Written by WizLANSCOPE編集部
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
目 次
ISMS認証とは、企業・組織の情報セキュリティマネジメントシステムが「ISO/IEC 27001」に準拠していることを認証する制度です。
ISMS認証を取得すると、適切なセキュリティ環境の構築に繋がるだけでなく、顧客や取引先からの信頼を獲得できるというメリットがあります。
本記事では、ISMS認証の概要や取得するメリット、取得の流れなどを解説します。
▼本記事でわかること
- ISMS認証の概要
- ISMS認証を取得するメリット
- ISMS認証取得の流れ
また本記事では、ISMS認証の取得に役立つツールとして「LANSCOPEエンドポイントマネージャー クラウド版」についても紹介します。
ISMS認証の取得をご検討されている方はぜひご一読ください。
ISMS認証とは?
「ISMS」とは、Information Security Management Systemの頭文字を取った言葉で、情報セキュリティマネジメントシステムを意味します。
この情報セキュリティマネジメントシステムは、企業・組織が持つ情報資産を守るための仕組みや管理体制を指します。
そして、この「ISMS」が、国際規格である「ISO/IEC 27001」に準拠して運用されていることを、第三者機関が審査し、認める制度が「ISMS認証」です。
「ISO/IEC 27001」とは、ISMSを構築・運用する上で満たさなければならない、要件やルールを国際的な規格として定めたものです。
ISMS認証が創設された2002年当時、認証を取得していた企業は144社ほどでしたが、情報漏洩やサイバー攻撃への関心が高まるに連れて取得企業数は増加し、2025年7月時点では、8,000社を超える企業がISMS認証を取得しています。
ISMS認証を取得している企業の一覧は、「情報マネジメントシステム認定センター(ISMS-AC)」で確認することが可能です。
ISMS認証に必要な情報セキュリティ3要素
ISMSの規定に則るには、情報セキュリティにおける3つの要素「機密性」「完全性」「可用性」が担保された状態でなければなりません。
| 機密性 | 許可された者のみ「情報資産」にアクセスでき、許可されていない者はアクセスできない状態であること |
|---|---|
| 完全性 | 「情報資産」が不正に改ざんや削除をされず、正確で信頼できる状態であること |
| 可用性 | 許可された者が、必要な時に「情報資産」に速やかにアクセスでき、活用できる状態であること |
組織が情報資産を扱う上では、この「機密性」「完全性」「可用性」の3要素が、バランスよく満たされていることが重要です。
社内で情報の取り扱いに関するセキュリティルール等を策定する際には、これらの順守を意識して進行することが望ましいでしょう。
ISMS認証と「Pマーク」の違い
ISMS認証と混合されやすい言葉に「Pマーク(プライバシーマーク」が挙げられます。
Pマークは、「個人情報の取り扱い」に特化した認定制度で、取得することで「個人情報の取り扱いにおいて一定のレベルを満たしている」ことを証明できます。
一方でISMS認証は、「個人情報を含めたすべての情報資産」対象として、管理・マネジメントを評価する制度です。
そのため、取得することでPマークよりも幅広い範囲で、十分なセキュリティ管理をおこなっていることを証明できます。
また、Pマークは日本国内の制度であるのに対して、ISMS認証は国際規格の制度であることから、ISMS認証を取得すると、日本国内だけでなく海外拠点などでも信頼構築につながるメリットがあります。
情報セキュリティの3要素である「機密性」「完全性」「可用性」を維持し、安全な情報の取り扱いや保管をおこなうことがISMS認証の目的と言えます。
| プライバシーマーク | ISMS | |
|---|---|---|
| 開始日 | 1998年4月 | 2002年4月 |
| 認定機関 | 一般財団法人日本情報経済社会推進協会(JIPDEC) | 一般社団法人情報マネジメントシステム認定センター(ISMS-AC) |
| 審査基準 | JIS Q 15001:2017 | ISO27001:2013 |
| 有効期限 | 2年 | 3年(ただし1年ごとに継続審査) |
| 保護領域 | 個人情報保護 個人情報のみが守るべき対象で、個人情報保護規定を満たすことが目的 |
情報セキュリティ 全ての情報が守るべき対象で、情報セキュリティの3大要素を高めることが目的 |
| 保護対象 | 法人単位 | 部署単位など |
ISMS認証を取得するメリット
ISMS認証を取得することで、以下のようなメリットを期待できます。
- 顧客からの信頼性の向上
- 入札できる案件の増加
- 自社のセキュリティ体制の強化
ISMS認証の取得を検討されている方は、ぜひ参考にしてみてください。
顧客からの信頼性の向上
ISMS認証を取得することで、自社が、情報セキュリティに関する国際基準を満たしていることを証明できます。
公的に保証された基準を満たしていることがわかると、取引先や顧客からの信頼を獲得しやすくなり、ビジネスの拡大や開拓につながる可能性も高まるでしょう。
入札できる案件の増加
官公庁や自治体からの仕事を請け負う要件として、ISMS認証の取得が含まれているケースがあります。
つまり、ISMS認証を取得することで、ISMS認証を取得していない企業・組織よりも、入札できる案件の幅を広げることができるのです。
また、昨今は行政機関だけでなく、民間の企業においても、取引先の条件としてISMS認証を求める動きが広がっています。
ISMS認証の取得は、競合他社との差別化や競争優位性の確保にもつながります。
自社のセキュリティ体制の強化
ISMS認証を取得するためには、情報セキュリティ方針の策定やリスクアセスメント、従業員への教育、内部監査などをおこなう必要があります。
さらに、認証取得後もこれらの取り組みを継続的に実施・改善することが求められます。
つまり、ISMS認証を取得する過程や継続的な取り組み自体が、自社のセキュリティ体制の強化につながるといえるでしょう。
ISMS認証を取得するデメリット
ISMS認証の取得には、取引先や顧客からの信頼向上や自社のセキュリティ体制の強化といったメリットがある一方で、注意すべきデメリットもあります。
まず、認証取得には多くの工数とコストがかかる点を考慮する必要があります。
たとえば、各種文書の作成や担当者の任命、運用に向けた改善など、多くの作業が必要になります。
さらに、認証取得後にも、ISMSの観点から制定されたさまざまなルールを継続的に遵守・運用することが求められます。
つまり、ISMS認証の取得と維持には、人件費や環境整備のための予算など、多くのコストが必要となります。
しかしながら、適切なセキュリティ環境を整備することは、情報セキュリティへの関心が高まる現代において、必要不可欠な取り組みといえるでしょう。
持続的な企業活動を実現するためにも、ISMS認証の取得は、企業にとっては取り組むべき重要な課題であり、積極的に取得することが推奨されます。
ISMS認証を取得する流れ
ISMS認証は、前述のISO27001に定められた規格を満たし、認証機関から認証されることで取得できます。
ここでは、組織内でのISMS整備フェーズと、認証機関による認証フェーズに分けて、ISMS認証を取得する流れを解説します。
ISMSの整備
まずは、組織内でのISMSを整備する際の基本的な流れを、5つのステップに分けて解説します。
1.適用範囲と体制の策定
組織を取り巻く環境や現状の課題、利用しているシステムを整理して、ISMSを適用する範囲を決定します。
同時に、ISMSを維持・運用するための体制を明確化し、責任者や担当者を任命しましょう。
2.情報セキュリティ方針の策定
次に、ISMSをどのような方針で取り組むか、組織のあるべき姿や解決するべき課題を文書化します。
ここでは、組織としての方針を定めるため、経営層やCISO(最高情報セキュリティ責任者)の参加が必要です。
3.ISMS文書の作成
次に、策定した方針を具体的に実現するための文書を作成します。
通常は、「どのようなマネジメントをおこなうのか」の管理系の文書と、「どのようなセキュリティ対策を施すのか」のセキュリティ系文書の2種類に整理されます。
4.リスクアセスメントの実施
組織における脅威やリスクを特定し、リスク度合いや対処をおこなう優先度を整理します。
必要に応じて、特定したリスクへの対応策を文書化します。
5.ISMS運用
作成したISMS文書に基づいて、ISMSを実際に運用します。従った運用をおこないます。
このフェーズには、ISMS活動に関するレビュー、教育・訓練の実施、リスク対応なども含まれ、運用だけでなく、継続的な改善も求められます。
認証機関による審査と認定
次に、認証機関における審査と認定の基本的な流れを6つのステップに分けて解説します。
1.認証機関へ審査申請
まず、ISMSを審査してもらうための申請をおこないます。
認証機関は複数あるため、任意の認証機関を選択します。
業務の専門性やオフィスの所在地によっては、特定の認証機関では対応できないケースもあるため、事前に確認しておきましょう。
※ 参考:情報マネジメントシステム認定センター「ISMS認証機関一覧」
2.一次審査
提出したISMS文書が、ISO2700の要求事項を満たしているかの審査がおこなわれます。
経営層や管理職も参加し、組織が認識している課題やセキュリティ方針に関するヒアリングもおこなわれます。
不備がある場合は、修正対応が必要です。
3.二次審査
次に、審査員が実際に組織を訪問し、ISMSの文書通りに運用されているかの審査がおこなわれます。
一次審査で確認された組織の方針や目的に沿った運用であるかがチェックされます。
4.認証機関による認証
ISO27001に適合し、適切な運用がおこなわれていることが認められた場合は、認証機関からISMSの登録証が発行されます。
認証の有効期間は3年間です。
5.認証の維持
ISMS認証は、一度取得すれば終わりではなく、1年ごとのサーベイランス審査(維持審査)、3年ごとの更新審査を受ける必要があります。
これらの審査では、認証取得時に実現された環境が問題なく維持されているかや、課題となっていた部分に改善が見られるかなどの点が確認されます。
6.認証の更新
ISMS認証の有効期限は3年と定められており、更新するためには、再認証審査を受ける必要があります。
この審査では、認証取得時に整備したISMS関連文書が適切に維持されているか、現場においても、ISMSに準拠した運用がおこなわれているかが確認されます。
ISMS認証の取得を目指す際は、取得したら終わりではなく、改善と維持が前提となる仕組みであることを理解しておく必要があります。
ISMSの運用
ISMSは、方針や文書を策定することが目的なのではなく、実際に日々の業務に落とし込んで、運用をしてこそ意味を持ちます。
運用方法は企業・組織によって異なりますが、本記事では代表的な取り組みとして、以下の4つを紹介します。
- 従業員教育
- 管理
- 内部監査
- レビュー(経営層レビュー)
詳しく確認していきましょう。
教育
ISMSの運用においては、従業員一人ひとりが策定した方針を理解し、それに沿って、日々の業務を遂行する必要があります。
そのためには、従業員に十分な情報リテラシーが備わっている必要があります。
企業・組織は、ISMSの内容はもちろん、一般的な情報リテラシーの内容を含んだ研修を実施し、従業員の情報リテラシー向上を目指しましょう。
管理
ISMSの整備で実施したリスクアセスメントの結果は、一度決めれば終わるものではなく、組織を取り巻く環境や業務内容により変化するものです。
そのため、ISMSの「管理」とは、単に方針や文書を整備するのではなく、変化を踏まえて定期的にリスクを見直し、方針や文書を更新していくことも含まれます。
継続的な管理をおこなうことで、ISMSを形骸化させずに、実用的な仕組みとして機能させることができます。
内部監査
ISMSに準拠して業務が遂行され、ISO27001の要求から逸脱した行為がないかを組織内部でチェックします。
一般的に、内部監査は事前に計画を作成しておこないます。監査チェックリストを用意し、各部署へスケジュールを公開した上で実施するとスムーズです。
現場レベルで従業員が気づいた脅威やリスクは、組織のセキュリティ環境を高める上で重要な情報です。監査員は従業員からヒアリングし、文書化されていない課題や問題点のチェックをおこなうとよいでしょう。
マネジメントレビュー(経営層レビュー)
内部監査を実施したら、その結果を経営層に報告し、マネジメントレビューを実施します。
この報告には、内部監査の結果はもちろん、自社を取り巻く環境の変化も含める必要があります。ビジネス環境の変化、法改正、顧客からの要望など、組織のISMSは常に変化が求められるためです。
マネジメントレビューでは、これらの情報をもとに、経営層が方針やルールを見直し、必要に応じて改善や修正を指示します。
ISMSを継続的に意味がある仕組みとして機能させるためには、定期的なマネジメントレビューの実施が欠かせません。
ISMS認証の取得に必要な期間と費用
ISMS認証の取得にかかる期間や費用を紹介します。
ISMS認証取得までの期間
ISMS認証期間へ審査の申し込みをおこなってから、順調にすべての審査をクリアできれば、4か月程度で認証を取得できます。
この期間には、「文書審査(一次審査)」「現地審査(二次審査)」「指摘に対する修正対応」といった一連の流れが含まれます。
なお、二次審査を受ける前には、3か月程度の運用期間を設けることが望ましいとされています。
さらに、ISMSに適合した環境を整備するための期間も必要となるため、ここに数か月から半年程度を見込むのが一般的です。
従って、ISMS認証の取得を目指す際は、以下のようなスケジュールを見込むと、比較的余裕を持った進行が可能になります。
| 審査までの運用期間 | 3か月 |
|---|---|
| 認証機関による審査 | 4か月 |
| 組織内での環境整備機関 | 数か月〜半年 |
※ 出典:日本科学技術連盟 ISO審査登録センター|よくある質問
ISMS取得のための費用
ISMS認証を取得する際は、前述の通り認証機関による審査を受ける必要があります。
コンサルタント会社などの外部サービスを利用しない場合、この認証機関へ支払う審査費用が、ISMS認証取得に必要な金額となります。
審査費用は組織の規模や業種により異なりますが、ISMS認証を取得する場合は50~130万円が相場です。
また、ISMSは年に1回の「維持審査」、3年に1回の「更新」が必要となり、費用としては、維持審査で約0~50万円、更新審査で約40~90万円が相場です。
▼ISMS取得に発生する費用相場
| 項目 | 概要 | 費用の目安(例) |
|---|---|---|
| 初期審査費用 | 初回の認証審査にかかる費用 審査期間は通常2段階に分けられ、第1段階で文書レビュー、第2段階で現場審査をおこなう |
50~130万円 (組織規模による) |
| 年間維持費用 | 認証取得後、毎年おこなわれる維持審査の費用 | 20~50万円 (1回の審査あたり) |
| 再認証審査費用(更新) | 3年ごとにおこなわれる再認証のための審査費用 再度、現場審査や文書レビューを通じて、基準を満たしているかを確認する |
40~90万円 |
各費用は、認証機関や諸条件により異なる可能性があります。
そのため、ISMS認証の取得を目指す際は、個別に認証機関から見積もりを取得することが推奨されます。
コストや担当者の工数は事前に計画し、取得希望日へ向けて無理のないスケジュールを立てることが大切です。
ISMS認証の取得支援に「LANSCOPEエンドポイントマネージャークラウド版」
ISMS認証を取得するためには、情報セキュリティの体制を構築し、PDCAサイクルを回しながら、運用を継続することが求められます。
しかし、情報資産の把握やインシデントの有無の確認といった作業は、人力でおこなうと多大な工数やリソースが必要になります。
この作業の効率化に役立つのが、「LANSCOPE エンドポイントマネージャー クラウド版」です。
「LANSCOPE エンドポイントマネージャー クラウド版」は、 PC・スマホをクラウドで一元管理できるIT資産管理・MDMツールで、ISMSに準拠した情報セキュリティ体制の構築と運用を支援する以下の機能が備わっています。
| 機能名 | 内容 |
|---|---|
| 資産管理 | ・ PC、スマホ・タブレットのハードウェア情報/設定情報を自動取得し、一覧で確認が可能 ・自動取得できない項目は、任意項目として管理コンソール上で作成・編集できるため、台帳管理の効率化が可能 |
| 操作ログ | ・「どの PC で」「いつ」「どんな操作をしたのか」など、利用状況の把握が可能 ・過去2年分(ログ運用オプション導入で5年分)のログを期間・キーワード・ログ種別の条件から検索が可能 |
| セキュリティ | ・Windows PCの機能更新プログラムや品質更新プログラムの適用状況の把握が可能 ・最新のプログラムが未適用のデバイスに対して、配信設定をおこなうことも可能 ・PCやスマホ紛失時に、遠隔で画面ロックやワイプ(初期化)が実行可能 |
そのほかにも、情報資産の管理に役立つ多彩な機能が搭載されています。
より詳しく「LANSCOPE エンドポイントマネージャー クラウド版」について知りたい方は、下記のページまたは資料をご確認ください。
3分で分かる!
LANSCOPE エンドポイントマネージャー クラウド版
PC・スマホをクラウドで一元管理できる「LANSCOPEエンドポイントマネージャー クラウド版」とは?についてわかりやすく解説します。機能や特長、価格について知りたい方はぜひご活用ください。
まとめ
本記事では「ISMS認証」をテーマに、概要や導入方法などを解説しました。
▼本記事のまとめ
- 「ISMS」とは、Information Security Management Systemの頭文字を取った言葉で、情報セキュリティマネジメントシステムを意味する
- 「ISMS」が、国際規格である「ISO/IEC 27001」に準拠して運用されていることを、第三者機関が審査し、認める制度が「ISMS認証」
- ISMSと混同されがちなPマークは「個人情報の取り扱い」に焦点を当てた認定制度で、取得することにより「個人情報の取り扱いにおいて一定のレベルを満たすこと」を証明できる
- ISMS認証を取得することで、顧客や取引先からの信頼を獲得できるというメリットがあるが、その分、工数・コストが増加するというデメリットもある
- ISMS取得までの期間は約4か月が目安で、審査費用は50人規模の組織であれば100万円程度が相場
ISMS認証を取得するためには、事前の準備に多くの工数が必要となり、取得後もPDCAサイクルを回しながら運用する必要があります。
本記事で紹介した「LANSCOPEエンドポイントマネージャー クラウド版」のようなツールを活用し、効率的な情報セキュリティ体制の構築・運用を目指してください。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
おすすめ記事
