ISMSとは、リスクアセスメントに基づき、保有する情報の重要度に合わせ、適切なマネジメントを実施・継続的に改善するための仕組みを指します。

ISMSと混同されやすいものとして「ISO/IEC 27001」があります。
ISMSは前述した通り、実際に組織が情報セキュリティマネジメントを実施する「仕組み」であり、ISO/IEC 27001は ISMSを「構築・運用するための基準（ルール）」という関係性です。

また、ISMSはPマークとたびたび比較されますが、Pマークは保護対象が「個人情報のみ」であるのに対し、ISMSは「個人情報を含めた情報全体」が保護対象になるという点が異なります。

このISMS認証を取得すると、適切なセキュリティ環境の構築に繋がるだけでなく、顧客や取引先からの信頼を獲得できるというメリットがあります。

しかしながら、組織のセキュリティ環境の構築が疎かになっている状態からISMSを導入する場合は、「コストや工数が増加する可能性がある」ということを理解しておきましょう。

気になる取得費用は、50人規模の組織の場合、100万円程度が相場です。

取得までの期間に関しては、順調に審査をクリアすれば申請から最短約4か月で登録証書をもらうこともできます。

この記事では、ISMSの概要や取得するメリット・デメリットなどを解説します。

ISMSとは？基礎知識

「ISMS」とは「Information Security Management System」の頭文字を取った略語で、情報セキュリティマネジメントシステムを意味する用語です。

リスクアセスメント（職場に潜む危険性・リスクを改善するための分析や取り組み）に基づき、保有する情報の重要度に合わせ、適切なマネジメントを実施・継続的に改善するための仕組みと考えることができます。

事業を継続するにつれ、多くの組織では保有する機密情報は増加し、運用も煩雑になることが予想されます。複雑化した業務や情報のマネジメントの仕組みを組織が独自に構築するには、膨大な工数や知識が必要な上、組織によって管理品質に差異が出てしまいます。

そのため、ISMSを構築・運用する際には「ISO27001」と呼ばれる国際規格に従って、自社のセキュリティ環境を整備することになります。

ISO/IEC 27001とは

「ISO/IEC 27001」とは、ISMSを構築・運用する上で満たさなければならない、要件やルールを国際的な規格として定めたものです。

両者の違いとして、ISMSは実際に組織が情報セキュリティマネジメントを実施する「仕組み」を、ISO/IEC 27001が ISMSを「構築・運用するための基準（ルール）」であることが挙げられます。

また、ISO/IEC 27001の制定・発行に伴い、国内規格として日本産業標準調査会（JISC）により作られたのが、「JIS Q 27001」です。JIS Q 27001は国際規格であるISO/IEC 27001と、整合性が順守されるよう取り決められています。

ISMSと「Pマーク」の違い

ISMSに似ている資格にPマーク（プライバシーマーク）があります。

Pマークは「個人情報の取り扱い」に焦点を当てた認定制度で、取得することにより「個人情報の取り扱いにおいて一定のレベルを満たすこと」を証明できます。

一方、ISMSは「個人情報を含めた情報全体」を管理・マネジメントするシステムであり、取得すればPマークより幅広い範囲で、十分なセキュリティ管理を行えることが証明できます。

情報セキュリティの3要素である「機密性」「完全性」「可用性」を維持し、安全な情報の取り扱いや保管を行うことがISMSの目的と言えます。

※2022年10月現在

情報セキュリティ３要素の「機密性」「完全性」「可用性」とは

ISMSを理解する上で、知っておきたい概念が情報セキュリティにおける3つの要素「機密性」「完全性」「可用性」です。ISMSの規定に則るには、組織で情報資産を扱う際、この3つの要素が担保された状態でなければなりません。

■　機密性…利用を許可された者のみ、「情報資産」にアクセスできる（許可されていないものはアクセスできない）状態であること
■　完全性…「情報資産」が改ざんや削除をされず、情報が正確な状態であること
■　可用性…「情報資産」を利用すべき者が、速やかにアクセスし活用できる状態であること

情報資産をセキュリティだけを重視すれば、自ずと「機密性」「完全性」ばかりが高まりますが、情報活用の利便性を高める観点であれば「可用性」の観点も必要となります。

組織が情報資産を扱う上では、「機密性」「完全性」「可用性」の3要素が、バランスよく満たされていることが重要です。社内で情報の取り扱いに関するセキュリティルール等を策定する際には、これらの順守を意識して進行することが望ましいでしょう。

ISMSを取得するメリット・デメリット

ISMS認証を取得することで、組織にどのようなメリット・デメリットがあるのか解説します。

メリット

1．バランスの良いセキュリティ環境の実現
セキュリティの専門家が在籍していれば必要なセキュリティ対策や運用を講じることができますが、そうでない組織ではどのようなセキュリティ環境が必要なのかが明確にならないケースがあります。
ISMSは多くの業種で適用できる総合的な情報セキュリティマネジメントの仕組みです。
ISMSに準拠したルールの作成や管理を行うことは、抜けや漏れのない適切なセキュリティ環境の構築に繋がります。

2．顧客や取引先からの信頼を獲得
組織がどのような情報セキュリティ対策を講じ、どのような運用を行っているのか、外部からは詳細を知ることができません。
また、組織自らが情報セキュリティ対策を丁寧に講じていることをアピールしても、全面的に信頼してもらうことは難しいでしょう。
一貫した基準で組織の情報セキュリティ環境を審査されるISMS認証を取得することで、最低でもISMSの基準をクリアしていることを証明することになります。
そのため、顧客や取引先の信頼を得ることにつながり、ビジネスの広がりを期待できます。

デメリット

1．工数・コストの増加
組織のセキュリティ環境の構築が疎かになっている状態からISMSを導入する場合、コストや工数が増加することは多くあります。
ISMS認証の取得には各種文書の作成や担当者の任命、運用に向けた改善など多くの作業が必要です。
また、取得後の運用もISMSの観点から様々なルールが制定されます。
そのため、ISMSを実現するための人件費やセキュリティ環境を整えるためのコストは増加する傾向にあります。

コスト増加の懸念はありますが、少しずつでも適切なセキュリティ環境を整えていくことは現代のビジネスにおいて重要な要素であると考えられます。

ISMSを取得する流れ

ISMSは前述のISO27001に定められた規格を満たし、認証機関から認証されることで取得できます。
ここでは、組織内でのISMS整備フェーズと、認証機関による認証フェーズに分けて解説します。

ISMSの整備

1．適用範囲と体制の策定
組織を取り巻く環境や現状の課題、利用しているシステムを整理して、ISMSを適用する範囲を決定します。
また、ISMSを維持・運用するための体制を責任者や担当者の任命を含めて決定します。

2．情報セキュリティ方針の策定
どのような方針でISMSに取り組むか、組織のあるべき姿や解決するべき課題を文書化します。
組織としての方針を定めるため、経営層やCISO（Chief Information Security Office＝最高情報セキュリティ責任者 ）の参加が必要です。

3．ISMS文書の作成
2.で文書化した方針を実現するための文書を、1.で策定した体制で作成します。
通常、「どのようなマネジメントを行うのか」の管理系の文書と、「どのようなセキュリティ対策を施すのか」のセキュリティ系文書が作成されます。

4．リスクアセスメントの実施
組織における脅威やリスクを特定し、リスク度合いや対処を行う優先度を整理します。
特定したリスクへの対応策は、必要に応じて文書化します。

5．ISMS運用
作成したISMS文書に従った運用を行います。
ISMS活動に関するレビューや教育、リスクへの対処が行われているかなども含まれます。

認証機関による審査と認定

1．認証機関へ審査申請
自組織のISMSを審査してもらうための申請を行います。
認証機関は複数あり、任意の認証機関を選択します。
業務の専門性やオフィスの所在地によっては特定の認証機関では対応できない場合があるため、事前に確認しておきましょう。
※ 参考：情報マネジメントシステム認定センター「ISMS認証機関一覧」

2．1次審査
作成したISMSに関連する文書類がISO27001の要求事項を満たしているかを審査します。
経営層や管理職も参加し、組織が認識している課題やセキュリティ方針に関するヒアリングも行われます。

3．2次審査
組織の運用が、定められたISMSを遵守しているかどうかを審査します。
ISMS担当者の報告だけではなく、実際の現場も確認対象です。
1次審査で確認した組織の方針や目的に沿った運用であるかもポイントです。

4．認証機関による認証
ISO27001に適合し、適切な運用が行われていることが認められた場合は認証機関からISMSの登録証が発行されます。
認証の有効期間は3年間です。

5．認証の維持
ISMSの認証は3年ですが、1年ごとにサーベイランス審査（維持審査）と呼ばれる審査を受ける必要があります。
ISMS取得時に実現されていた環境が問題なく維持されており、課題となっていた部分に改善があるか等を審査します。

6．認証の更新
認定を受けてから3年で、再認証審査を受ける必要があります。
ISMS関連文書が適切に維持され、現場でもISMSに準拠した運用が行われているかを審査します。

ISMSを取得し、運用するためには多くの文書や運用ルールの策定を行う必要があり、定期的に審査が必要です。

ISMSの運用

組織が定めたISMSは、実際に運用を行って初めて意味をなします。
組織により運用方法に違いはありますが、ここでは例として「教育」「管理」「内部監査」「レビュー」を解説します。

教育

ISMSの運用は文書の作成だけではなく、従業員がISMSに従って業務を遂行する必要があります。
そのためには、従業員に十分なリテラシーが備わっていることが必須です。
組織が定めるISMSの内容はもちろん、一般的なITリテラシー教育を盛り込んだ定期的な教育を実施します。

管理

ISMSの整備で実施したリスクアセスメントの結果は、組織を取り巻く環境や業務内容により変化します。
定期的に内容を見直し、リスク対応策の変更が必要であれば、対応手順などの文書も含めて更新しましょう。

内部監査

ISMSに準拠して業務が遂行され、ISO27001の要求から逸脱した行為がないかを組織内部でチェックします。
一般的に、内部監査は事前に計画を作成して行います。監査チェックリストを用意し、各部署へスケジュールを公開した上で実施するとスムーズです。

現場レベルで従業員が気づいた脅威やリスクは、組織のセキュリティ環境を高める上で重要な情報です。監査員は従業員からヒアリングし、文書化されていない課題や問題点のチェックを行うとよいでしょう。

マネジメントレビュー

ISMSの管理責任者が、トップマネジメントのトップである組織の代表や役員にISMSの運用状況や課題を報告します。
ビジネス環境の変化や法の改正、顧客からの要望など、組織のISMSは常に変化を求められます。
それらの情報と組織の現状を組織のトップに報告し、トップマネジメントにより改善やルールの見直しを指示することがマネジメントレビューです。

これらの管理は、ISMS制定時に策定した管理体制のメンバーが主に実施し、必要に応じて関連部署の担当者に協力を仰ぐことも大切です。

ISMSの取得に必要な期間と費用

ISMSを取得するためには、組織の環境を整える期間と、認証機関へ支払う費用が発生します。

ISMS取得までの期間

ISMS認証機関へ審査の申し込みを行なってから、順調に審査をクリアすれば約4カ月が目安です。

 
また、2次審査を行なうまでには3カ月程度の運用期間が望ましいとされています。

 
これらに加えて、ISMSに適合した環境を整備するための期間が必要です。
数カ月から半年程度が目安となりますが、組織規模や担当者のリソース、コンサルタント会社利用の有無によっても異なります。
審査までの運用期間（3カ月)+認証機関による審査（4カ月)+組織内での環境整備期間（数カ月～半年）を見込めば、余裕のあるスケジュールで取得できます。

ISMS取得のための費用

ISMSを取得する際は、前述の通り認証機関による審査を受ける必要があります。
コンサルタント会社などの外部サービスを利用しない場合、この認証機関へ支払う審査費用がISMS取得に必要な金額となります。

審査費用は組織の規模や業種により異なりますが、50人規模の組織がISMSを取得する場合は100万円程度が相場です。
また、ISMSは年に1回の維持審査、3年に1回の更新が必要となります。
維持審査は約50万円、更新審査で約70万円が概ねの相場です。
各費用は認証機関や諸条件により大きく異なる可能性があります。
そのため、自組織がISMSを取得する場合のコストは、個別に認証機関から見積もりを取得しましょう。

コストや担当者の工数は事前に計画し、取得希望日へ向けて無理のないスケジュールを立てることが大切です。

LANSCOPEエンドポイントマネージャークラウド版ならISMS認証取得の支援が可能

ISMS認証の取得においては、情報セキュリティのための体制を構築し、運用のPDCAサイクルを回すことが求められますが、情報資産の把握やインシデントの有無などは人力で行うとなるとかなりの工数が掛かります。
ここで重要となるのがツールの活用です。

弊社が提供する、IT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」には、情報セキュリティ体制を構築するための以下の機能が備わっています。

●Windowsアップデート管理
●操作ログの収集

詳しい機能は、以下のページよりご覧ください。

ISMSにより安全なビジネス環境を

本記事では「ISMS認証」をテーマに、概要や導入方法などを解説しました。

ISMSを取得するためには、事前の準備に多くの工数が必要となり、取得後もPDCAサイクルを回しながら運用する必要があります。

しかし、組織のセキュリティに必要な要素は非常に多く、ISMSによる明確な要求事項を満たすことで堅牢なセキュリティマネジメントを行えるのは大きなメリットです。

組織全体の理解と協力的な姿勢を得ながら、着実にISMSの構築を目指しましょう。