IT資産管理

ISMS認証とは?Pマークとの違いや取得方法、費用を解説

Written by MashiNari

ISMS認証とは?Pマークとの違いや取得方法、費用を解説

ISMSとは?基礎知識とISMS認証取得へ向けた流れを解説。

情シス必見!
最適なセキュリティポリシーを策定して、ISMS取得に繋げる?
自社のポリシーをチェック!

資料をダウンロードする


“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!

MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!

資料をダウンロードする

目 次

ISMSとは、リスクアセスメントに基づき、保有する情報の重要度に合わせ、適切なマネジメントを実施・継続的に改善するための仕組みを指します。

ISMSと混同されやすい概念として「ISO/IEC 27001」がありますが、ISO/IEC 27001はISMSを「構築・運用するための国際基準(ルール)」という関係性です。

ISO/IEC 27001に準拠してISMSを構築することで、組織は認証を取得し、情報セキュリティ対策が国際的な水準を満たしていることを証明できます。

また、ISMSはPマークとたびたび比較されますが、Pマークは保護対象が「個人情報のみ」であるのに対し、ISMSは「個人情報を含めた情報全体」が保護対象になるという点が異なります。

ISMS…組織の情報セキュリティ全般を管理するための仕組みで、「ISO/IEC 27001」は、その実施方法を規定した国際規格。
Pマーク…特に日本国内の「個人情報保護」に焦点を当てた認証制度で、「事業者が個人情報を適切に扱っていること」を証明するために取得する。

ISMS認証を取得すると、適切なセキュリティ環境の構築に繋がるだけでなく、顧客や取引先からの信頼を獲得できるというメリットがあります。

ISMSは取得後、年1回の「維持審査」と3年に1度の「再認証審査」が必要であり、主な費用目安※ は以下の通りです(※企業規模や業種によって異なります)。

▼ISMS取得に発生する費用相場

項目 概要 費用の目安(例)
初期審査費用 初回の認証審査にかかる費用
審査期間は通常2段階に分けられ、第1段階で文書レビュー、第2段階で現場審査を行う		 50万円~200万円
(組織規模による)
年間維持費用 認証取得後、毎年行われる維持審査の費用 20万円~70万円
(1回の審査あたり)
再認証審査費用(更新) 3年ごとに行われる再認証のための審査費用
再度、現場審査や文書レビューを通じて、基準を満たしているかを確認する		 30万円~150万円

取得までの期間に関しては、順調に審査をクリアすれば申請から最短約4か月で登録証書をもらうこともできます。

この記事では、ISMSの概要や取得するメリット・デメリットなどを解説します。

▼この記事を要約すると

  • ISMSとは、リスクアセスメント(職場に潜む危険性・リスクを改善するための分析や取り組み)に基づき、保有する情報の重要度に合わせ、適切なマネジメントを実施・継続的に改善するための仕組み
  • ISMSを構築・運用する際には「ISO27001」に従って、自社のセキュリティ環境を整備する必要がある
  • 「ISO/IEC 27001」とは、ISMSを構築・運用する上で満たさなければならない、要件やルールを国際的な規格として定めたもの
  • ISMSと混同されがちなPマークは「個人情報の取り扱い」に焦点を当てた認定制度で、取得することにより「個人情報の取り扱いにおいて一定のレベルを満たすこと」を証明できる
  • ISMSの規定に則るには、組織で情報資産を扱う際、「機密性」「完全性」「可用性」の3つの要素が担保されている必要がある
  • ISMS認証を取得することで、顧客や取引先からの信頼を獲得できるというメリットがあるが、その分、工数・コストが増加するというデメリットもある
  • ISMS取得までの期間は約4か月が目安で、審査費用は50人規模の組織であれば100万円程度が相場

ISMS認証とは?


「ISMS」とは「Information Security Management System」の頭文字を取った略語で、情報セキュリティマネジメントシステムを意味する用語です。

リスクアセスメント(職場に潜む危険性・リスクを改善するための分析や取り組み)に基づき、保有する情報の重要度に合わせ、適切なマネジメントを実施・継続的に改善するための仕組みと考えることができます。

事業を継続するにつれ、多くの組織では保有する機密情報は増加し、運用も煩雑になることが予想されます。複雑化した業務や情報のマネジメントの仕組みを組織が独自に構築するには、膨大な工数や知識が必要な上、組織によって管理品質に差異が出てしまいます。

そのため、ISMSを構築・運用する際には「ISO27001」と呼ばれる国際規格に従って、自社のセキュリティ環境を整備することになります。

ISMS認証を取得している企業は増加傾向

ISMS制度を創設した2002年の取得企業数は144社ほどでしたが、2024年10月時点では7,900社を超えており、 20年で55倍以上に増加しています。

ISMS認証の取得を公表している企業の中には、キャノンや京セラなど大手企業も多数含まれています。

ISMS認証を取得している企業の一覧は、「情報マネジメントシステム認定センター(ISMS-AC)」で確認することが可能です。

ISMS認証とISO/IEC 27001の違い

「ISO/IEC 27001」とは、ISMSを構築・運用する上で満たさなければならない、要件やルールを国際的な規格として定めたものです。

両者の違いとして、ISMSは実際に組織が情報セキュリティマネジメントを実施する「仕組み」を、ISO/IEC 27001が ISMSを「構築・運用するための基準(ルール)」であることが挙げられます。

また、ISO/IEC 27001の制定・発行に伴い、国内規格として日本産業標準調査会(JISC)により作られたのが、「JIS Q 27001」です。JIS Q 27001は国際規格であるISO/IEC 27001と、整合性が順守されるよう取り決められています。

ISMS認証と「Pマーク」の違い

ISMSに似ている資格にPマーク(プライバシーマーク)があります。

Pマークは「個人情報の取り扱い」に焦点を当てた認定制度で、取得することにより「個人情報の取り扱いにおいて一定のレベルを満たすこと」を証明できます。

一方、ISMSは「個人情報を含めた情報全体」を管理・マネジメントするシステムであり、取得すればPマークより幅広い範囲で、十分なセキュリティ管理を行えることが証明できます。

情報セキュリティの3要素である「機密性」「完全性」「可用性」を維持し、安全な情報の取り扱いや保管を行うことがISMSの目的と言えます。

プライバシーマークとISMSの違い早見表
プライバシーマーク ISMS
開始日 1998年4月 2002年4月
認定機関 一般財団法人日本情報経済社会推進協会(JIPDEC) 一般社団法人情報マネジメントシステム認定センター(ISMS-AC)
審査基準 JIS Q 15001:2017 ISO27001:2013
有効期限 2年 3年(ただし1年ごとに継続審査)
保護領域 個人情報保護
個人情報のみが守るべき対象で、個人情報保護規定を満たすことが目的		 情報セキュリティ
全ての情報が守るべき対象で、情報セキュリティの3大要素を高めることが目的
保護対象 法人単位 部署単位など
登録者数 17,199社 6,715社

※2022年10月現在

関連ページ

こんな時代だからこそ役立つ!取得検討してみたい法人向け情報セキュリティ認証「ISO」「ISMS」「プライバシーマーク」を解説

情報セキュリティ3要素の「機密性」「完全性」「可用性」とは


ISMSを理解する上で、知っておきたい概念が情報セキュリティにおける3つの要素「機密性」「完全性」「可用性」です。ISMSの規定に則るには、組織で情報資産を扱う際、この3つの要素が担保された状態でなければなりません。

■ 機密性…利用を許可された者のみ、「情報資産」にアクセスできる(許可されていないものはアクセスできない)状態であること
■ 完全性…「情報資産」が改ざんや削除をされず、情報が正確な状態であること
■ 可用性…「情報資産」を利用すべき者が、速やかにアクセスし活用できる状態であること

情報資産をセキュリティだけを重視すれば、自ずと「機密性」「完全性」ばかりが高まりますが、情報活用の利便性を高める観点であれば「可用性」の観点も必要となります。

組織が情報資産を扱う上では、「機密性」「完全性」「可用性」の3要素が、バランスよく満たされていることが重要です。社内で情報の取り扱いに関するセキュリティルール等を策定する際には、これらの順守を意識して進行することが望ましいでしょう。

関連ページ

情報セキュリティ3要素とは?定義や対策をわかりやすく解説

ISMS認証を取得するメリット


ISMS認証を取得することで組織にどのようなメリットがあるのか、対外的メリットと対内的メリットの2つの観点で解説します。

対外的メリット

顧客や取引先からの信頼を獲得

組織がどのような情報セキュリティ対策を講じ、どのような運用を行っているのか、外部からは詳細を知ることができません。
また、組織自らが情報セキュリティ対策を丁寧に講じていることをアピールしても、全面的に信頼してもらうことは難しいでしょう。
一貫した基準で組織の情報セキュリティ環境を審査されるISMS認証を取得することで、最低でもISMSの基準をクリアしていることを証明することになります。
そのため、顧客や取引先の信頼を得ることにつながり、ビジネスの広がりを期待できます。

入札できる案件の幅が広がる

官公庁や自治体からの仕事を請け負う要件として、ISMS認証の取得が含まれているケースがあります。

つまり、ISMS認証を取得していない企業・組織よりも入札できる案件の幅を広げることができるのです。

また行政機関だけでなく、民間の企業の中にも取引先条件としてISMSの認証求める動きが広がっているので、ISMS認証を取得しておけば、他社と差別化を図ることも可能です。

対内的メリット

自社のセキュリティ体制の強化につながる

ISMS認証を取得するためには、情報セキュリティ方針の策定やリスクアセスメント、従業員への教育、内部監査などを行う必要があります。

さらに、ISMS取得後もこれらを継続的に行うことが求められているので、おのずと自社のセキュリティ体制の強化につながります。

ISMS認証を取得するデメリット


ISMS認証の取得には、以下のようなデメリットもあります。

工数・コストの増加

組織のセキュリティ環境の構築が疎かになっている状態からISMSを導入する場合、コストや工数が増加することは多くあります。

ISMS認証の取得には各種文書の作成や担当者の任命、運用に向けた改善など多くの作業が必要です。

また、取得後の運用もISMSの観点から様々なルールが制定されます。

そのため、ISMSを実現するための人件費やセキュリティ環境を整えるためのコストは増加する傾向にあります。

コスト増加の懸念はありますが、少しずつでも適切なセキュリティ環境を整えていくことは現代のビジネスにおいて重要な要素であると考えられます。

ISMS認証を取得する流れ


ISMSは前述のISO27001に定められた規格を満たし、認証機関から認証されることで取得できます。
ここでは、組織内でのISMS整備フェーズと、認証機関による認証フェーズに分けて解説します。

ISMSの整備

1.適用範囲と体制の策定

組織を取り巻く環境や現状の課題、利用しているシステムを整理して、ISMSを適用する範囲を決定します。
また、ISMSを維持・運用するための体制を責任者や担当者の任命を含めて決定します。

2.情報セキュリティ方針の策定

どのような方針でISMSに取り組むか、組織のあるべき姿や解決するべき課題を文書化します。
組織としての方針を定めるため、経営層やCISO(Chief Information Security Office=最高情報セキュリティ責任者 )の参加が必要です。

3.ISMS文書の作成

2.で文書化した方針を実現するための文書を、1.で策定した体制で作成します。
通常、「どのようなマネジメントを行うのか」の管理系の文書と、「どのようなセキュリティ対策を施すのか」のセキュリティ系文書が作成されます。

4.リスクアセスメントの実施

組織における脅威やリスクを特定し、リスク度合いや対処を行う優先度を整理します。
特定したリスクへの対応策は、必要に応じて文書化します。

5.ISMS運用

作成したISMS文書に従った運用を行います。
ISMS活動に関するレビューや教育、リスクへの対処が行われているかなども含まれます。

認証機関による審査と認定

1.認証機関へ審査申請

自組織のISMSを審査してもらうための申請を行います。
認証機関は複数あり、任意の認証機関を選択します。
業務の専門性やオフィスの所在地によっては特定の認証機関では対応できない場合があるため、事前に確認しておきましょう。
※ 参考:情報マネジメントシステム認定センター「ISMS認証機関一覧」

2.1次審査

作成したISMSに関連する文書類がISO27001の要求事項を満たしているかを審査します。
経営層や管理職も参加し、組織が認識している課題やセキュリティ方針に関するヒアリングも行われます。

3.2次審査

組織の運用が、定められたISMSを遵守しているかどうかを審査します。
ISMS担当者の報告だけではなく、実際の現場も確認対象です。
1次審査で確認した組織の方針や目的に沿った運用であるかもポイントです。

4.認証機関による認証

ISO27001に適合し、適切な運用が行われていることが認められた場合は認証機関からISMSの登録証が発行されます。
認証の有効期間は3年間です。

5.認証の維持

ISMSの認証は3年ですが、1年ごとにサーベイランス審査(維持審査)と呼ばれる審査を受ける必要があります。
ISMS取得時に実現されていた環境が問題なく維持されており、課題となっていた部分に改善があるか等を審査します。

6.認証の更新

認定を受けてから3年で、再認証審査を受ける必要があります。
ISMS関連文書が適切に維持され、現場でもISMSに準拠した運用が行われているかを審査します。

ISMSを取得し、運用するためには多くの文書や運用ルールの策定を行う必要があり、定期的に審査が必要です。

ISMSの運用


組織が定めたISMSは、実際に運用を行って初めて意味をなします。
組織により運用方法に違いはありますが、ここでは例として「教育」「管理」「内部監査」「レビュー」を解説します。

教育

ISMSの運用は文書の作成だけではなく、従業員がISMSに従って業務を遂行する必要があります。
そのためには、従業員に十分なリテラシーが備わっていることが必須です。
組織が定めるISMSの内容はもちろん、一般的なITリテラシー教育を盛り込んだ定期的な教育を実施します。

管理

ISMSの整備で実施したリスクアセスメントの結果は、組織を取り巻く環境や業務内容により変化します。
定期的に内容を見直し、リスク対応策の変更が必要であれば、対応手順などの文書も含めて更新しましょう。

内部監査

ISMSに準拠して業務が遂行され、ISO27001の要求から逸脱した行為がないかを組織内部でチェックします。
一般的に、内部監査は事前に計画を作成して行います。監査チェックリストを用意し、各部署へスケジュールを公開した上で実施するとスムーズです。

現場レベルで従業員が気づいた脅威やリスクは、組織のセキュリティ環境を高める上で重要な情報です。監査員は従業員からヒアリングし、文書化されていない課題や問題点のチェックを行うとよいでしょう。

マネジメントレビュー

ISMSの管理責任者が、トップマネジメントのトップである組織の代表や役員にISMSの運用状況や課題を報告します。
ビジネス環境の変化や法の改正、顧客からの要望など、組織のISMSは常に変化を求められます。
それらの情報と組織の現状を組織のトップに報告し、トップマネジメントにより改善やルールの見直しを指示することがマネジメントレビューです。

これらの管理は、ISMS制定時に策定した管理体制のメンバーが主に実施し、必要に応じて関連部署の担当者に協力を仰ぐことも大切です。

ISMS認証の取得に必要な期間と費用

ISMSを取得するためには、組織の環境を整える期間と、認証機関へ支払う費用が発生します。

ISMS認証取得までの期間

ISMS認証機関へ審査の申し込みを行なってから、順調に審査をクリアすれば約4カ月が目安です。

Q8.申請から登録証書がもらえるまで最短でどのくらいですか?
認証機関に申請されてから順調にいけば約4ヶ月での登録証発行が可能です。ただし、審査の中で指摘された内容に対する是正処置に時間がかかったりしますと、それ以上の期間がかかることもあります。
※ 出典:日本科学技術連盟 ISO審査登録センター


また、2次審査を行なうまでには3カ月程度の運用期間が望ましいとされています。

Q5.審査を受ける上で目安となる運用期間(試運転期間)はどのくらいでしょうか?
審査は初回審査一次(文書審査=システム構築状況の確認)と初回審査二次(実地審査=システム運用状況の確認)の二段階の審査で行われますが、二次審査までに3ヶ月程度の運用期間を見ておいていただくことが望ましいです。
※ 出典:日本科学技術連盟 ISO審査登録センター


これらに加えて、ISMSに適合した環境を整備するための期間が必要です。
数カ月から半年程度が目安となりますが、組織規模や担当者のリソース、コンサルタント会社利用の有無によっても異なります。
審査までの運用期間(3カ月)+認証機関による審査(4カ月)+組織内での環境整備期間(数カ月~半年)を見込めば、余裕のあるスケジュールで取得できます。

ISMS取得のための費用

ISMSを取得する際は、前述の通り認証機関による審査を受ける必要があります。
コンサルタント会社などの外部サービスを利用しない場合、この認証機関へ支払う審査費用がISMS取得に必要な金額となります。

審査費用は組織の規模や業種により異なりますが、50人規模の組織がISMSを取得する場合は50~200万円が相場です。

また、ISMSは年に1回の「維持審査」、3年に1回の「更新」が必要となり、費用としては、維持審査で約40~100万円、更新審査で約60~150万円が相場です。

▼ISMS取得に発生する費用相場

項目 概要 費用の目安(例)
初期審査費用 初回の認証審査にかかる費用
審査期間は通常2段階に分けられ、第1段階で文書レビュー、第2段階で現場審査を行う		 50万円~200万円
(組織規模による)
年間維持費用 認証取得後、毎年行われる維持審査の費用 20万円~70万円
(1回の審査あたり)
再認証審査費用(更新) 3年ごとに行われる再認証のための審査費用
再度、現場審査や文書レビューを通じて、基準を満たしているかを確認する		 30万円~150万円

各費用は認証機関や諸条件により大きく異なる可能性があります。
そのため、自組織がISMSを取得する場合のコストは、個別に認証機関から見積もりを取得しましょう。

コストや担当者の工数は事前に計画し、取得希望日へ向けて無理のないスケジュールを立てることが大切です。

LANSCOPEエンドポイントマネージャークラウド版ならISMS認証取得の支援が可能


ISMS認証の取得においては、情報セキュリティのための体制を構築し、運用のPDCAサイクルを回すことが求められますが、情報資産の把握やインシデントの有無などは人力で行うとなるとかなりの工数が掛かります。
ここで重要となるのがツールの活用です。

弊社が提供する、IT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」には、情報セキュリティ体制を構築するための以下の機能が備わっています。

●Windowsアップデート管理
●操作ログの収集

詳しい機能は、以下のページよりご覧ください。

関連ページ

IT資産管理・MDMツール「LANSCOPEエンドポイントマネージャークラウド版」について

まとめ


本記事では「ISMS認証」をテーマに、概要や導入方法などを解説しました。

▼本記事のまとめ

  • ISMSとは、リスクアセスメント(職場に潜む危険性・リスクを改善するための分析や取り組み)に基づき、保有する情報の重要度に合わせ、適切なマネジメントを実施・継続的に改善するための仕組み
  • ISMSを構築・運用する際には「ISO27001」に従って、自社のセキュリティ環境を整備する必要がある
  • 「ISO/IEC 27001」とは、ISMSを構築・運用する上で満たさなければならない、要件やルールを国際的な規格として定めたもの
  • ISMSと混同されがちなPマークは「個人情報の取り扱い」に焦点を当てた認定制度で、取得することにより「個人情報の取り扱いにおいて一定のレベルを満たすこと」を証明できる
  • ISMSの規定に則るには、組織で情報資産を扱う際、「機密性」「完全性」「可用性」の3つの要素が担保されている必要がある
  • ISMS認証を取得することで、顧客や取引先からの信頼を獲得できるというメリットがあるが、その分、工数・コストが増加するというデメリットもある
  • ISMS取得までの期間は約4か月が目安で、審査費用は50人規模の組織であれば100万円程度が相場

ISMSを取得するためには、事前の準備に多くの工数が必要となり、取得後もPDCAサイクルを回しながら運用する必要があります。

しかし、組織のセキュリティに必要な要素は非常に多く、ISMSによる明確な要求事項を満たすことで堅牢なセキュリティマネジメントを行えるのは大きなメリットです。

組織全体の理解と協力的な姿勢を得ながら、着実にISMSの構築を目指しましょう。


ISMSとは?基礎知識とISMS認証取得へ向けた流れを解説。

情シス必見!
最適なセキュリティポリシーを策定して、ISMS取得に繋げる?
自社のポリシーをチェック!

資料をダウンロードする


“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!

MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!

資料をダウンロードする

おすすめ記事