機関のことです。日本国内に50~80社ほど存在しています。
- 要員認証機関
- 要員認証機関とは、審査員の資格を付与し、登録する機関のことです。認証機関と同様に、認定機関により許可を得ることで、要員認証機関として登録されます。
- 認定機関
- 認定機関とは、各国に基本的に1機関だけ存在し、審査機関である認証機関を認定する組織のことです。ISOの基準に則った審査を実施しているかどうかを公平に保つために存在しています。
ここでは、ISMSの取得・維持するために受けることが必要な認証審査について解説します。
取得審査
取得審査とは、ISMSを取得するための審査のことです。一次審査(文書審査)、二次審査(現地審査)の2つの審査を受け、通過することが必要です。
一次審査
ISMSの構築・運用において作成された文書や運用記録といった文書を確認し、マネジメントシステムが構築・運用されているかを確認します。
二次審査
審査員が適用範囲に含まれている場所を訪問し、対象者と面談して要求事項との適合性を確認します。
維持審査
維持審査とは、認証取得後に毎年受けることが必要な審査です。サーベイランス審査または定期審査と呼ばれることもあります。
基本的に、運用が適切に継続されているかという確認であるため、審査工数や期間は取得審査や更新審査に比べて少ないことが一般的です。
更新審査
更新審査とは、ISMS認証の有効期限である3年おきに行われる審査のことです。再認証審査とも呼ばれています。
3年間の運用状況を確認し、ISMSの基準を満たしているかを再度確認するため、審査工数や期間は維持審査よりも多くなる傾向にあります。
ISMS認証取得にかかる期間と費用相場
ここでは、ISMS認証取得にかかる主な期間と費用相場について紹介します。ISMSを適用する組織の規模や適用範囲、コンサルティング会社を利用するかどうかによって大きく変動するため、目安として参考にしてください。
期間
ISMS認証取得にかかる主な期間は、約6か月~数年となることが一般的です。
発生する課題の是正に時間がかかった場合には、1か月~数年と大きく変動する可能性があります。またスキルやノウハウのある人材がいない場合には、計画していたよりも長期間かかる可能性があるため、注意が必要です。
信頼できるコンサルティング会社に申請サポートを依頼すると、取得にかかる期間の短縮が見込めます。
費用相場
ISMS認証(ISO27001)の審査費用相場は、約50万~130万円です。
以下に、業種別・従業員数別の審査費用をまとめているため、自社が取得する場合の参考にしてください。
ISMS認証(ISO27001)の審査費用相場(業種&人数規模別)
| 業種 | 1-20名 | 21-50名 | 51-100名 | 101名以上 |
|---|---|---|---|---|
| 製造業・加工業 | 51万円 | 73万円 | 103万円 | 123万円 |
| 建築・建設業 | 51万円 | 71万円 | 97万円 | 129万円 |
| ITサービス | 54万円 | 76万円 | 98万円 | 120万円 |
| システム開発 | 53万円 | 74万円 | 97万円 | 120万円 |
| WEB制作 | 55万円 | 81万円 | 97万円 | – |
| 卸売業・小売業 | 52万円 | 77万円 | 104万円 | 114万円 |
| コンサル業 | 51万円 | 82万円 | 95万円 | 103万円 |
| 保険業 | 58万円 | – | 100万円 | 113万円 |
| 不動産 | 62万円 | – | 97万円 | 113万円 |
※2022年7月調査(ISOプロ調べ)。現在の費用と異なる可能性があるため詳しくはお問合せください。
審査費用とは別に、コンサルティング会社にサポートを依頼すると、約50万~150万円のコンサルティング料もかかります。
ただし、コンサルタントに依頼することで、作業工数や時間を低減できるため、従業員が本業に従事する時間の確保につながります。そのため、結果としてコンサルティング会社に依頼した方がコストを安く抑えられる可能性があります。
まとめ
組織の情報セキュリティを高めるための仕組みであるISMSは、情報の価値が高まっている今日の社会において必要不可欠です。
組織が保有する情報資産を適切に管理することで、リスクへの態勢を整備できるだけではなく、対外的な評価を高めるための手段として企業の経営においてもプラスになるというメリットがあります。
このような背景から、近年では多くの企業がISMSを取得しています。自社の情報セキュリティを見直すきっかけとして、ISMSの取得を目指してみてはいかがでしょうか?
ただし、可用性の観点からの取り組みを重視する企業もあり、サーバのデータをクラウドに移行することがISMSのセキュリティ対策となっている場合もあります。
ISMS(ISO27001)取得企業については、一般社団法人情報マネジメントシステム認定センターが公表しています。以下の記事で詳しく解説していますので、ISMSの取得を検討されている方は、ぜひこちらの記事も参考にしてみてください。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
医療機器製造販売会社に特定派遣にて設計開発に従事、FDAの監査を受けるに設計開発にも品質に関わる知識が必要と考えQC検定1級取得。 その後、転職を行い、品質保証を主としながらも経理・総務以外の実務に従事し、マネジメントシステムの基盤を構築。さらなるスキルアップのためにISO9001の審査員補の資格取得の際に、とある御縁でISOセミナー講師となる。 2000年に個人事業主として独立し、ISO14001・45001の審査員資格を得て現在は主任審査員として活動、ISOセミナー講師としても登壇、2024年からISOプロのコンサルタントとして活動開始。