Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
セキュリティ意識が高まる現代では、1件のセキュリティインシデントで組織の信用が大きく失墜してしまうケースも珍しくありません。
セキュリティ環境を堅牢にするべく、各組織は様々な努力をしています。
また、組織が取引先や利用するサービスを検討する際にも、相手先がどのような情報セキュリティマネジメントを行っているのかは選定基準の一つにもなっているのではないでしょうか。
この記事では、ISMSの基本と認証取得へ向けてどのようなことをすればよいのかを解説します。
ISMSの基礎知識
「ISMS」とは「Information Security Management System」の頭文字を取った略語で、情報セキュリティマネジメントシステムを意味します。
リスクアセスメントに基づき、保有する情報の重要度に合わせたマネジメントを実施・運用し継続的に改善するための仕組みと考えることができます。
事業を継続するにつれて、組織が保有する機密情報は増加し、運用も煩雑になってしまう傾向にあるのではないでしょうか。
複雑化した業務や情報をマネジメントする仕組みを独自に構築することは、膨大な工数や知識が必要であり、組織によって品質に差が出てしまいます。
そのため、ISMSを構築・運用する際には「ISO27001」と呼ばれる国際規格に従って環境を整備することになります。
ISO27001
ISO27001は、ISMSを構築する上で必要となる要件や要求を規格として定めたものです。
文脈によってはISMSと同様の使われ方をしますが、ISMSは実際に組織が実施する仕組み、ISO27001はISMSを構築・運用するための基準であることを理解しておきましょう。
Pマークとの違い
ISMSに似ている資格にPマーク(プライバシーマーク)があります。
Pマークは個人情報の取り扱いに焦点を当てた認定制度で、取得した組織は一定の基準をクリアする品質で個人情報を取り扱っていることが証明されます。
ISMSでは個人情報を含めた情報全体が対象となっており、Pマークよりも広い範囲の資格と言えます。
情報セキュリティの3要素である「機密性」「完全性」「可用性」を維持し、安全な情報の取り扱いや保管を行うことがISMSの目的と言えます。
ISMSを取得するメリット・デメリット
ISMS認証を取得することで、組織にどのようなメリット・デメリットがあるのか解説します。
メリット
1.バランスの良いセキュリティ環境の実現
セキュリティの専門家が在籍していれば必要なセキュリティ対策や運用を講じることができますが、そうでない組織ではどのようなセキュリティ環境が必要なのかが明確にならないケースがあります。
ISMSは多くの業種で適用できる総合的な情報セキュリティマネジメントの仕組みです。
ISMSに準拠したルールの作成や管理を行うことは、抜けや漏れのない適切なセキュリティ環境の構築に繋がります。
2.顧客や取引先からの信頼を獲得
組織がどのような情報セキュリティ対策を講じ、どのような運用を行っているのか、外部からは詳細を知ることができません。
また、組織自らが情報セキュリティ対策を丁寧に講じていることをアピールしても、全面的に信頼してもらうことは難しいでしょう。
一貫した基準で組織の情報セキュリティ環境を審査されるISMS認証を取得することで、最低でもISMSの基準をクリアしていることを証明することになります。
そのため、顧客や取引先の信頼を得ることにつながり、ビジネスの広がりを期待できます。
デメリット
1.工数・コストの増加
組織のセキュリティ環境の構築が疎かになっている状態からISMSを導入する場合、コストや工数が増加することは多くあります。
ISMS認証の取得には各種文書の作成や担当者の任命、運用に向けた改善など多くの作業が必要です。
また、取得後の運用もISMSの観点から様々なルールが制定されます。
そのため、ISMSを実現するための人件費やセキュリティ環境を整えるためのコストは増加する傾向にあります。
コスト増加の懸念はありますが、少しずつでも適切なセキュリティ環境を整えていくことは現代のビジネスにおいて重要な要素であると考えられます。
ISMSを取得する流れ
ISMSは前述のISO27001に定められた規格を満たし、認証機関から認証されることで取得できます。
ここでは、組織内でのISMS整備フェーズと、認証機関による認証フェーズに分けて解説します。
ISMSの整備
1.適用範囲と体制の策定
組織を取り巻く環境や現状の課題、利用しているシステムを整理して、ISMSを適用する範囲を決定します。
また、ISMSを維持・運用するための体制を責任者や担当者の任命を含めて決定します。
2.情報セキュリティ方針の策定
どのような方針でISMSに取り組むか、組織のあるべき姿や解決するべき課題を文書化します。
組織としての方針を定めるため、経営層やCISO(Chief Information Security Office=最高情報セキュリティ責任者 )の参加が必要です。
3.ISMS文書の作成
2.で文書化した方針を実現するための文書を、1.で策定した体制で作成します。
通常、「どのようなマネジメントを行うのか」の管理系の文書と、「どのようなセキュリティ対策を施すのか」のセキュリティ系文書が作成されます。
4.リスクアセスメントの実施
組織における脅威やリスクを特定し、リスク度合いや対処を行う優先度を整理します。
特定したリスクへの対応策は、必要に応じて文書化します。
5.ISMS運用
作成したISMS文書に従った運用を行います。
ISMS活動に関するレビューや教育、リスクへの対処が行われているかなども含まれます。
認証機関による審査と認定
1.認証機関へ審査申請
自組織のISMSを審査してもらうための申請を行います。
認証機関は複数あり、任意の認証機関を選択します。
業務の専門性やオフィスの所在地によっては特定の認証機関では対応できない場合があるため、事前に確認しておきましょう。
※ 参考:情報マネジメントシステム認定センター「ISMS認証機関一覧」
2.1次審査
作成したISMSに関連する文書類がISO27001の要求事項を満たしているかを審査します。
経営層や管理職も参加し、組織が認識している課題やセキュリティ方針に関するヒアリングも行われます。
3.2次審査
組織の運用が、定められたISMSを遵守しているかどうかを審査します。
ISMS担当者の報告だけではなく、実際の現場も確認対象です。
1次審査で確認した組織の方針や目的に沿った運用であるかもポイントです。
4.認証機関による認証
ISO27001に適合し、適切な運用が行われていることが認められた場合は認証機関からISMSの登録証が発行されます。
認証の有効期間は3年間です。
5.認証の維持
ISMSの認証は3年ですが、1年ごとにサーベイランス審査(維持審査)と呼ばれる審査を受ける必要があります。
ISMS取得時に実現されていた環境が問題なく維持されており、課題となっていた部分に改善があるか等を審査します。
6.認証の更新
認定を受けてから3年で、再認証審査を受ける必要があります。
ISMS関連文書が適切に維持され、現場でもISMSに準拠した運用が行われているかを審査します。
ISMSを取得し、運用するためには多くの文書や運用ルールの策定を行う必要があり、定期的に審査が必要です。
ISMSの運用
組織が定めたISMSは、実際に運用を行って初めて意味をなします。
組織により運用方法に違いはありますが、ここでは例として「教育」「管理」「内部監査」「レビュー」を解説します。
教育
ISMSの運用は文書の作成だけではなく、従業員がISMSに従って業務を遂行する必要があります。
そのためには、従業員に十分なリテラシーが備わっていることが必須です。
組織が定めるISMSの内容はもちろん、一般的なITリテラシー教育を盛り込んだ定期的な教育を実施します。
管理
ISMSの整備で実施したリスクアセスメントの結果は、組織を取り巻く環境や業務内容により変化します。
定期的に内容を見直し、リスク対応策の変更が必要であれば、対応手順などの文書も含めて更新しましょう。
内部監査
ISMSに準拠して業務が遂行され、ISO27001の要求から逸脱した行為がないかを組織内部でチェックします。
一般的に、内部監査は事前に計画を作成して行います。監査チェックリストを用意し、各部署へスケジュールを公開した上で実施するとスムーズです。
現場レベルで従業員が気づいた脅威やリスクは、組織のセキュリティ環境を高める上で重要な情報です。監査員は従業員からヒアリングし、文書化されていない課題や問題点のチェックを行うとよいでしょう。
マネジメントレビュー
ISMSの管理責任者が、トップマネジメントのトップである組織の代表や役員にISMSの運用状況や課題を報告します。
ビジネス環境の変化や法の改正、顧客からの要望など、組織のISMSは常に変化を求められます。
それらの情報と組織の現状を組織のトップに報告し、トップマネジメントにより改善やルールの見直しを指示することがマネジメントレビューです。
これらの管理は、ISMS制定時に策定した管理体制のメンバーが主に実施し、必要に応じて関連部署の担当者に協力を仰ぐことも大切です。
ISMSの取得に必要な期間と費用
ISMSを取得するためには、組織の環境を整える期間と、認証機関へ支払う費用が発生します。
ISMS取得までの期間
ISMS認証機関へ審査の申し込みを行なってから、順調に審査をクリアすれば約4カ月が目安です。
Q8.申請から登録証書がもらえるまで最短でどのくらいですか?
認証機関に申請されてから順調にいけば約4ヶ月での登録証発行が可能です。ただし、審査の中で指摘された内容に対する是正処置に時間がかかったりしますと、それ以上の期間がかかることもあります。
※ 出典:日本科学技術連盟 ISO審査登録センター
また、2次審査を行なうまでには3カ月程度の運用期間が望ましいとされています。
ISMS取得までの期間
ISMS認証機関へ審査の申し込みを行なってから、順調に審査をクリアすれば約4カ月が目安です。
Q5.審査を受ける上で目安となる運用期間(試運転期間)はどのくらいでしょうか?
審査は初回審査一次(文書審査=システム構築状況の確認)と初回審査二次(実地審査=システム運用状況の確認)の二段階の審査で行われますが、二次審査までに3ヶ月程度の運用期間を見ておいていただくことが望ましいです。
※ 出典:日本科学技術連盟 ISO審査登録センター
これらに加えて、ISMSに適合した環境を整備するための期間が必要です。
数カ月から半年程度が目安となりますが、組織規模や担当者のリソース、コンサルタント会社利用の有無によっても異なります。
審査までの運用期間(3カ月)+認証機関による審査(4カ月)+組織内での環境整備期間(数カ月~半年)を見込めば、余裕のあるスケジュールで取得できます。
ISMS取得のための費用
ISMSを取得する際は、前述の通り認証機関による審査を受ける必要があります。
コンサルタント会社などの外部サービスを利用しない場合、この認証機関へ支払う審査費用がISMS取得に必要な金額となります。
審査費用は組織の規模や業種により異なりますが、50人規模の組織がISMSを取得する場合は100万円程度が相場です。
また、ISMSは年に1回の維持審査、3年に1回の更新が必要となります。
維持審査は約50万円、更新審査で約70万円が概ねの相場です。
各費用は認証機関や諸条件により大きく異なる可能性があります。
そのため、自組織がISMSを取得する場合のコストは、個別に認証機関から見積もりを取得しましょう。
コストや担当者の工数は事前に計画し、取得希望日へ向けて無理のないスケジュールを立てることが大切です。
ISMSにより安全なビジネス環境を
ISMSを取得するためには、事前の準備に多くの工数が必要となり、取得後もPDCAサイクルを回しながら運用する必要があります。
しかし、組織のセキュリティに必要な要素は非常に多く、ISMSによる明確な要求事項を満たすことで堅牢なセキュリティマネジメントを行えるのは大きなメリットです。
とはいえ、優れたISMSの環境であっても、従業員が情報セキュリティの重要性を理解し適切な行動を心がけなければ、効果は大きく損なわれます。
組織全体の理解と協力的な姿勢を得ながら、着実にISMSの構築を目指しましょう。
関連する記事
