ISMSとは、組織のセキュリティー体制を効果的に運用するための仕組みです。ISMSの要求事項に沿ってセキュリティー体制を整備すると、サイバー攻撃やマルウェア感染などのリスクを抑えられます。
ただし、ISMSの考え方に沿って体制を整えるだけでは、ISMS認証を取得したことにはなりません。本記事では、ISMS認証を取得する流れや方法、メリットなどを紹介します。セキュリティー対策の強化や信頼性向上に取り組んでいる方は、最後までご覧ください。
ISMSとは
ISMS(Information Security Management System)とは、組織が情報セキュリティーの管理体制を整備・見直すための仕組みです。
ISMSでは情報セキュリティーの管理体制を評価する際、情報資産の機密性・完全性・可用性の3つの要素が一定の水準を満たしているかを重点的に見極めます。
ISMSが定義する情報セキュリティーに関する要素は、機密性・完全性・可用性の3つです。要素ごとの概要は以下のとおりです。
要素の種類 | 概要 | 主な事例 |
機密性 | 一部のユーザーしか閲覧や利用ができない状態 | 設計データは、技術部の従業員と役員のみアクセスが可能な状態で格納する |
完全性 | 正確で最新の情報が、改ざんや削除をされていない状態 | 契約書を改ざんできない状態で管理・共有する |
可用性 | ユーザーが必要なタイミングで、情報を閲覧・利用できる状態 | 過去の案件内容を必要なときに確認できるよう、サーバーで管理しバックアップを取得している |
安全性と利便性の両立には、機密性・完全性・可用性のバランスを意識したうえで、セキュリティー体制を整える必要があります。
たとえば、機密性や完全性のみを重視した場合、情報漏えいのリスクは抑えられます。ただし、可用性が軽視されて、従業員が必要なタイミングで情報を閲覧できないと、業務をスムーズに進められません。
3つの要素をバランスよくセキュリティー体制へ反映するには、現状の課題を把握したうえで、優先度の高い内容から着手することが重要です。
ISMSの国際規格「ISO/IEC 27001」とは
ISMSの国際規格である「ISO/IEC 27001」とは、情報セキュリティーの管理体制が国際基準に沿って構築されているかを評価するための規格です。ISO/IEC 27001の認証を取得すると、自社のセキュリティー管理体制が第三者機関によって審査され、国際水準を満たしていることを証明できます。
ISO/IEC 27001は、ISMS(情報セキュリティマネジメントシステム)の要求事項を定めた国際規格です。ISMSは情報セキュリティーを管理するための仕組みを指し、ISO/IEC 27001はその仕組みが適切に構築されているかを判断するための基準となります。
ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)の要求事項を定めた国際規格で、本文と附属書Aによって構成されています。
本文では、ISMSを構築・運用するために必要な要求事項が以下の10項目に分けて定義されています。
- 適用範囲
- 引用規格
- 用語及び定義
- 組織の状況
- リーダーシップ
- 計画
- 支援
- 運用
- パフォーマンス評価
- 改善
これらの要求事項を満たしたうえで、附属書Aに記載された管理策を参照し、自社に必要なセキュリティー対策を選択して適用します。
附属書Aでは、管理策が以下の4つの分類に整理されています。
対策の種類 | 主な内容 | 項目数 |
組織的管理策 | 37項目 | |
人的管理策 | 8項目 | |
物理的管理策 | 14項目 | |
技術的管理策 | 34項目 |
上記10項目を満たしたうえで、附属書Aに記載された管理策を参照し、自社に必要なセキュリティー対策を選択します。
附属書A(ISO/IEC 27001:2022)には93項目の管理策が定義されていますが、すべてを実施する必要はありません。事業内容や業務体制によっては、適用しない項目も含まれます。
例えば、シェアオフィスを利用している企業では、オフィスの入退室管理や耐震対策などを自社で実施できない場合があります。このように、実情に合わせて適用範囲を判断することが求められます。
ISMS認証を取得するメリット
ISMS認証を取得するメリットは以下の5つです。
- セキュリティーリスクを低減できる
- 対外的な信用やブランド力を高められる
- 受注・入札条件をクリアできる
- 内部統制を強化できる
- IPOの準備にかかる工数を減らせる
メリットの内容を一つひとつ見ていきます。
ISMS認証取得に向けて準備を進める過程でセキュリティー対策が強化され、情報漏えいのリスクを軽減できます。ISMS認証を取得するには、サイバー攻撃やマルウェア、内部不正など、さまざまな脅威を想定した管理体制を整備する必要があります。
また、不正アクセスや社内ネットワークへの侵入などのインシデント発生を想定し、対応手順や復旧方法をあらかじめ定めておくことが求められます。これにより、万が一被害が発生した場合でも影響を最小限に抑え、迅速に業務を再開できる体制を構築できます。
ISMS認証を取得すると、情報セキュリティー管理体制が整備された企業であると対外的に示すことができ、顧客や取引先からの信頼を得やすくなります。ISMS認証を通じて、自社のセキュリティー体制や機密情報の取り扱い方などが、第三者機関から高く評価されていると証明できるためです。
とくに事業で機密情報を多数扱う企業や組織では、情報管理体制の信頼性が重視されます。ISMS認証を取得することで、セキュリティー体制が国際規格の水準を満たしていると証明でき、企業イメージやブランドイメージの向上につながります。
自治体や官公庁が実施する入札案件では、情報セキュリティー対策の水準が参加条件として明示されているケースが少なくありません。
特に、住民情報や個人情報、行政文書などの機密性の高い情報を扱う業務では、「ISMS認証の取得」や「ISO/IEC 27001への準拠」が入札参加資格や評価項目として求められることがあります。
仮に受託先の情報管理体制が不十分で、情報漏えいや不正アクセスが発生した場合、自治体側は住民からの信頼を大きく損なうおそれがあります。そのため、発注者は第三者認証によって情報セキュリティー体制が客観的に担保されているかを重視する傾向にあります。
ISMS認証を取得していれば、以下の点が国際規格に基づいて整備・運用されていることを示せます。
- 情報資産の管理方法
- 従業員へのセキュリティー教育体制
- インシデント発生時の対応手順
これにより、自治体側は安心して業務を委託でき、入札参加のハードルを下げられるだけでなく、評価面で有利に働く可能性も高まります。
また、自治体案件では長期契約や継続的な業務委託となるケースも多く、初回の受注をきっかけに、別案件への展開につながることもあります。ISMS認証を取得しておくことは、こうした官公庁・自治体向けビジネスを継続的に拡大していくうえでの基盤づくりにもなります。
認証取得の手続きでは、附属書Aに基づいて従業員へのセキュリティー教育や不正行為への懲戒処分などの管理策を検討・整備します。セキュリティー研修の受講を従業員に定期的に求めることで当事者意識が高まり、機密情報の扱い方や普段の行動に変化が生じるでしょう。
また、メールや書類提出の際も慎重に行動するようになり、誤操作が原因の情報漏えいを減らせます。Webサイトの閲覧や外出先でITツールを利用する際のルールなどを文書に記載しておくと、組織全体でルールを守る意識が高まります。
さらに、機密情報を意図的に流出させた際の懲戒処分を明確化しておくと、内部不正の抑止力を高めることも可能です。
株式上場を目指す企業は、事前にISMS認証を取得しておくことで、IPO準備を進めやすくなる場合があります。情報セキュリティーの管理体制やIT資産の運用ルールがあらかじめ整備されていると、内部統制やリスク管理体制の確認をスムーズに進められるためです。
IPO(Initial Public Offering)とは、未上場企業が証券取引所を通じて株式を公開し、投資家から資金調達を行う手続きです。上場によって資金調達の幅が広がるだけでなく、企業の知名度や対外的な信用力の向上にもつながります。
ただし、上場審査では、内部統制や情報管理体制が適切に整備されているかが厳しく確認されます。情報セキュリティーに関する管理体制が不十分な場合、審査や準備に追加対応が必要になることもあります。
ISMS認証を取得しておくことで、情報セキュリティー管理体制が国際規格に基づいて整備されていることを示せるため、IPOに向けた体制整備を効率的に進めやすくなります。
ISMS認証を取得する際の注意点
ISMS認証の取得手続きに取りかかる前に、以下2点を把握しておく必要があります。
- 認証取得の工数が多い
- 審査コストがかかる
ISMS認証は取得のときだけ、費用が発生するわけではありません。継続審査や再認証審査を受ける際も、審査費用を支払う必要があります。
ISMSの認証取得に向けた準備をはじめてから認証登録に至るまで、認証機関への申請後、登録までは最低でも3〜4か月程度かかります。ISMSの認証取得には、リスクの特定や文書作成など、さまざまな準備をこなさなければなりません。
認証取得の手続きで提出が必要な書類も数十枚あり、情報収集や書類作成の手間がかかります。自社のセキュリティー体制が国際規格の水準を満たせるよう、場合によっては業務プロセスやルールの見直しも必要になるかもしれません。
ISMSの認証取得には多くの準備を重ねる必要があり、長期的な取り組みが必要です。また、認証機関に認証取得の申請をしてから、登録に至るまでは最低でも3〜4か月かかる点も覚えておく必要があります。
ISMS認証の取得・維持には、継続的に審査を受ける必要があり、審査費用の支払いが継続的に発生します。ISMS認証を取得したあとは1年単位での継続審査、3年単位での再認証審査を受けなければなりません。
審査費用は一律ではないものの、50万〜150万円が1つの目安とされています。認証の取得・維持のため、コンサルティング会社に相談した場合は、追加でコンサルティング料金も発生します。
また、審査費用は従業員数や拠点数、審査機関など、複数の要因によって変動します。必要以上に費用を支払わないよう、審査機関を選ぶ際は複数の候補から見積を取得したうえで、絞り込む作業が必要です。
ISMS認証を取得する流れ
ISMS認証に向けての準備や手続きは、以下の流れに沿って進めます。
- 適用範囲を決める
- プロジェクトメンバーを選ぶ
- 情報セキュリティー方針を策定する
- ISMS文書を作成する
- リスクアセスメントを実施する
- 従業員への教育を行う
- 内部監査を行う
- マネジメントレビューを行う
- 認証機関を選定し審査を受ける
- 審査結果が公表される
プロセスごとの内容を見ていきます。
「本社のみの情報資産」「経営企画部の情報資産のみ」など、ISMS認証の適用範囲を決めることから始めます。ISMS認証を取得する際、必ずしも自社がもつすべての情報資産を適用対象とする必要はありません。特定の拠点や事業所、部署単位での適用も可能です。
まずは特定の事業所や部署でISMS認証を取得し、徐々に適用範囲を広げていくのも1つの方法です。
プロジェクトメンバーは、主に以下のメンバーで構成されるケースが多いです。
- システム管理者
- セキュリティー対策の実務担当者
- セキュリティー対策の運用管理者
- 人事担当者(セキュリティー教育を担当)
- 内部監査の担当者
- 経営層の一部
すべての情報資産を適用対象とする場合、ネットワークやシステム構成など、技術的な内容も可視化しておかなければなりません。
幅広い分野の専門知識が求められるため、情報システムまたはセキュリティー部門の従業員を多くチームメンバーに加えておく必要があります。
情報セキュリティー方針の策定とは、情報資産を保護するため、組織として守るべきルールや対策を決めておくことです。主に以下の内容に関して明確化し、決定事項は文書にまとめます。
- 情報セキュリティーに関する組織内のルール
- 保護対象となる情報資産
- 想定される脅威
- 脅威から情報資産を守る対策
- 情報セキュリティーの運用体制
どのような内容を決めるべきか迷う場合は、同じ業界や競合他社のコーポレートサイトを閲覧し、参考にするのも選択肢です。多くの企業はコーポレートサイトに情報セキュリティーの方針を記載しており、どのような対策を講じているか、把握できます。
ISMS文書とは、ISO/IEC 27001の内容・項目に沿った文書で、認証取得の審査を受ける際に必要となります。作成すべきISMS文書の内容は主に以下のとおりです。
- 情報セキュリティ方針
- ISMS適用宣言書
- リスクの特定や分析を記録した文書
- リスクへの対応策に関する文書
- 情報資産台帳
- 事業継続計画
- 内部監査の管理規定
- マネジメントレビュー
場合によってはISMS認証を取得するため、50種類以上の文書を作成しなければなりません。無駄な時間と労力を割かないよう、事前にどの書類を作成すべきか、明確化しておくことが必要です。
リスクアセスメントとは、情報資産に対する脅威の特定と影響度の大きさを分析し、対応策を決定する作業です。サイバー攻撃やマルウェア感染をはじめ、想定されるリスクを可能な限り、洗い出しておくことが必要です。
さまざまなリスクを想定しておけば、ISMS認証の審査通過率が高まるだけでなく、情報漏えいやサービス停止などのリスクを抑えられます。
また、想定されるリスクを整理したあとは、対処すべきリスクの優先順位を付けておくことも必要です。まとめてリスクに対応しようとすると、従業員への負担が大きくなり、通常業務に支障が及ぶおそれが生じるためです。
ISMSの効果的な運用には、従業員がISMSの目的や必要性を理解し、普段の行動に反映していくことが重要です。従業員から理解と協力を得られるよう、事前にセキュリティー教育を実施します。
セキュリティー教育の方法は、対面での研修会やグループワーク、eラーニングなど、従業員規模や業務の進捗状況に応じて選択します。
また、自社リソースに不安な場合は、外部の企業が主催するセキュリティー研修を受講するのも1つの選択肢です。研修企画・運営の手間が省けるだけでなく、講師は豊富な知識やノウハウを兼ね備えているため、最新のトレンドを踏まえた研修を受けられる可能性があります。
ISMSを一定期間運用したら、内部監査を実施します。内部監査は、自社のセキュリティー体制がISMSの定めたルールに沿っているか、運用体制やマニュアルに問題はないかなど、確認するのが目的です。
内部監査で課題が見つかった場合は原因の特定と改善策を実施し、再び一定期間運用します。内部監査の評価を厳しく下すと、セキュリティー体制の穴が少なくなり、審査の通過率が高まります。
マネジメントレビューとは、経営層がセキュリティー対策の現状やこれまでの取り組みなどを評価することです。ISO/IEC 27001の要求事項には、経営層がISMSの運用状況を把握する内容も含まれており、経営層は自社の現状を正確に把握しておかなければなりません。
経営層から指摘があった際は、セキュリティー対策やISMSの運用体制などに反映し、改善を図ります。
マネジメントレビューで経営層の承認が得られたら、認証機関を選定して審査を受けるプロセスに移ります。ISMS認証の審査費用は認証機関によって異なるため、複数の候補から見積を取得し、費用を比較してから絞り込む作業が必要です。
また、認証機関の審査は2段階に分かれており、主に以下の内容を審査します。
段階 | 主な審査基準 |
第2段階 |
審査内容は多岐にわたるため、すべての審査が終わるまで3〜4か月ほどかかります。
認証機関の審査が終わると、情報マネジメントシステム認定センター(ISMS-AC)のWebサイトに審査結果が掲載されます。認証文書も発行されるため、顧客や取引先へISMS認証を取得したと証明でき、対外的な信頼が高まります。
ただし、ISMSは認証して終わりではありません。認証の維持には毎年審査を受ける必要があるため、継続的にISMSの運用体制やセキュリティー対策の見直しが必要です。
ISMS認証を取得する方法
ISMS認証を取得する方法は以下の3つです。
- 自社ですべて対応する
- ISMS認証取得専用のツールを活用する
- コンサルティング会社に依頼する
自社対応はハードルが高いため、専用ツールの活用かコンサルティング会社への依頼、どちらかを選ぶ方法が一般的です。
書類作成やセキュリティー対策の見直しなど、ISMSの認証取得に関する手続き全般を自社で対応する方法です。ISMSの認証手続きを経験した人材、セキュリティー対策に精通した人材がいない限り、相応の専門知識と工数が求められます。
ISMSの項目は抽象的な表現が多く、意味を正確に理解するのに時間がかかります。また、セキュリティー対策の見直しには、脅威の可視化や対応策の選定、機密情報の明確化など、専門知識が必要な作業を多数こなさなければなりません。
また、ISMSの準備を任された従業員への負担が大きい点もデメリットです。通常業務と並行して準備を進めなければならず、通常業務に支障が及ぶリスクが高まります。
自社対応は外注費を抑えられるものの、従業員への負担が大きく、手続きが長期化するリスクも高い傾向です。そのため、専用ツールの活用やコンサルティング会社に依頼する方が、無難な選択といえます。
ISMS認証の取得専用ツールを活用するメリットは、手続きの効率化とコストを削減できる点です。専用ツールに搭載されている主な機能は以下のとおりです。
機能の種類 | 主な機能 |
文書作成 | |
従業員教育 | |
リスクの評価 | |
内部監査 | |
経営層向け資料の作成 |
文書作成やリスク評価、内部監査など、工数の多い準備作業を効率化・自動化できる点がメリットです。専用ツールを活用して準備を進められれば、コンサルタントに依頼する必要性も低下し、外注費も抑えられます。
ISMS認証取得の支援実績が豊富なコンサルティング会社に依頼するケースです。コンサルティング会社に依頼するメリットは、認証手続き全般に関するアドバイスを得られる点です。
コンサルタントから項目ごとの意味や作成すべき書類、必要な作業などを丁寧に説明してもらえるため、迷いや不安を軽減できます。認証機関が審査の際にどのような点を確認するかも熟知しており、審査通過率の向上が望める点も魅力です。
ただし、ISMS文書の作成を依頼できないケースもあるため、注意が必要です。文書作成も依頼する場合は、事前に対応可否を確認しておかなければなりません。
また、近年は「コンサルティング+専用ツールでのISMS文書作成サービス」を提供する企業も増えています。上記のサービスを提供する企業に依頼すれば、文書作成やツール導入の手間を削減できるなど、多くのメリットを得られます。
まとめ:ISMS認証を取得してセキュリティー対策の高さを証明しよう
ISMSとは、さまざまな脅威から情報資産を保護・管理するために整備された仕組みです。ISMSの考え方を反映した国際規格が「ISO/IEC 27001」であり、この規格に基づいて管理体制を構築・運用していることを第三者機関が審査・認証します。
ISO/IEC 27001の認証を取得すると、自社の情報セキュリティー管理体制が国際規格の水準を満たしていることを対外的に示せます。その結果、取引先や顧客からの信頼性向上につながり、事業活動を進めるうえでの安心材料となります。
一方で、ISMS認証の取得には、情報資産の整理やリスクの特定、各種文書の作成、運用体制の構築など、一定の準備が必要です。専門的な知識が求められる場面も多く、自社だけで進めることに不安を感じるケースもあるでしょう。
そのような場合には、外部の情報や専門的な知見を参考にしながら、自社の状況に合った進め方を検討することも一つの方法です。第三者の視点を取り入れることで、無理のない形で体制整備を進めやすくなる場合もあります。
富士フイルムビジネスイノベーションジャパンでは、IT資産管理やEDR導入など、情報セキュリティー対策に関するさまざまなソリューションをご提案可能です。
セキュリティー対策の進め方についてお悩みの場合は、お気軽にご相談ください。
検索条件を変えていただき、もう一度お試しください。
検索条件を変えていただき、もう一度お試しください。