IT資産管理

ISMS認証とは?わかりやすく概要・ISMS認証取得の流れと基準を解説

Written by MashiNari

ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。

ISMS認証とは?わかりやすく概要・ISMS認証取得の流れと基準を解説

ISMSとは?基礎知識とISMS認証取得へ向けた流れを解説。

情シス必見!
最適なセキュリティポリシーを策定して、ISMS取得に繋げる?
自社のポリシーをチェック!

資料をダウンロードする


“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!

MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!

資料をダウンロードする

ISMS(Information Security Management System)とは、企業・組織が自社において総合的にセキュリティ管理を行うための、運用システムを指します。

情報の「機密性」「完全性」「可用性」の3つをバランスよく維持することで、対外的にもセキュリティ管理での信頼を獲得しつつ、組織内のセキュリティ管理レベルを高い水準で維持することが可能です。

セキュリティ意識が高まる現代では、1件のセキュリティインシデントで組織の信用が大きく失墜してしまうケースも珍しくありません。実際、昨今では「標的型攻撃」や「ランサムウェア攻撃」による情報漏洩、サービスの停止など、企業の存続に関わる大きな損害が数多く発生しています。

こういった状況下では、とある組織が取引先や利用サービスを検討する際、相手先がどのような情報セキュリティマネジメントを行っているのかが、選定基準の大きな要因となることは、想像に難くないでしょう。企業が対外的にセキュリティ管理で信頼を獲得する指標こそが、今回ご紹介する「ISMSの取得」となります。

この記事では、ISMSの基本と認証取得へ向けてどのようなことをすればよいのかを解説します。

▼この記事を要約すると

  • ISMSとは、リスクアセスメント(職場に潜む危険性・リスクを改善するための分析や取り組み)に基づき、保有する情報の重要度に合わせ、適切なマネジメントを実施・継続的に改善するための仕組み
  • ISMSを構築・運用する際には「ISO27001」に従って、自社のセキュリティ環境を整備する必要がある
  • 「ISO/IEC 27001」とは、ISMSを構築・運用する上で満たさなければならない、要件やルールを国際的な規格として定めたもの
  • ISMSと混同されがちなPマークは「個人情報の取り扱い」に焦点を当てた認定制度で、取得することにより「個人情報の取り扱いにおいて一定のレベルを満たすこと」を証明できる
  • ISMSの規定に則るには、組織で情報資産を扱う際、「機密性」「完全性」「可用性」の3つの要素が担保されている必要がある
  • ISMS認証を取得することで、顧客や取引先からの信頼を獲得できるというメリットがあるが、その分、工数・コストが増加するというデメリットもある
  • ISMS取得までの期間は約4か月が目安で、審査費用は50人規模の組織であれば100万円程度が相場

ISMSとは?基礎知識


「ISMS」とは「Information Security Management System」の頭文字を取った略語で、情報セキュリティマネジメントシステムを意味する用語です。

リスクアセスメント(職場に潜む危険性・リスクを改善するための分析や取り組み)に基づき、保有する情報の重要度に合わせ、適切なマネジメントを実施・継続的に改善するための仕組みと考えることができます。

事業を継続するにつれ、多くの組織では保有する機密情報は増加し、運用も煩雑になることが予想されますす。複雑化した業務や情報をマネジメントの仕組みを組織が独自に構築するには、膨大な工数や知識が必要な上、組織によって管理品質に差異が出てしまいます。

そのため、ISMSを構築・運用する際には「ISO27001」と呼ばれる国際規格に従って、自社のセキュリティ環境を整備することになります。

ISO/IEC 27001とは

「ISO/IEC 27001」とは、ISMSを構築・運用する上で満たさなければならない、要件やルールを国際的な規格として定めたものです。

両者の違いとして、ISMSは実際に組織が情報セキュリティマネジメントを実施する「仕組み」を、ISO/IEC 27001が ISMSを「構築・運用するための基準(ルール)」であることが挙げられます。

また、ISO/IEC 27001の制定・発行に伴い、国内規格として日本産業標準調査会(JISC)により作られたのが、「JIS Q 27001」です。JIS Q 27001は国際規格であるISO/IEC 27001と、整合性が順守されるよう取り決められています。

ISMSと「Pマーク」の違い

ISMSに似ている資格にPマーク(プライバシーマーク)があります。

Pマークは「個人情報の取り扱い」に焦点を当てた認定制度で、取得することにより「個人情報の取り扱いにおいて一定のレベルを満たすこと」を証明できます。

一方、ISMSは「個人情報を含めた情報全体」を管理・マネジメントするシステムであり、取得すればPマークより幅広い範囲で、十分なセキュリティ管理を行えることが証明できる言えます。

情報セキュリティの3要素である「機密性」「完全性」「可用性」を維持し、安全な情報の取り扱いや保管を行うことがISMSの目的と言えます。

関連ページ

こんな時代だからこそ役立つ!取得検討してみたい法人向け情報セキュリティ認証「ISO」「ISMS」「プライバシーマーク」を解説

情報セキュリティ3要素の「機密性」「完全性」「可用性」とは

ISMSを理解する上で、知っておきたい概念が情報セキュリティにおける3つの要素「機密性」「完全性」「可用性」です。ISMSの規定に則るには、組織で情報資産を扱う際、この3つの要素が担保された状態でなければなりません。

■ 機密性…利用を許可された者のみ、「情報資産」にアクセスできる(許可されたいないものはアクセスできない)状態であること
■ 完全性…「情報資産」が改ざんや削除をされず、情報が正確な状態であること
■ 可用性…「情報資産」を利用すべき者が、速やかにアクセスし活用できる状態であること

情報資産をセキュリティだけを重視すれば、自ずと「機密性」「完全性」ばかりが高まりますが、情報活用の利便性を高める観点であれば「可用性」の観点も必要となります。

組織が情報資産を扱う上では、「機密性」「完全性」「可用性」の3要素が、バランスよく満たされていることが重要です。社内で情報の取り扱いに関するセキュリティルール等を策定する際には、これらの順守を意識して進行することが望ましいでしょう。

ISMSを取得するメリット・デメリット


ISMS認証を取得することで、組織にどのようなメリット・デメリットがあるのか解説します。

メリット

1.バランスの良いセキュリティ環境の実現
セキュリティの専門家が在籍していれば必要なセキュリティ対策や運用を講じることができますが、そうでない組織ではどのようなセキュリティ環境が必要なのかが明確にならないケースがあります。
ISMSは多くの業種で適用できる総合的な情報セキュリティマネジメントの仕組みです。
ISMSに準拠したルールの作成や管理を行うことは、抜けや漏れのない適切なセキュリティ環境の構築に繋がります。

2.顧客や取引先からの信頼を獲得
組織がどのような情報セキュリティ対策を講じ、どのような運用を行っているのか、外部からは詳細を知ることができません。
また、組織自らが情報セキュリティ対策を丁寧に講じていることをアピールしても、全面的に信頼してもらうことは難しいでしょう。
一貫した基準で組織の情報セキュリティ環境を審査されるISMS認証を取得することで、最低でもISMSの基準をクリアしていることを証明することになります。
そのため、顧客や取引先の信頼を得ることにつながり、ビジネスの広がりを期待できます。

デメリット

1.工数・コストの増加
組織のセキュリティ環境の構築が疎かになっている状態からISMSを導入する場合、コストや工数が増加することは多くあります。
ISMS認証の取得には各種文書の作成や担当者の任命、運用に向けた改善など多くの作業が必要です。
また、取得後の運用もISMSの観点から様々なルールが制定されます。
そのため、ISMSを実現するための人件費やセキュリティ環境を整えるためのコストは増加する傾向にあります。

コスト増加の懸念はありますが、少しずつでも適切なセキュリティ環境を整えていくことは現代のビジネスにおいて重要な要素であると考えられます。

ISMSを取得する流れ


ISMSは前述のISO27001に定められた規格を満たし、認証機関から認証されることで取得できます。
ここでは、組織内でのISMS整備フェーズと、認証機関による認証フェーズに分けて解説します。

ISMSの整備

1.適用範囲と体制の策定
組織を取り巻く環境や現状の課題、利用しているシステムを整理して、ISMSを適用する範囲を決定します。
また、ISMSを維持・運用するための体制を責任者や担当者の任命を含めて決定します。

2.情報セキュリティ方針の策定
どのような方針でISMSに取り組むか、組織のあるべき姿や解決するべき課題を文書化します。
組織としての方針を定めるため、経営層やCISO(Chief Information Security Office=最高情報セキュリティ責任者 )の参加が必要です。

3.ISMS文書の作成
2.で文書化した方針を実現するための文書を、1.で策定した体制で作成します。
通常、「どのようなマネジメントを行うのか」の管理系の文書と、「どのようなセキュリティ対策を施すのか」のセキュリティ系文書が作成されます。

4.リスクアセスメントの実施
組織における脅威やリスクを特定し、リスク度合いや対処を行う優先度を整理します。
特定したリスクへの対応策は、必要に応じて文書化します。

5.ISMS運用
作成したISMS文書に従った運用を行います。
ISMS活動に関するレビューや教育、リスクへの対処が行われているかなども含まれます。

認証機関による審査と認定

1.認証機関へ審査申請
自組織のISMSを審査してもらうための申請を行います。
認証機関は複数あり、任意の認証機関を選択します。
業務の専門性やオフィスの所在地によっては特定の認証機関では対応できない場合があるため、事前に確認しておきましょう。
※ 参考:情報マネジメントシステム認定センター「ISMS認証機関一覧」

2.1次審査
作成したISMSに関連する文書類がISO27001の要求事項を満たしているかを審査します。
経営層や管理職も参加し、組織が認識している課題やセキュリティ方針に関するヒアリングも行われます。

3.2次審査
組織の運用が、定められたISMSを遵守しているかどうかを審査します。
ISMS担当者の報告だけではなく、実際の現場も確認対象です。
1次審査で確認した組織の方針や目的に沿った運用であるかもポイントです。

4.認証機関による認証
ISO27001に適合し、適切な運用が行われていることが認められた場合は認証機関からISMSの登録証が発行されます。
認証の有効期間は3年間です。

5.認証の維持
ISMSの認証は3年ですが、1年ごとにサーベイランス審査(維持審査)と呼ばれる審査を受ける必要があります。
ISMS取得時に実現されていた環境が問題なく維持されており、課題となっていた部分に改善があるか等を審査します。

6.認証の更新
認定を受けてから3年で、再認証審査を受ける必要があります。
ISMS関連文書が適切に維持され、現場でもISMSに準拠した運用が行われているかを審査します。

ISMSを取得し、運用するためには多くの文書や運用ルールの策定を行う必要があり、定期的に審査が必要です。

ISMSの運用


組織が定めたISMSは、実際に運用を行って初めて意味をなします。
組織により運用方法に違いはありますが、ここでは例として「教育」「管理」「内部監査」「レビュー」を解説します。

教育

ISMSの運用は文書の作成だけではなく、従業員がISMSに従って業務を遂行する必要があります。
そのためには、従業員に十分なリテラシーが備わっていることが必須です。
組織が定めるISMSの内容はもちろん、一般的なITリテラシー教育を盛り込んだ定期的な教育を実施します。

管理

ISMSの整備で実施したリスクアセスメントの結果は、組織を取り巻く環境や業務内容により変化します。
定期的に内容を見直し、リスク対応策の変更が必要であれば、対応手順などの文書も含めて更新しましょう。

内部監査

ISMSに準拠して業務が遂行され、ISO27001の要求から逸脱した行為がないかを組織内部でチェックします。
一般的に、内部監査は事前に計画を作成して行います。監査チェックリストを用意し、各部署へスケジュールを公開した上で実施するとスムーズです。

現場レベルで従業員が気づいた脅威やリスクは、組織のセキュリティ環境を高める上で重要な情報です。監査員は従業員からヒアリングし、文書化されていない課題や問題点のチェックを行うとよいでしょう。

マネジメントレビュー

ISMSの管理責任者が、トップマネジメントのトップである組織の代表や役員にISMSの運用状況や課題を報告します。
ビジネス環境の変化や法の改正、顧客からの要望など、組織のISMSは常に変化を求められます。
それらの情報と組織の現状を組織のトップに報告し、トップマネジメントにより改善やルールの見直しを指示することがマネジメントレビューです。

これらの管理は、ISMS制定時に策定した管理体制のメンバーが主に実施し、必要に応じて関連部署の担当者に協力を仰ぐことも大切です。

ISMSの取得に必要な期間と費用

ISMSを取得するためには、組織の環境を整える期間と、認証機関へ支払う費用が発生します。

ISMS取得までの期間

ISMS認証機関へ審査の申し込みを行なってから、順調に審査をクリアすれば約4カ月が目安です。

Q8.申請から登録証書がもらえるまで最短でどのくらいですか?
認証機関に申請されてから順調にいけば約4ヶ月での登録証発行が可能です。ただし、審査の中で指摘された内容に対する是正処置に時間がかかったりしますと、それ以上の期間がかかることもあります。
※ 出典:日本科学技術連盟 ISO審査登録センター


また、2次審査を行なうまでには3カ月程度の運用期間が望ましいとされています。

Q5.審査を受ける上で目安となる運用期間(試運転期間)はどのくらいでしょうか?
審査は初回審査一次(文書審査=システム構築状況の確認)と初回審査二次(実地審査=システム運用状況の確認)の二段階の審査で行われますが、二次審査までに3ヶ月程度の運用期間を見ておいていただくことが望ましいです。
※ 出典:日本科学技術連盟 ISO審査登録センター


これらに加えて、ISMSに適合した環境を整備するための期間が必要です。
数カ月から半年程度が目安となりますが、組織規模や担当者のリソース、コンサルタント会社利用の有無によっても異なります。
審査までの運用期間(3カ月)+認証機関による審査(4カ月)+組織内での環境整備期間(数カ月~半年)を見込めば、余裕のあるスケジュールで取得できます。

ISMS取得のための費用

ISMSを取得する際は、前述の通り認証機関による審査を受ける必要があります。
コンサルタント会社などの外部サービスを利用しない場合、この認証機関へ支払う審査費用がISMS取得に必要な金額となります。

審査費用は組織の規模や業種により異なりますが、50人規模の組織がISMSを取得する場合は100万円程度が相場です。
また、ISMSは年に1回の維持審査、3年に1回の更新が必要となります。
維持審査は約50万円、更新審査で約70万円が概ねの相場です。
各費用は認証機関や諸条件により大きく異なる可能性があります。
そのため、自組織がISMSを取得する場合のコストは、個別に認証機関から見積もりを取得しましょう。

コストや担当者の工数は事前に計画し、取得希望日へ向けて無理のないスケジュールを立てることが大切です。

ISMSにより安全なビジネス環境を

ISMSを取得するためには、事前の準備に多くの工数が必要となり、取得後もPDCAサイクルを回しながら運用する必要があります。
しかし、組織のセキュリティに必要な要素は非常に多く、ISMSによる明確な要求事項を満たすことで堅牢なセキュリティマネジメントを行えるのは大きなメリットです。

とはいえ、優れたISMSの環境であっても、従業員が情報セキュリティの重要性を理解し適切な行動を心がけなければ、効果は大きく損なわれます。
組織全体の理解と協力的な姿勢を得ながら、着実にISMSの構築を目指しましょう。


ISMSとは?基礎知識とISMS認証取得へ向けた流れを解説。

情シス必見!
最適なセキュリティポリシーを策定して、ISMS取得に繋げる?
自社のポリシーをチェック!

資料をダウンロードする


“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!

MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!

資料をダウンロードする