【入門】情報セキュリティ認証とは?種類やメリットを解説
- 情報セキュリティ認証には、ISO27001やPマークなどさまざまな種類がある
- 情報セキュリティ認証を取得することで、自社の情報セキュリティ強化だけでなく、取引先や顧客へのアピールにつながる
自社の情報セキュリティ体制を強化したい企業や、取引先から情報セキュリティ認証取得を求められている企業に向けた記事です。昨今、情報セキュリティリスクを低減し、自社の情報資産を保護するために情報セキュリティ認証を取得する企業が増えています。
そこで、この記事では情報セキュリティ認証の種類やメリット、取得する流れを解説します。
目次
情報セキュリティ認証とは
情報セキュリティ認証とは、「情報セキュリティ管理体制に関する規格の総称」です。
情報セキュリティ管理体制を構築・運用したうえで、第三者機関による登録審査を受け、問題なければ認証できます。
社会的なニーズとして情報セキュリティ対策を実施する必要性が高まっていることから、情報セキュリティ認証を取得する企業が増えています。
情報セキュリティ認証の必要性
企業が情報セキュリティ認証を取得する必要性において、従業員数300人以下のIT系中小企業経営者約1,000人に行ったアンケートから紹介します。
情報セキュリティ認証の一つであるISO27001を取得することで「取引先や顧客からの信頼を得られるか」「契約に影響を与えるか」という点について質問したところ、以下のような結果が得られました。
| Q | 情報セキュリティ認証の一つであるISO27001を取得することで、取引先や顧客からセキュリティに関する信頼が得られると思いますか? |
|---|---|
| A |
|
| Q | ISO27001などの認証がないことで実際に契約に至らなかったことはありましたか? |
|---|---|
| A |
|
この結果から、多くの企業において情報セキュリティ認証が「取引先や顧客からの信頼獲得につながる」「契約に良い影響を与える」と実感していることがわかります。
そもそも情報セキュリティとは
情報セキュリティとは、「組織が保有する情報資産を保護・管理すること」です。
不正アクセスやサイバー攻撃などのさまざまな情報セキュリティリスクから情報資産を管理するために、情報セキュリティでは以下の3つの要素が重視されています。
- 機密性:情報に対して許可された個人のみアクセスできる状態
- 完全性:情報および処理方法が正確かつ最新の状態で管理されている状態
- 可用性:許可された個人が必要な時にアクセスできる状態
この3つの要素をバランスよく改善し、高めていくことで、「使いたい情報を使いたいときに、アクセスを許された人のみが、正確かつ最新の情報を活用できる状態」の実現につながります。
情報セキュリティ認証を取得するメリット
ここでは、情報セキュリティ認証を取得するメリットを解説します。
情報セキュリティ体制の強化
情報セキュリティ認証を取得する過程で情報セキュリティ方針を策定し、自社の状況に合わせた情報セキュリティリスクへの対策を実施します。
そのため、自社の情報資産が情報セキュリティリスクにさらされる可能性を低減し、組織全体の情報セキュリティ体制を強化できます。
対外的な信頼の獲得
情報セキュリティ認証を取得することで、「情報セキュリティ認証の要件を満たし、第三者機関の審査をクリアした組織」であるという証明を得ることにつながります。
そのため、「情報資産が適切に取り扱われていること」を顧客や取引先などに対し、アピールすることが可能です。競合他社との差別化にも役立ちます。
また最近では取引条件や公共事業の入札の基準として、情報セキュリティ認証の取得が挙げられることもあります。新規顧客や新規取引の開拓にもつながるでしょう。
従業員の意識向上
情報セキュリティ認証を取得するには、従業員に対する情報セキュリティの教育も要件に含まれています。教育を行い、日々の情報セキュリティ対策を実施する中で、従業員の情報セキュリティに対する意識も向上します。
優れたシステムや仕組みを構築しても、それを取り扱うのは社員です。情報資産を適切に取り扱うように一人ひとりが意識することで、情報セキュリティリスクに遭遇する可能性を低減できるでしょう。
情報セキュリティ認証を取得するデメリット
情報セキュリティ認証を取得するデメリットを解説します。
認証取得に費用がかかる
情報セキュリティ認証を取得するには、第三者機関による認証審査(取得審査)を受ける必要があります。そのため、必ず審査費用がかかります。
また直接新たに計上する費用ではないものの人件費や、依頼する場合にはコンサルタント料も考慮しなければなりません。
こうした費用を捻出しなければならないため、事前にコンサルタントに見積もりを依頼することで、取得にかかる費用総額の目安を確認できるでしょう。
新たに作業が発生する
情報セキュリティ認証を取得するには、各規格要求事項で求められている内容を満たすマネジメントシステムを構築・運用することが必要です。そのため、「本来の業務+情報セキュリティ認証取得のための作業」という形になり、従業員の作業量が増えます。
要求事項を満たすために、自社の実情に適していないマネジメントシステムを構築してしまった場合には、特に作業負担が大きくなるケースがよくあります。
取得後も審査対応が必要
情報セキュリティ認証は、取得したら永続的に認証されるものではなく、定期的に審査を受ける必要があります。
この理由には、マネジメントシステムの継続的改善を目指していることが挙げられます。そこで、定期的に「取得後も要求事項に適合したマネジメントシステムを運用しているか」を審査されるのです。
そのため、取得後にも担当者は審査対応が求められます。審査で必要になる文書作成・記録の整理、審査日程の調整などさまざまな対応が必要になるため、担当者の作業負担が増える可能性があります。
ただし、ここで解説した情報セキュリティ認証取得におけるデメリットは、信頼できるコンサルに依頼することで、軽減できる可能性があります。取得を検討している組織の方は、自社が情報セキュリティ認証を取得する場合の費用や工数について、コンサルに相談してみることがおすすめです。
ISO27001・ISO27017・ISO27701は、国際標準化機構(ISO)が発行している国際規格です。国際規格というとわかりにくいかもしれませんが、「ISMSにおける世界レベルの基準をクリアした組織を認証する規格」であり、国内外において多くの組織が取得しています。
ここから、それぞれの情報セキュリティ認証について詳しく解説します。
ISO27001
ISO27001とは、「情報セキュリティマネジメントシステム(ISMS)に関するISO規格」です。
情報セキュリティ全般が対象範囲となっており、このあと解説するISO27017やISO27701などのISO27000シリーズにおいても中核となる規格です。
ISO27001では、組織が保有する情報資産を情報リスクから保護し、適切に管理するために、情報セキュリティの三要素である「機密性」「完全性」「可用性」をバランスよく高めることを目指しています。
ISO27001の詳細は、以下の記事をご覧ください。
ISO27017
ISO27017とは、情報セキュリティのうち「クラウドセキュリティに特化したISO規格」です。クラウドサービスに適応するために、ISMSで構築したシステムの改良が求められます。
ISO27017を取得できる事業者は、以下のいずれかに当てはまる事業者に限定されています。
- クラウドサービスを提供している事業者(クラウドサービスプロパイダ)
- クラウドサービスを利用している事業者(クラウドサービスカスタマ)
- クラウドサービスを利用・提供している事業者
またISO27001のアドオン認証(拡張認証)であるため、単独での取得はできません。必ずISO27001と同時に取得するか、先にISO27001を取得する必要があります。適用範囲においても、ISO27001と同じか範囲以内での取得となります。
ISO27017の詳細は、以下の記事をご覧ください。
ISO27701
ISO27701とは、情報セキュリティのうち、プライバシーに特化した情報マネジメントシステム(PIMS)に関するISO規格です。組織が取り扱う個人情報に限定し、プライバシーの観点からの保護を目指します。
またISO27017と同様に、ISO27001のアドオン認証(拡張認証)であるため、単独での取得はできません。必ずISO27001と同時に取得するか、先にISO27001を取得する必要があります。適用範囲においても、ISO27001と同じか範囲以内での取得となります。
ISO27701の詳細は、以下の記事をご覧ください。
Pマーク
Pマークとは、個人情報保護マネジメントシステム(PMS)に関する国内規格です。
上記3つの規格とは異なり、一般財団法人日本情報経済社会推進協会(JIPDEC)が運営しているため、日本国内でのみ効力を発揮します。
個人情報保護法に基づいた対策を導入することで、個人情報保護における情報漏えいや紛失、改ざん、不正利用などの情報リスクを低減するための仕組みを構築・運用します。
ISO27701との違いを以下にまとめました。
| ISO27701 | Pマーク | |
| 規格の種類 | 国際規格 | 国内規格 |
| 適用範囲 | 取得企業が決められる(企業全体、事業所単位、部署単位など) | 企業全体 |
| 要求事項の特徴 | 企業の状況に合わせてルール・文書管理を行う | 作成するルール・文書が決められている |
| 取得がおすすめの企業の特徴 |
|
|
Pマークの詳細は、以下の記事をご覧ください。
情報セキュリティ認証を取得する流れ
ここでは、情報セキュリティ認証を取得する流れを解説します。ただし、各規格によって必要な要件は異なります。あくまで目安としてご覧ください。
1.取得する情報セキュリティ認証を決定する
まずは、取得する情報セキュリティ認証を決定しましょう。以下に、ここで紹介した規格において取得が多い業種や特徴についてまとめましたので、検討する際の参考にしてください。
| 規格 | 取得が多い企業の業種・特徴 |
|---|---|
| ISO27001 |
|
| ISO27017 |
|
| ISO27701 |
|
| Pマーク |
|
自社に適した情報セキュリティ認証がわからない場合には、ISO規格やPマークの取得サポートをしているコンサルティング会社に相談することがおすすめです。自社の目的や課題、現状のヒアリングを行ったのち、適した認証を提案してくれるでしょう。
2.情報セキュリティ認証取得の準備
取得する情報セキュリティ認証が決まったら、取り組みを始める前に準備を実施します。具体的には、以下の内容を行います。
- 経営層による認証取得のコミットメントを行う
- 認証規格の取得に取り組むプロジェクトチームや担当者の選定
- 認証取得までの計画の策定
- 認証を取得することを従業員に周知する
3.情報セキュリティマネジメントシステムの構築
各情報セキュリティ認証の要求事項に則って、情報セキュリティマネジメントシステム(ISMS)を構築します。
ここでは、ISO27001を例にして要求事項について解説します。ISO27001の要求事項は以下の10章から構成されています。
- 適用範囲
- 引用規格
- 用語及び定義
- 組織の状況
- リーダーシップ
- 計画
- 支援
- 運用
- パフォーマンス評価
- 改善
「1.適用範囲~3.用語及び定義」はISO27001の説明であり、実際に取り組むのは「4.組織の状況~10.改善」です。
ISMSの構築にかかる部分は、「4.組織の状況~7.支援」までの項目です。組織内外の課題やニーズを把握やトップマネジメントによるリーダーシップ、リスクの特定や分析、評価、文書管理などに関する要件が示されています。
4.情報セキュリティマネジメントシステムの運用
構築したISMSを実際に運用する段階です。先ほどのISO27001を例にした場合、ISMSの運用における要求事項は「8.運用~10.改善」までが該当します。
ここでは日々のリスク対応における運用記録を記録、情報セキュリティパフォーマンス評価を行うこと、内部監査・マネジメントレビューなどに関する要件が示されています。
5.審査を受ける
情報セキュリティマネジメントシステムを構築・運用し、各情報セキュリティ認証の要求事項を満たしたら、審査機関による取得審査を受けましょう。
ISO27001を例にすると、取得審査は一次審査(文書化した書類や運用記録などの書類審査)と二次審査(現場に訪問して行う実地審査)の2つの審査をクリアすることが必要です。
無事に要求事項への適合性が認められれば、情報セキュリティ認証を取得できます。
まとめ
この記事では、情報セキュリティ認証の種類やメリット、取得する流れを解説しました。
情報セキュリティ認証とは、自社の保有する情報資産を管理・保護し、情報セキュリティリスクに遭遇する可能性を低減するための仕組みを構築・運用することです。
情報セキュリティ認証を取得することは、これからのIT社会で事業展開において欠かせない取り組みの一つといえます。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい