情報セキュリティ認証とは?種類一覧・メリット・取得の流れを完全解説
FAQ情報セキュリティ認証に関するよくある質問
情報セキュリティ認証にはどんなものがあるの?
情報セキュリティ認証には、ISO27001やPマークなどさまざまな種類がある
情報セキュリティ認証を取得するメリットは?
情報セキュリティ認証を取得することで、自社の情報セキュリティ強化だけでなく、取引先や顧客へのアピールにつながる
自社の情報セキュリティ体制を強化したい企業や、取引先から情報セキュリティ認証取得を求められている企業に向けた記事です。昨今、情報セキュリティリスクを低減し、自社の情報資産を保護するために情報セキュリティ認証を取得する企業が増えています。
そこで、この記事では情報セキュリティ認証の種類やメリット、取得する流れを解説します。
目次
情報セキュリティ認証とは?
情報セキュリティ認証とは、企業や組織が構築・運用している情報セキュリティ管理体制が、一定の基準を満たしていることを第三者機関が審査し、認証する仕組みの総称です。
簡単にいうと、社内で情報セキュリティ対策を整えるだけでなく、その取り組みを客観的に評価してもらう、という制度です。
情報セキュリティ認証は、ISO27001やPマークなどが多くの企業で取り入れられています。情報セキュリティ管理体制を構築・運用したうえで、第三者機関による登録審査を受け、問題なければ認証を取得することが可能です。
近年は、情報漏えいやサイバー攻撃のリスクが高まっていることから、情報セキュリティ対策は企業にとって重要な経営課題となっています。その流れを受け、対策の実効性や信頼性を対外的に示す手段として、情報セキュリティ認証を取得する企業が増えています。
そもそも情報セキュリティとは
情報セキュリティとは、「組織が保有する情報資産を、適切に保護・管理する取り組み」のことです。情報資産には、顧客情報や取引先情報といった個人・機密情報だけでなく、業務データ、社内資料、システムそのものも含まれます。
これらの情報が外部に漏えいしたり、不正に改ざんされたり、必要なときに利用できなくなったりすると、企業の信用低下や事業継続への重大な影響につながります。そのため、情報セキュリティは、IT部門などの限られた部門だけの問題ではなく、組織全体で取り組むべき重要な課題です。
情報セキュリティの3要素とは?
情報セキュリティ対策を考えるうえで基本となる考え方が、「機密性」「完全性」「可用性」の3要素です。多くの情報セキュリティ認証や規格も、この3要素を軸に構成されています。
- 機密性:情報に対して許可された個人のみアクセスできる状態
- 完全性:情報および処理方法が正確かつ最新の状態で管理されている状態
- 可用性:許可された個人が必要な時にアクセスできる状態
この3つの要素をバランスよく改善し、高めていくことで、「使いたい情報を使いたいときに、アクセスを許された人のみが、正確かつ最新の情報を活用できる状態」の実現につながります。
情報セキュリティ認証の必要性
企業が情報セキュリティ認証を取得する必要性について、従業員数300人以下のIT系中小企業経営者約1,000人を対象に、ISOプロが行ったアンケートから紹介します。
情報セキュリティ認証の一つであるISO27001を取得することで「取引先や顧客からの信頼を得られるか」「契約に影響を与えるか」という点について質問したところ、以下のような結果が得られました。
| Q | 情報セキュリティ認証の一つであるISO27001を取得することで、取引先や顧客からセキュリティに関する信頼が得られると思いますか? |
|---|---|
| A |
|
| Q | ISO27001などの認証がないことで実際に契約に至らなかったことはありましたか? |
|---|---|
| A |
|
この結果から、多くの企業において情報セキュリティ認証が「取引先や顧客からの信頼獲得につながる」「契約に良い影響を与える」と実感していることがわかります。
情報セキュリティ認証を取得するメリット
情報セキュリティ認証を取得するメリットは、以下のとおりです。
- 情報セキュリティ体制の強化
- 対外的な信頼の獲得
- 従業員の意識向上
ここでは、情報セキュリティ認証を取得するメリットについて、取得前と比べた変化やメリットが得られる理由について解説します。
情報セキュリティ体制の強化
企業や組織が情報セキュリティ認証を取得すると、情報セキュリティ体制の強化につながるメリットがあります。情報セキュリティ認証を取得する過程で情報セキュリティ方針を策定し、自社の状況に合わせた情報セキュリティリスクへの対策を実施するためです。
そのため、自社の情報資産が情報セキュリティリスクにさらされる可能性を低減し、組織全体の情報セキュリティ体制を強化できます。
対外的な信頼の獲得
対外的な信頼の獲得につながるのも、情報セキュリティ認証を取得するメリットです。情報セキュリティ認証を取得すると、「情報セキュリティ認証の要件を満たし、第三者機関の審査をクリアした組織」であるという証明を得ることにつながります。
そのため、「情報資産が適切に取り扱われていること」を顧客や取引先などに対し、アピールすることが可能です。競合他社との差別化にも役立ちます。
また最近では取引条件や公共事業の入札の基準として、情報セキュリティ認証の取得が挙げられることもあります。新規顧客や新規取引の開拓にもつながるでしょう。
従業員の意識向上
情報セキュリティ認証を取得した場合、従業員の意識向上につながるメリットも見込まれます。情報セキュリティ認証を取得するには、従業員に対する情報セキュリティの教育が要件に含まれているため、実施が不可欠です。
情報セキュリティ認証の取得に向けて、従業員に教育を行い、日々の情報セキュリティ対策を実施すれば、従業員の情報セキュリティに対する意識が向上します。
優れたシステムや仕組みを構築しても、それを取り扱うのは社員です。情報資産を適切に取り扱うように一人ひとりが意識することで、情報セキュリティリスクに遭遇する可能性を低減できるでしょう。
情報セキュリティ認証を取得するデメリット
情報セキュリティ認証を取得するデメリットは、以下のとおりです。
- 認証取得に費用がかかる
- 新たに作業が発生する
- 取得後も審査対応が必要
情報セキュリティ認証を取得するデメリットや、それをカバーする対策方法について解説します。
認証取得に費用がかかる
情報セキュリティ認証を取得する際、費用がかかるデメリットがあります。第三者機関による認証審査(取得審査)を受ける必要があるため、必ず審査費用がかかります。
また直接新たに計上する費用ではないものの、認証取得に向けた担当者の人件費や、コンサルに依頼する場合にはコンサルタント料も考慮しなければなりません。
こうした費用を捻出しなければならないため、事前にコンサルタントに見積もりを依頼することで、取得にかかる費用総額の目安を確認しておくことが大切です。
また、認証取得後の維持・更新費用についても、把握しておく必要があります。
新たに作業が発生する
情報セキュリティ認証を取得するには、各規格要求事項で求められている内容を満たすマネジメントシステムを構築・運用することが必要です。そのため、「本来の業務+情報セキュリティ認証取得のための作業」という形になり、従業員の作業量が増えます。
要求事項を満たすために、自社の実情に適していないマネジメントシステムを構築してしまった場合には、特に作業負担が大きくなるケースがよくあります。
取得後も審査対応が必要
情報セキュリティ認証は、取得したら永続的に認証されるものではなく、定期的に審査を受ける必要があります。
この理由には、マネジメントシステムの継続的改善を目指していることが挙げられます。そこで、定期的に「取得後も要求事項に適合したマネジメントシステムを運用しているか」を審査されるのです。
そのため、取得後にも担当者は審査対応が求められます。審査で必要になる文書作成・記録の整理、審査日程の調整などさまざまな対応が必要になるため、担当者の作業負担が増える可能性があります。
ただし、ここで解説した情報セキュリティ認証取得におけるデメリットは、信頼できるコンサルに依頼することで、軽減できる可能性があります。取得を検討している組織の方は、自社が情報セキュリティ認証を取得する場合の費用や工数について、コンサルに相談してみることがおすすめです。
代表的な情報セキュリティ認証の種類一覧
代表的な情報セキュリティ認証には、ISO27001・ISO27017・ISO27701などの国際規格が挙げられます。国際標準化機構(ISO)が発行している国際規格であり、「ISMSにおける世界レベルの基準をクリアした組織を認証する規格」です。また、Pマークという日本国内で有効な個人情報保護に特化した規格もあります。
こうした規格は、取引先や顧客に自社の体制の有効性の証明手段になることから、国内外において多くの組織が取得しています。ここから、それぞれの情報セキュリティ認証について詳しく解説します。
ISO27001
ISO27001とは、「情報セキュリティマネジメントシステム(ISMS)に関するISO規格」です。
情報セキュリティ全般が対象範囲となっており、このあと解説するISO27017やISO27701などのISO27000シリーズにおいても中核となる規格です。
ISO27001では、組織が保有する情報資産を情報リスクから保護し、適切に管理するために、情報セキュリティの三要素である「機密性」「完全性」「可用性」をバランスよく高めることを目指しています。
ISO27001の詳細は、以下の記事をご覧ください。
ISO27017
ISO27017とは、情報セキュリティのうち「クラウドセキュリティに特化したISO規格」です。クラウドサービスに適応するために、ISMSで構築したシステムの改良が求められます。
ISO27017を取得できる事業者は、以下のいずれかに当てはまる事業者に限定されています。
- クラウドサービスを提供している事業者(クラウドサービスプロパイダ)
- クラウドサービスを利用している事業者(クラウドサービスカスタマ)
- クラウドサービスを利用・提供している事業者
またISO27001のアドオン認証(拡張認証)であるため、単独での取得はできません。必ずISO27001と同時に取得するか、先にISO27001を取得する必要があります。適用範囲においても、ISO27001と同じか範囲以内での取得となります。
ISO27017の詳細は、以下の記事をご覧ください。
ISO27701
ISO27701とは、情報セキュリティのうち、プライバシーに特化した情報マネジメントシステム(PIMS)に関するISO規格です。組織が取り扱う個人情報に限定し、プライバシーの観点からの保護を目指します。
またISO27017と同様に、ISO27001のアドオン認証(拡張認証)であるため、単独での取得はできません。必ずISO27001と同時に取得するか、先にISO27001を取得する必要があります。適用範囲においても、ISO27001と同じか範囲以内での取得となります。
ISO27701の詳細は、以下の記事をご覧ください。
Pマーク
Pマークとは、個人情報保護マネジメントシステム(PMS)に関する国内規格です。
上記3つの規格とは異なり、一般財団法人日本情報経済社会推進協会(JIPDEC)が運営しているため、日本国内でのみ効力を発揮します。
個人情報保護法に基づいた対策を導入することで、個人情報保護における情報漏えいや紛失、改ざん、不正利用などの情報リスクを低減するための仕組みを構築・運用します。
ISO27701との違いを以下にまとめました。
| 規格 | ISO27701 | Pマーク |
|---|---|---|
| 規格の種類 | 国際規格 | 国内規格 |
| 適用範囲 | 取得企業が決められる(企業全体、事業所単位、部署単位など) | 企業全体 |
| 要求事項の特徴 | 企業の状況に合わせてルール・文書管理を行う | 作成するルール・文書が決められている |
| 取得がおすすめの企業の特徴 |
|
|
Pマークの詳細は、以下の記事をご覧ください。
どの情報セキュリティ認証を取得するべき?
情報セキュリティ認証を取得する際は、自社の事業内容や取り扱う情報の性質、取引先からの要求に合った認証を選ぶことが大切です。
ここでは、先ほど紹介したISO27001・ISO27017・ISO27701・Pマークについて、「対象となる情報資産」「どのような企業が特徴しているか」をまとめました。どの情報セキュリティ認証を取得すべきか迷った場合に参考にしてください。
| 規格 | 主な対象 | 向いている企業の特徴 |
|---|---|---|
| ISO27001(ISMS) | すべての情報資産 | 情報セキュリティ全般を体系的に管理したい企業。業種・規模を問わず、まず取得を検討すべき基本的な認証。 |
| ISO27017 | クラウド環境の情報資産 | クラウドサービスを提供している、またはクラウドを前提としたシステム開発・運用を行っている企業。 |
| ISO27701 | 個人情報(プライバシー情報) | 個人情報の取り扱いを強化したい企業。海外取引や国際的な個人情報保護への対応が求められる企業。 |
| Pマーク | 個人情報 | 日本国内での取引が中心で、BtoCや官公庁・国内企業との取引が多い企業。 |
情報セキュリティ認証を取得する流れ
ここでは、情報セキュリティ認証を取得する流れを解説します。ただし、各規格によって必要な要件は異なります。あくまで目安としてご覧ください。
1.取得する情報セキュリティ認証を決定する
まずは、取得する情報セキュリティ認証を決定しましょう。
自社に適した情報セキュリティ認証がわからない場合には、ISO規格やPマークの取得サポートをしているコンサルティング会社に相談することがおすすめです。自社の目的や課題、現状のヒアリングを行ったのち、適した認証を提案してくれるでしょう。
| 規格 | 取得が多い企業の業種・特徴 |
|---|---|
| ISO27001 |
|
| ISO27017 |
|
| ISO27701 |
|
| Pマーク |
|
自社に適した情報セキュリティ認証がわからない場合には、ISO規格やPマークの取得サポートをしているコンサルティング会社に相談することがおすすめです。自社の目的や課題、現状のヒアリングを行ったのち、適した認証を提案してくれるでしょう。
2.情報セキュリティ認証取得の準備
取得する情報セキュリティ認証が決まったら、取り組みを始める前に準備を実施します。具体的には、以下の内容を行います。
- 経営層による認証取得のコミットメントを行う
- 認証規格の取得に取り組むプロジェクトチームや担当者の選定
- 認証取得までの計画の策定
- 認証を取得することを従業員に周知する
3.情報セキュリティマネジメントシステムの構築
各情報セキュリティ認証の要求事項に則って、情報セキュリティマネジメントシステム(ISMS)を構築します。
ここでは、ISO27001を例にして要求事項について解説します。ISO27001の要求事項は以下の10章から構成されています。
- 適用範囲
- 引用規格
- 用語及び定義
- 組織の状況
- リーダーシップ
- 計画
- 支援
- 運用
- パフォーマンス評価
- 改善
「1.適用範囲~3.用語及び定義」はISO27001の説明であり、実際に取り組むのは「4.組織の状況~10.改善」です。
ISMSの構築にかかる部分は、「4.組織の状況~7.支援」までの項目です。組織内外の課題やニーズを把握、トップマネジメントによるリーダーシップ、リスクの特定や分析、評価、文書管理などに関する要件が示されています。
4.情報セキュリティマネジメントシステムの運用
構築したISMSを実際に運用する段階です。先ほどのISO27001を例にした場合、ISMSの運用における要求事項は「8.運用~10.改善」までが該当します。
ここでは日々のリスク対応における運用記録の作成、情報セキュリティパフォーマンス評価を行うこと、内部監査・マネジメントレビューなどに関する要件が示されています。
5.審査を受ける
情報セキュリティマネジメントシステムを構築・運用し、各情報セキュリティ認証の要求事項を満たしたら、審査機関による取得審査を受けましょう。
ISO27001を例にすると、取得審査は一次審査(文書化した書類や運用記録などの書類審査)と二次審査(現場に訪問して行う実地審査)の2つの審査をクリアすることが必要です。
無事に要求事項への適合性が認められれば、情報セキュリティ認証を取得できます。
まとめ
この記事では、情報セキュリティ認証の種類やメリット、取得する流れを解説しました。
情報セキュリティ認証とは、自社の保有する情報資産を管理・保護し、情報セキュリティリスクに遭遇する可能性を低減するための仕組みを構築・運用することです。
情報セキュリティ認証を取得することは、これからのIT社会で事業展開において欠かせない取り組みの一つといえます。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい