ISMSとは？ 認証に必要な取り組みやメリット、取得の流れを解説

ISMSとは、情報セキュリティを総合的に管理するための仕組みのこと

ISMSは、組織の情報セキュリティを総合的に管理するための仕組みを指します。「IS」は情報セキュリティ（Information Security）、「MS」はマネジメントシステム（Management System）の略であり、それぞれの頭文字をとってISMSと呼ばれています。組織に必要とされるセキュリティレベルを定め、プランを立てて資源の配分を行い、システムを運用するプロセス全体を指す概念と捉えてください。まずはISMSへの理解を深めるために、情報セキュリティとマネジメントシステムの基本を紹介していきます。

情報セキュリティ：セキュリティに関する社内ルールを整備する

情報セキュリティは「機密性」「完全性」「可用性」の3要素から構成されています。

上記の3要素を維持することが、情報セキュリティに求められている役割といえます。セキュリティリスクを洗い出したり、リスクの優先順位づけや具体的なセキュリティ対策、セキュリティに関する社内のルール整備を行ったりすることは、情報セキュリティを実現するための取り組みとなります。

マネジメントシステム：管理を仕組み化する

マネジメントシステムとは「管理するための仕組み」のことです。組織が何らかの目的を達成するには、個別の事象を積み重ねるなかで、それらを汎用化してルールや手順を整えることでより幅広い事象に対応できるような仕組みを作っていく必要があります。リスクを回避するためのルールや、作業の具体的な手順をまとめたマニュアル、いつまでに何を完了させるかを定めた計画などは、いずれも管理するための仕組みと考えていいでしょう。

しかし、あるルールを定めたことで別のルールとの間で矛盾が生じたり、紆余曲折を経て作成したマニュアルが現場の実態とは異なる施策になっていたりすることも少なくないのが実情です。全体として整合性が保たれた矛盾のないルールや仕組みを制定するには、個別のルールや仕組みを一つのまとまりとして「マネジメントシステム」に統合し、管理していく必要があります。

ISMSの国際規格「ISO/IEC 27001」とは

ISMSには、第三者適合性評価制度があります。第三者適合性評価制度とは、製品やサービスなどが必要な要求事項に適合しているか、購入者の代わりに第三者である認証機関が保証する制度のことです。日本でISMSの認証を行うのは、審査登録機関の一般財団法人日本品質保証機構です。ISMS認証を取得するには、情報セキュリティに関する自社のルールを制定し、それにのっとって運用しているというだけでなく、国際規格である「ISO/IEC 27001」を満たしたISMSを作成し、審査に合格する必要があります。

ISO/IEC 27001はISMSの要求事項を定めた規格

ISO/IEC 27001とは、ISMSの要求事項を定めた規格のことです。企業などの組織がISMSを構築・実施し、継続的に改善を図っていくために必要とされる事項がまとめられたものと捉えてください。ISMSはあくまで情報セキュリティを担保するためのマネジメントの仕組みを指す言葉であり、具体的にどのような方法で実現するかを示した規格ではありません。つまり、ISO/IEC 27001の要求事項を満たすISMSを実現し、その認証を受けることがISMS認証を取得するということになります。

なお、近年増加しているクラウドサービスに関する国際規格として、ISO/IEC 27017が挙げられます。ISO/IEC 27017は、ISO/IEC 27001をベースにクラウドサービスに関する情報セキュリティ管理策のガイドラインを定めた規格です。クラウドサービスのセキュリティに関する信頼性の高い取り組みを対外的にアピールしたい場合には、ISO/IEC 27001とISO/IEC 27017の両方の取得を目指してみてはいかがでしょうか。

ISO/IEC 27001の構成

ISO/IEC 27001は、「要求事項」と「附属書A」の2部構成です。要求事項には、ISO/IEC 27001を取得するために企業が実現すべき基本的な要件が書かれています。附属書Aには組織の情報セキュリティ上のリスクを軽減するための管理目的と、その管理目的を達成するための管理策が示されています。

ISO/IEC 27001の構成は下表のとおりです。「まえがき」から「10 改善」までが要求事項であり、附属書Aは表の末尾に記載されています。

ISO/IEC 27001の構成

項目	主な内容
まえがき	-
0 序文	・概要 ・他のマネジメントシステム規格との両立性
1 適用範囲	-
2 引用規格	-
3 用語及び定義	-
4 組織の状況	・組織及びその状況の理解 ・利害関係者のニーズ及び期待の理解 ・情報セキュリティマネジメントシステムの適用範囲の決定 ・情報セキュリティマネジメントシステム
5 リーダーシップ	・リーダーシップ及びコミットメント ・方針 ・組織の役割、責任及び権限
6 計画	・リスク及び機会に対処する活動 ・情報セキュリティ及びそれを達成するための計画策定
7 支援	・資源 ・力量 ・認識 ・コミュニケーション ・文書化した情報
8 運用	・運用の計画及び管理 ・情報セキュリティリスクアセスメント ・情報セキュリティリスク対応
9 パフォーマンス評価	・監視、測定、分析及び評価 ・内部監査 ・マネジメントレビュー
10 改善	・不適合及び是正処置 ・継続的改善
附属書A（規定）	管理目的及び管理策

ISO/IEC 27001の適用条件

ISMS認証を取得するには、「適用宣言書」を作成する必要があります。適用宣言書とは、前項で紹介した附属書Aに記載されている情報セキュリティ管理策のうち、自社に適用する項目・除外する項目とその理由を記載した文書のことです。

附属書Aの管理策をすべて適用する必要はないものの、除外した項目に関して「なぜ除外するのが妥当と判断したのか」、明確な理由を記載しなければなりません。リスクを過小評価したことが除外の理由になっていないか、といった点は審査のポイントになると考えられます。反対に、理由が不明確なまま適用している項目がないかといった点も、審査の対象となる可能性があります。

ISMSとPマークの違い

情報セキュリティに関する認証を目指す際に、「ISMSとPマークのどちらを取得すべきか」という点がよく議題に上がります。

ISMSとPマーク（プライバシーマーク）は、どちらも情報保護に関する認証制度です。ただし、Pマークは個人情報の管理について保護体制がきちんと構築され、適切に運用されているかどうかを評価するための制度という点が異なります。また、ISMSが国際規格に基づいているのに対して、Pマークは日本独自の規格に基づいている点も大きな違いです。

ISMSとPマークの比較

	ISMS	Pマーク
対象	情報資産全般	個人情報のみ
準拠規格	国際規格（ISO/IEC 27001）	日本独自の規格
取得単位	部署単位・プロジェクト単位での取得が可能	法人単位での取得に限る
有効期間	3年間 （1年ごとに継続審査、3年ごとに再認証審査が必要）	2年間 （更新審査のみ）

ISMS認証を取得するメリット

企業がISMS認証を取得すると、具体的にどのようなメリットを得られるのでしょうか。企業にとって重要度の高いメリットとしては、次の3つが挙げられます。

情報セキュリティレベルの向上

情報セキュリティ対策に不完全な点が残されている状態は、情報漏洩やサイバー攻撃などのリスクに無防備であることにほかなりません。ISMS認証の審査合格を目指すと、そのプロセスで情報セキュリティレベルの向上を図ることができます。

ISMS認証を取得する本来の目的は、自社の情報セキュリティレベルを高めることにあります。情報セキュリティに関わる重大な事故を未然に防ぐとともに、万が一事故が発生した際の影響を最小限にとどめられることは、ISMS認証を取得するメリットといえるでしょう。

自治体や大手企業案件の受注率の向上

ISMS認証を取得済みであることは、国際規格のISO/IEC 27001に基づく情報セキュリティ対策が講じられていることを意味します。国際規格に準拠したセキュリティレベルを実現している証明があると、対外的な信用度が高まり、大手企業との取引もしやすくなるでしょう。

自治体によっては、取引の条件としてISMS認証を取得済みであることを挙げているケースも見られます。ISMS認証の取得は取引の幅を広げ、受注率を向上させるきっかけにもなります。

IPOの準備にかかる工数の削減

IPO（新規上場株式）を予定している企業にとって、ISMS認証の取得はIPO準備の工数削減にもつながります。IPOに向けた準備には、情報セキュリティ対策を含むIT統制が不可欠です。しかし、国際規格に基づくISMS認証を取得していれば、IT統制はすでに高いレベルで実現できていることを意味します。IPOの準備に際して、IT統制に必要な工数を削減し、そのほかの準備に注力しやすくなることは、ISMS認証をあらかじめ取得しておくメリットといえるでしょう。

ISMS認証を取得するデメリット

ISMS認証の取得は多くのメリットを得られる反面、企業にとってデメリットとなりかねない面もあります。次に挙げる2つのデメリットも押さえた上で、ISMS認証を取得すべきか否か、慎重な判断が必要です。

ISMS認証取得の運用工数が多い

ISMS認証を取得するには、前述のとおり所定の審査を受けなければなりません。審査に向けて準備すべきことは非常に多く、準備すべき文書も多岐にわたります。また、国際規格に準じた情報セキュリティレベルを確保するために、既存の社内ルールの見直しが必要になったり、業務の進め方を変更せざるをえない場合もあるでしょう。

ISMS認証取得に際しては、運用工数が多いことから組織に負担がかかることが想定されます。そのため、申請に向けて必要な工程を計画的に進めるとともに、必要なリソースも確保しておくことが重要です。

審査費用がかかる

ISMS認証の審査には費用がかかります。取得時の審査に加え、1年ごとの継続審査や3年ごとの再認証審査の際にもそれぞれ費用が必要です。また、費用は一律ではなく、審査機関・対象企業の拠点数・従業員数などに応じて変動。少なくとも数十万円～数百万円の費用が発生します。ISMS認証の取得には、中長期的なメリット・デメリットを鑑みて、費用対効果が得られるかどうかを慎重に検討する必要があります。

ISMS認証を取得するために必要な取り組みとは？

ISMS認証の取得に向けては、さまざまな取り組みが求められます。ISMS認証取得に必要な具体的な取り組みは、次のとおりです。

ISMSの規格（ISO/IEC 27001）は「組織として何を実施すべきか」を示したものであり、具体的な取り組み方やノウハウを詳しく説明しているわけではありません。そのため、情報資産の洗い出しに必要以上の時間を費やしてしまったり、有効性の低いリスク対応策を選定してしまったりといった判断ミスが起こる可能性はあります。

ISMS認証の取得を目指すのであれば、情報資産の管理方法やログの管理、自社に適したセキュリティ対策などが実現しやすいツールを導入することも重要なポイントといえます。

ISMS認証取得までの流れ

ISMS認証取得までの流れを具体的にご紹介します。企業によって取り組むべき課題は異なりますが、認証取得までの流れは共通して次のようになります。

1. ISMS認証取得方法の検討

始めに、ISMS認証をどのような方法で取得するかを検討します。一例として、次のような方法が想定されるでしょう。

ISMS認証取得時に求められる要件が実現可能なツールを導入すれば、認証取得のハードルは下げることができます。ISMS認証の取得方法については、自社のリソースを鑑みて、できるだけ負荷が少なく無理のない計画を立てることが大切です。

2. ISMSの構築

続いて、自社で決定したISMS認証取得方法に沿って、ISMS適用範囲の決定や文書作成、運用に携わる従業員の育成などを進めていきます。前述の附属書Aを参照しながら、自社に適用する項目・除外する項目と、その理由を十分に検討した上で適用宣言書を作成しましょう。

3. ISMS認証取得の審査

ISMSの構築が完了し、適用宣言書を作成し終えたら、審査機関におけるISMS認証取得の審査を受けます。この審査は2段階に分けて実施され、第2段階審査に合格すればISMS認証の取得は完了です。

4. 運用フェーズへの移行

最後に、適用宣言書の記載どおりに情報セキュリティマネジメントの実行・運用を行います。1年ごとに実施される維持審査と、3年ごとに実施される更新審査に合格するには、ISMSの適切な運用が不可欠です。内部監査やマネジメントレビューを適宜行い、現場でISMSにのっとった運用が実現できているかどうかを注視していくことが大切です。

「SKYSEA Client View」は、ISMS認証取得に役立つ機能を搭載

ISMS認証の取得は、企業が継続的に成長を遂げていく上で重要な貢献を果たします。一方で、審査を通過するには取り組むべき準備や構築のための工程が非常に多く、企業にとって負担となります。そのため、ISMS認証の取得に役立つツールを効果的に活用し、効率良く準備を進めていくことが重要です。

「SKYSEA Client View」は、ISMS認証取得時に必須となるログ管理が実現できるソフトウェアです。ソフトウェアの資産管理も容易に行えるようになるため、ISMS認証取得に向けた適切な情報資産管理に役立ちます。

ISMS認証取得に役立つ機能を備えた「SKYSEA Client View」のお問い合わせ・資料ダウンロードは、下記から行うことができます。ISMS認証取得に際しては、ぜひ「SKYSEA Client View」の導入をご検討ください。