Written by WizLANSCOPE編集部
目 次
ISMS(情報セキュリティマネジメントシステム)とは、企業・組織における情報セキュリティを総合的に管理・運用するための仕組みです。
ISMS認証とは、そのISMSが国際規格「ISO/IEC 27001」に準拠していることを第三者機関が認証する制度のことを指します。
ISMS認証を取得することで、適切なセキュリティ環境の構築につながるだけでなく、顧客や取引先からの信頼向上も期待できます。
近年は、サイバー攻撃の高度化・巧妙化を背景に、自社や関連企業を守るため、取引条件としてISMS認証の取得を求める企業も増えています。
その一方で、認証取得には、ISMSに関する正しい理解と適切な準備が欠かせません。
本記事では、ISMS認証の概要をはじめ、取得するメリットや取得までの流れ、必要な費用や期間についてわかりやすく解説します。
▼本記事でわかること
- ISMS認証の概要
- ISMS認証を取得するメリット
- ISMS認証取得の流れ
また、ISMS認証取得に役立つツールとしてについても紹介しています。
ISMS認証の取得を検討している企業・組織の方は、ぜひご一読ください。
ISMS認証とは?
「ISMS」とは、「Information Security Management System」の頭文字を取った言葉で、日本語では「情報セキュリティマネジメントシステム」を意味します。
企業・組織が保有する情報資産を守るための仕組みや管理体制を指し、情報漏洩や不正アクセスなどのリスクを防ぐために運用されます。
そして、この「ISMS」が、国際規格に準拠して運用されていることを、第三者機関が審査・認証する制度が「ISMS認証」です。
ISMS認証の取得は、自社の情報セキュリティ管理体制を客観的に示す指標となるため、特に以下のような企業で取得が推奨されます。
- 顧客の個人情報や機密情報を取り扱っている
- 大企業や官公庁との取引が多い、または今後拡大したい
- 競合他社との差別化を図りたい
ISMS認証を取得することで、自社のセキュリティ体制の強化につながるだけでなく、セキュリティレベルを客観的に証明できるようになります。
その結果、顧客や取引先からの信頼性向上が期待でき、新規取引やビジネスチャンスの拡大にもつながるケースもあります。
ISMS認証が創設された2002年当時、取得企業は144社ほどでした。しかし、情報漏洩やサイバー攻撃への関心が高まるに連れて取得企業数は増加し、2026年3月時点では、8,000社を超える企業が認証を取得しています。
なお、ISMS認証を取得している企業一覧は、「情報マネジメントシステム認定センター(ISMS-AC)」で確認できます。
ISMSの国際規格「ISO/IEC 27001」とは
「ISO/IEC 27001」とは、ISMSを構築・運用する上で必要となる要件やルールを定めた国際規格です。
ISO/IEC 27001は、「本文」と「附属書A」の2つで構成されています。
本文には、ISMS認証を取得するために満たすべき要求事項が記載されており、附属書Aでは、それらを実現するための具体的なセキュリティ対策が示されています。
この「ISMS(ISO/IEC 27001)認証」とあわせて近年注目を集めているのが「ISO/IEC 27017」です。
ISO/IEC 27017は、クラウドサービスのセキュリティ対策に特化した国際規格であり、ISMS認証のアドオン認証規格として位置付けられています。
近年はクラウドサービスの利用拡大に伴い、ISO/IEC 27017の取得を取引要件とする企業も増加傾向にあります。
そのため、クラウドサービスを提供する事業者はもちろん、クラウドサービスを安全に利用したい企業・組織にも重要性が高まっています。
ただし、ISO/IEC 27017はあくまでISMS認証のアドオン認証規格であり、単独で取得することはできません。
そのため、まずはISMS認証を取得した上で追加取得を目指す、あるいはISMS認証と同時に取得するケースが一般的です。
ISMS認証と「Pマーク」の違い
ISMS認証と混同されやすい制度に「Pマーク(プライバシーマーク)」があります。
ISMS認証は、企業・組織が保有する情報資産を適切に管理・運用していることを認証する制度です。
そのため、対象となるのは「個人情報を含むすべての情報資産」です。
一方、Pマークは「個人情報保護」に特化した認定制度であり、取得することで個人情報を適切に取り扱っている事業者であることを証明できます。
また、Pマークが日本独自の制度であるのに対し、ISMS認証は国際規格に基づく制度です。
そのため、ISMS認証は国内だけでなく、海外企業や海外拠点との取引においても信頼構築につながるメリットがあります。
| プライバシーマーク | ISMS | |
|---|---|---|
| 開始日 | 1998年4月 | 2002年4月 |
| 認定機関 | 一般財団法人日本情報経済社会推進協会(JIPDEC) | 一般社団法人情報マネジメントシステム認定センター(ISMS-AC) |
| 審査基準 | JIS Q 15001:2017 | ISO27001:2013 |
| 有効期限 | 2年 | 3年(毎年維持審査あり) |
| 主な目的 | 個人情報保護体制の整備 | 情報セキュリティ管理体制の構築・運用 |
| 保護対象 | 個人情報 | 個人情報を含むすべての情報資産 |
| 認証範囲 | 原則として全社 | 全社または特定部門や事業単位でも取得可能 |
ISMS認証とPマークの両方を取得することで、より高い信頼性を得ることができます。
しかし、認証取得には費用や運用負荷がかかることから、まずは自社の事業内容や取引先からの要件にあった制度を選択することが重要です。
必要に応じて、あとから追加取得を検討するのもよいでしょう。
以下では、それぞれの認証取得が推奨されるケースを紹介します。
| ISMS認証が推奨されるケース | Pマークが推奨されるケース |
|---|---|
| ・法人向けビジネスが中心 ・海外企業との取引が多い ・IT・クラウドサービスを提供している ・幅広い情報資産を管理している |
・一般消費者向けサービスを提供している ・国内企業との取引がメイン ・個人情報を大量に扱っている ・個人情報保護を対外的にアピールしたい |
ISMS認証を取得するメリット
ISMS認証を取得することで、情報セキュリティ体制の強化だけでなく、企業としての信頼性向上にもつながります。
特に近年は、取引条件としてISMS認証の有無を重視する企業も増えており、取得によるメリットは年々高まっています。
具体的には、以下のようなメリットが挙げられます。
- 顧客・取引先からの信頼性向上
- 入札・取引可能な案件の増加
- 自社のセキュリティ体制強化
詳しく見ていきましょう。
顧客・取引先からの信頼性の向上
ISMS認証を取得することで、自社が情報セキュリティに関する国際基準を満たしていることを客観的に証明できます。
第三者機関による認証を受けることで、顧客や取引先からの信頼性向上につながり、ビジネス拡大や新規取引の獲得につながる可能性も高まります。
入札・取引可能な案件の増加
官公庁や自治体からの仕事を請け負う要件として、ISMS認証の取得が求められるケースがあります。
そのため、ISMS認証を取得することで、ISMS認証を取得していない企業・組織と比較して、入札・取引できる案件の幅を広げやすくなります。
また、近年はサイバー攻撃の高度化・巧妙化を背景に、行政機関だけでなく、民間企業においても取引先に一定の情報セキュリティ水準を求める動きが広まっています。
その一環として、取引条件としてISMS認証の取得を求める企業も増加傾向にあります。
ISMS認証の取得は、競合他社との差別化や競争優位性の確保にもつながるでしょう。
自社のセキュリティ体制強化
ISMS認証を取得するためには、情報セキュリティ方針の策定をはじめ、リスクアセスメント、従業員教育、内部監査などを実施する必要があります。
また、ISMS認証の有効期限は3年ですが、毎年維持審査が行われるため、認証を維持するには継続的な運用・改善が求められます。
このように、ISMS認証の取得プロセスや継続的な運用そのものが、自社のセキュリティ体制強化につながるといえるでしょう。
ISMS認証取得における注意点
ISMS認証の取得には、取引先や顧客からの信頼向上、自社のセキュリティ体制強化といったメリットがある一方で、注意すべき点もあります。
まず、認証取得には一定の工数やコストがかかります。
例えば、各種文書の作成や管理体制の整備、担当者の任命、運用ルールの見直しなど、多くの準備が必要です。
さらに、認証取得後も、ISMSの観点から定められたルールを継続的に運用・改善していくことが求められます。
そのため、ISMS認証の取得・維持には、人件費や教育費、環境整備費など、一定のコストが発生します。
しかし、適切なセキュリティ体制を整備することは、情報セキュリティへの関心が高まる現代において欠かせない取り組みです。
持続的な企業活動や信頼性向上の観点からも、ISMS認証の取得は多くの企業にとって重要性の高い認証制度といえるでしょう。
ISMS認証取得における具体的な流れ
ISMS認証取得までの流れは、大きく以下の9つのステップに分けられます。
- 適用範囲の決定
- 情報セキュリティ基本方針の策定
- ISMS文書の作成
- リスクアセスメントの実施
- 従業員教育の実施
- 内部監査の実施
- マネジメントレビューの実施
- 認証機関による審査
- 認証取得
ここからは、各ステップで実施する内容について、順にわかりやすく解説します。
ステップ(1):適用範囲の決定
まずは、自社の情報セキュリティシステムにおける現状や課題、利用しているシステム、取り巻く環境などを整理し、ISMSを適用する範囲を決めます。
組織規模が小さい場合は、全社を対象として適用し、組織全体のセキュリティレベル統一を図るケースも多くあります。
一方で、組織規模が大きい場合やリソースが限られている場合は、「SaaS事業部のみ」のように、リスクの高い部門やサービスに限定して導入する方法も検討しましょう。
ステップ(2):情報セキュリティ基本方針の策定
次に、ISMSをどのような方針で運用していくのかを明確にし、組織として目指すセキュリティ体制や解決すべき課題を整理した上で、情報セキュリティに関する基本方針を策定します。
具体的には、以下のようなルールや規定を整備します。
- 情報セキュリティポリシー
- アクセス管理規程
- インシデント対応手順
ここでは、組織全体の方針を決定するため、経営層やCISO(最高情報セキュリティ責任者)などの関与が重要となります。
ステップ(3): ISMS文書の作成
次に、策定した方針を具体的に運用へ落とし込むため、各種文書を作成します。
ISMSに関する文書は、大きく以下の2種類に分類されます。
- 「どのように管理・運用するか」を定める管理系文書
- 「どのようなセキュリティ対策を実施するか」を定めるセキュリティ系文書
これらの文書を整備することで、組織全体で統一したルールに基づいた運用が可能になります。
ステップ(4):リスクアセスメントの実施
文書を作成した後は、組織内に存在する脅威やリスクを洗い出し、それぞれのリスクレベルや対応優先度を整理します。
例えば、情報漏えいや不正アクセス、マルウェア感染など、想定されるリスクごとに影響度や発生可能性を評価していきます。
そのうえで、必要に応じて具体的な対策や運用ルールを定め、文書化します。
ステップ(5):従業員教育の実施
ISMSを適切に運用するためには、従業員一人ひとりが策定した方針やルールを理解し、それに基づいて日々の業務を遂行することが求められます。
そのためには、従業員が十分な情報セキュリティ意識や情報リテラシーを身につけていることが重要です。
企業・組織は、ISMSの運用ルールだけでなく、一般的な情報セキュリティに関する知識も含めた研修を実施し、従業員全体のセキュリティ意識向上を図ることが求められます。
ステップ(6):内部監査の実施
ISMSに準拠して業務が運用されているか、また、ISO27001の要求事項から逸脱した行為がないかを組織内部でチェックします。
一般的に、内部監査は事前に計画を立てたうえで実施します。
監査チェックリストを作成し、各部署へスケジュールを共有しておくことでスムーズに進めやすくなります。
また、現場レベルで従業員が気づいた脅威やリスクは、組織のセキュリティ体制を改善する上で重要な情報です。
監査担当者は従業員へのヒアリングも行い、文書化されていない課題や運用上の問題点についても確認することが重要です。
ステップ(7):マネジメントレビューの実施
内部監査を実施した後は、その結果を経営層へ報告し、マネジメントレビュー(経営層レビュー)を行います。
この報告では、内部監査の結果だけでなく、自社を取り巻く環境の変化についても共有する必要があります。
例えば、ビジネス環境の変化や法改正、顧客からの要望などに応じて、組織のISMSには継続的な見直しが求められるためです。
マネジメントレビューでは、これらの情報をもとに、経営層が現在の方針やルールを確認し、必要に応じて改善・修正を指示します。
ISMSを形だけの仕組みにせず、実効性のある運用を継続するためにも、定期的なマネジメントレビューは欠かせません。
ステップ(8):認証機関による審査
マネジメントレビューまで完了したら、認証機関に申請を行い、審査を受けます。
審査は、主に「一次審査(文書審査)」と「二次審査(現地審査)」の2段階で実施されます。
| 一次審査 (文書審査) |
・提出したISMS文書が、 ISO/IEC 27001の要求事項を満たしているかを確認する |
|---|---|
| 二次審査 (現地審査) |
・審査員が実際に企業・組織を訪問し、文書で定めた内容どおりに運用されているかを確認する |
ステップ(9):認証取得
ISO/IEC 27001に適合し、適切な運用が行われていると認められた場合、認証機関からISMS登録証が発行されます。
ただし、ISMS認証は一度取得すれば終わりではありません。
認証を維持するためには、1年ごとのサーベイランス審査(維持審査)と、3年ごとの更新審査を受ける必要があります。
これらの審査では、認証取得時に構築した管理体制が適切に維持・運用されているか、また、課題に対する改善が継続的に行われているかなどが確認されます。
ISMS認証の取得に必要な期間と費用
ISMS認証の取得を検討する際は、取得までに必要な期間や費用についても事前に把握しておくことが重要です。
取得にかかる期間や費用は、企業規模や適用範囲、既存のセキュリティ体制などによって大きく異なります。
ここでは、ISMS認証取得に必要な期間と費用の目安について解説します。
ISMS認証取得までの期間
ISMS認証機関へ審査を申し込んでから順調に審査を進められた場合、認証取得まではおよそ4か月かかります。
この期間には、「一次審査(文書審査)」「二次審査(現地審査)」「審査時の指摘に対する修正対応」などが含まれます。
また、二次審査を受ける前には、ISMSを実際に運用した実績を確認するため、一般的に3か月程度の運用期間を設ける必要があります。
さらに、ISMSに適合した体制や運用ルールを整備するための準備期間も必要となるため、実際には数か月〜半年程度の準備を見込むケースが一般的です。
そのため、ISMS認証の取得を目指す場合は、以下のようなスケジュール感で進めると比較的余裕を持って対応できます。
| 項目 | 目安期間 |
|---|---|
| ISMS運用期間 | 約3か月 |
| 認証機関による審査期間 | 約4か月 |
| 環境整備・準備期間 | 数か月〜半年程度 |
出典:日本科学技術連盟 ISO審査登録センター|よくある質問
ISMS取得のための費用
ISMS認証を取得する際は、前述の通り、認証機関による審査を受ける必要があります。
コンサルティング会社などの外部サービスを利用しない場合、主な費用は認証機関へ支払う審査費用です。
審査費用は、組織規模や業種、適用範囲などによって異なりますが、初回の認証取得では50万円から130万円程度が一般的な相場とされています。
また、ISMS認証は取得後も、年1回の「維持審査」と、3年ごとの「更新審査」を受ける必要があります。
それぞれの費用相場は、以下の通りです。
| 項目 | 概要 | 費用の目安(例) |
|---|---|---|
| 初期審査費用 | 初回の認証審査(一次審査・二次審査)にかかる費用 | 50~130万円 (組織規模による) |
| 維持審査費用 | 認証取得後、毎年実施される維持審査費用 | 20~50万円程度/年 |
| 更新審査費用 | 3年ごとに行われる再認証のための審査費用 | 40~90万円程度 |
各費用は、認証機関や審査範囲などによって変動する可能性があります。
そのため、ISMS認証取得を検討する際は、事前に複数の認証機関から見積もりを取得して比較することが重要です。
また、費用だけでなく、担当者の工数や運用負荷も考慮し、無理のないスケジュールで進めることも考慮しましょう。
ISMS運用時の課題と解決策
ISMS認証を適切に運用することで、取引先からの信頼性向上や、組織全体のセキュリティ体制強化につながります。
また、情報資産やリスクを可視化できるため、優先度に応じた効率的なセキュリティ対策を実施しやすくなる点もメリットです。
しかしその一方で、ISMS運用には一定の工数や運用負荷が発生するため、多くの企業・組織がさまざまな課題に直面しています。
ここでは、ISMS運用時によくある課題と、その解決策について解説します。
運用が形骸化してしまう
「取引先からISMS認証の取得を求められたため導入した」など、認証取得そのものを目的にしてしまうと、運用が形骸化しやすくなる傾向があります。
例えば、審査を通過することを重視し、実態に合わないルールを策定したり、過度に厳しいルールを設定したりしてしまうと、業務効率が低下し、ルール自体が守られなくなる可能性もあります。
そのため、ISMS認証を導入する際は、「認証取得」をゴールとするのではなく、「ISMSの運用を通して何を実現したいのか」という目的を明確にすることが重要です。
また、ルールや手順を策定する際は、現場担当者へのヒアリングを行い、実際の業務フローに即した無理のない運用設計を行う必要があります。
リソースが確保できない
ISMS運用では、文書作成や情報資産管理、監査対応など、多くの業務が発生します。
特に中小企業においては、ISMS運用に必要な人員や時間を十分に確保できないケースも少なくないでしょう。
こうした課題に対しては、文書管理ツールなどを活用して一部業務を効率化したり、外部コンサルタントへ運用支援を依頼したりする方法が有効です。
自社だけで対応しようとせず、必要に応じて外部サービスを活用することで、運用負荷の軽減につながります。
ISMS認証の取得支援に「LANSCOPEエンドポイントマネージャークラウド版」
ISMSを継続的に運用していくためには、情報資産管理やログ確認、セキュリティ対策の実施状況確認など、さまざまな管理業務を継続的に行う必要があります。
しかし、これらをすべて手動で行う場合、多くの工数や人的リソースが必要となり、担当者の負担が大きくなりやすいという課題が生じます。
こうしたISMS運用の負荷軽減に役立つツールとして、本記事では「LANSCOPE エンドポイントマネージャー クラウド版」を紹介します。
本サービスは、PC・スマホをクラウド上で一元管理できるIT資産管理・MDMツールです。
ISMSに準拠した情報セキュリティ体制の構築・運用を支援する、以下のような機能を搭載しています。
| 機能名 | 内容 |
|---|---|
| 資産管理 | ・ PC、スマホ・タブレットのハードウェア情報/設定情報を自動取得し、一覧で確認が可能 ・自動取得できない項目も任意項目として追加・編集でき、台帳管理を効率化 |
| 操作ログ | ・「どのPCで」「いつ」「どのような操作を行ったか」など、デバイスの利用状況を把握可能 ・過去2年分(ログ運用オプション利用時は5年分)のログを、期間・キーワード・ログ種別ごとに検索可能 |
| セキュリティ | ・Windows PCの機能更新プログラムや品質更新プログラムの適用状況を確認可能 ・未適用デバイスに対して、更新プログラムの配信設定が可能 ・PCやスマホ紛失時には、遠隔で画面ロックやワイプ(初期化)を実行可能 |
「LANSCOPE エンドポイントマネージャー クラウド版」には、このほかにも、ISMS運用や情報資産管理の効率化に役立つさまざまな機能が搭載されています。
ISMS運用の負荷軽減や、情報セキュリティ体制の強化を検討している方は、ぜひ下記ページ・資料をご確認ください。
3分で分かる!
LANSCOPE エンドポイントマネージャー クラウド版
PC・スマホをクラウドで一元管理できる「LANSCOPEエンドポイントマネージャー クラウド版」とは?についてわかりやすく解説します。機能や特長、価格について知りたい方はぜひご活用ください。
まとめ
本記事では「ISMS認証」をテーマに、概要や取得の流れ、運用時のポイントなどを解説しました。
本記事のまとめ
- 「ISMS」とは、Information Security Management Systemの略称であり、情報セキュリティマネジメントシステムを意味する
- ISMSが国際規格「ISO/IEC 27001」に準拠して運用されていることを、第三者機関が認証する制度が「ISMS認証」
- Pマーク(プライバシーマーク)は、個人情報保護に特化した認定制度であり、ISMSとは対象範囲や目的が異なる
- ISMS認証を取得することで、顧客・取引先からの信頼性向上や、取引機会拡大などのメリットが期待できる
- 一方で、取得・運用には工数やコストが発生するため、継続的に運用できる体制づくりが重要
ISMS認証は、「取得すること」自体を目的にしてしまうと、運用が形骸化してしまう可能性があります。
そのため、「ISMS運用を通じて何を実現したいのか」を明確にし、自社の実態に合ったルールや運用体制を構築することが重要です。
また、ISMSの運用負荷を軽減するためには、ツールや外部サービスを活用しながら、無理のない形で継続運用していくことも大切です。
本記事で紹介した「LANSCOPE エンドポイントマネージャー クラウド版」は、情報資産管理やログ管理、セキュリティ対策など、ISMS運用を支援するさまざまな機能を搭載しています。
ISMS運用の効率化や、情報セキュリティ体制強化を検討している企業・組織の方は、ぜひ「LANSCOPE エンドポイントマネージャー クラウド版」の導入をご検討ください。
3分で分かる!
LANSCOPE エンドポイントマネージャー クラウド版
PC・スマホをクラウドで一元管理できる「LANSCOPEエンドポイントマネージャー クラウド版」とは?についてわかりやすく解説します。機能や特長、価格について知りたい方はぜひご活用ください。
おすすめ記事
