セミナー情報ISMS(情報セキュリティマネジメントシステム)とは?取得メリットと導入ステップを徹底解説
ISMS(Information Security Management System)は、企業の情報資産を守るための国際標準規格です。
本記事ではISMSの基本概念から、取得することで得られるメリット、認証取得までの具体的な手順、費用や運用のポイントまでをわかりやすく解説します。
・ISMS認証取得が組織にもたらすメリット
・ISMS認証取得の具体的な流れ
・ISMS認証取得にかかる期間と費用
・ISMS認証をスムーズに進めるためのポイント
・ISMS取得後の運用と注意点
・まとめ|ISMS取得は組織の信頼と情報漏洩対策の要
・情報セキュリティの管理にも適した、IT資産管理ツールSS1/SS1クラウド
ISMSとは何か?|企業が取り組むべき情報管理の枠組み
ISMSとは、組織として情報セキュリティを確保・維持するための仕組みです。日本語では、「情報セキュリティマネジメントシステム」と表記されます。
ISMSの基本概念と目的
ISMSは、「機密性」「完全性」「可用性」という情報セキュリティの3要素を維持し、改善を続けていけるような体制を構築する枠組みです。
ISMSにおいては、組織自らがリスク評価をおこなって適切なセキュリティレベルを定め、計画を立て、システムを運用することが求められます。こうした体制を適切に構築し、「この組織は情報セキュリティリスクを適切に管理している」と組織内外へアピールすることがISMSの主な目的です。
ISO/IEC 27001とJIS Q 27001の違いと関係性
組織でISMSを構築・運用する際の基準となるものに、「ISO/IEC 27001」と「JIS Q 27001」があります。
「ISO/IEC 27001」がISO(国際標準化機構)とIEC(国際電気標準会議)によって策定された国際規格であるのに対して、「JIS Q 27001」はISO/IEC 27001をもとに開発された国内向けの規格です。ただ、どちらも内容に大きな違いはありません。
二つの規格には、ISMSを取得・運用するうえでの要求事項が定められています。この内容を組織として網羅したうえで、第三者機関である「ISMS認証機関」の審査をクリアすると、「ISMS認証」を取得することが可能です。
ISMSとプライバシーマーク(Pマーク)の違い
ISMS認証と似たものに、「プライバシーマーク(Pマーク)制度」があります。
プライバシーマーク制度は「JIS Q 15001(個人情報保護マネジメントシステム)」の内容を審査基準とした評価制度です。主に、組織が保有する「個人情報」にフォーカスした管理体制の信頼性を示すために活用されています。
また、ISMSは事業所など組織の一部のみの認証も可能であるのに対し、プライバシーマーク制度は「組織全体」で取得するといった違いもあります。
| ISMS認証 | Pマーク制度 | |
|---|---|---|
| 規格 | ISO/IEC 27001 JIS Q 27001 | JIS Q 15001 |
| 保護対象 | 組織内の情報資産 | 組織内の個人情報 |
| 認証範囲 | 事業所・部門単位で認証可能 | 組織全体で取得 |
ISMS認証取得が組織にもたらすメリット
業務でのIT利用の拡大を受け、近年は外部攻撃・内部不正といったさまざまなセキュリティリスクも増加傾向にあります。こういった脅威へ対応するにあたって、「ISMS認証」は自社のみならず取引先のセキュリティ体制の構築状況を確認する方法として非常に有用です。
実際、ISMS認証取得には以下のような複数のメリットがあります。
取引先・顧客からの信頼性向上
ISMS認証は、国際規格に則ってセキュリティ体制が整備されていることが公平・中立な第三者機関から認定された証です。これを取得することは、取引先や顧客からの信頼獲得につながります。
またISO/IEC 27001が国際規格であることから、海外の顧客にもアピールできるところも利点の一つです。
そして、一部のビジネス取引では「ISMS認証の取得」自体を契約条件として掲げるケースも存在します。
したがって、情報漏洩に対する目が厳しい昨今において、ISMS認証の取得はビジネスの面でも大きなアドバンテージとなることでしょう。
組織の情報セキュリティレベルの向上・維持
ISMS認証を取得するには、ツール導入といった個別のシステム的セキュリティ対策だけでなく、セキュリティ基本方針の策定やリスクアセスメント、従業員教育に至るまで、組織に必要とされるセキュリティ体制を高いレベルで体系化しなければなりません。
よって、ISMSを取得することは、組織の情報セキュリティレベルの大幅強化や、従業員の情報リテラシー向上につながるといえるでしょう。
また、セキュリティ対策の方針や運用方法が定められることで、いままで属人的なセキュリティ対策しかおこなえていなかった場合は、セキュリティ担当者の業務効率化にも期待できます。
コンプライアンス強化
ISMSは、情報セキュリティの関連法令(個人情報保護法、サイバーセキュリティ基本法など)やガイドラインへの適合を目指す場合において、極めて有効な枠組みです。
これらの法令を違反した場合、組織としての信用失墜や罰則による金銭的・人的リスクの発生などが懸念されます。
ISMSを構築・運用し、第三者機関からの審査を定期的に受け続けることは、そういったリスクの低減に役立つでしょう。
IPO準備の効率化
ISMSを構築することによって、IPO準備で欠かせない「IT統制」を効率的に進められるようになります。
IPOにISMS認証が必須というわけではありませんが、セキュリティ体制やIT統制にまつわる一部の規程が認証を取得する過程で整備されるため、ISMS認証はIPO準備に対する工数削減に貢献できるのです。
ISMS認証取得の具体的な流れ
ISMS認証を取得するためには、以下のようなプロセスが必要です。
| ■ISMS認証に必要なプロセス |
|---|
| ①適用範囲の決定 ②リスクアセスメントとISMS文書の作成 ③内部監査とマネジメントレビュー ④認証機関による審査 |
ここからはそれぞれの内容について、わかりやすく解説します。
①適用範囲の決定
前述の通り、ISMS認証は組織全体だけでなく、一部の事業所や部署単位でも取得可能です。よって、まずは認証を取得する範囲を決定する必要があります。
組織の規模やISMS認証を取得したい目的(特定の取引要件を満たすためなど)に応じて、適用範囲を検討するとよいでしょう。
範囲を決定したあとは、組織としてのISMS推進体制を整えます。責任者の任命やメンバーの役割分担、基本方針の策定をおこなって、プロジェクトの基盤を構築していきましょう。
②リスクアセスメントとISMS文書の作成
基本的な体制を立ち上げたら、まずは組織内に存在する情報資産を洗い出します。そしてそれらに対してリスク評価をおこない、想定されるリスクや対応優先順位などを整理します。
リスク分析の結果がまとまったら、脅威に対する具体的な対策を検討しましょう。その過程で策定されたルールや業務手順などは、しっかりと文書化しておくことが重要です。
ちなみに文書化の際には、国際規格に則った形式にする必要があります。これには膨大な工数を要するため、あらかじめメンバー内で担当範囲を分担しておき、複数人で対応するのがおすすめです。
③内部監査とマネジメントレビュー
リスクアセスメントや文書化をおこなったら、認証機関による審査に入る前に、組織内で内部監査をおこないます。
構築したセキュリティ体制や策定したルールを実際に運用してみて、運用状況などに問題が生じないかを確認しましょう。
監査の実施後は、経営層へ結果を報告します(マネジメントレビュー)。ISMS認証の要件をきちんと満たしているのかを改めてチェックし、改善が必要な点があれば再度内容を精査し、方針を修正します。
④認証機関による審査
マネジメントレビューで承認を得られたら、いよいよ認証機関に取得審査を申請します。認証機関は複数あり、得意分野や費用面で違いが存在するため、あらかじめどの認証機関へ審査を依頼をするかは選んでおきましょう。
認証審査は二段階にわかれており、第一段階では主にISMS文書が要件を満たしているかが審査され、第二段階では策定したルール通り運用がおこなわれているかをみられます。
審査終了後、国際規格へ適合が確認されると、晴れて認証登録となります。ただし、もし仮に審査で問題が発見されたとしても、改善計画書を提出して実際の運用に改善がみられれば認証登録は可能です。
ISMS認証取得にかかる期間と費用
ISMS認証を取得するにあたっては、下記のような費用・期間が必要になります。認証の対象範囲や従業員数などによって変動するため、あくまでも相場程度にご覧ください。
ISMS認証の取得・運用にかかる主なコスト
ISMS認証の取得には、以下の費用が見込まれます。
| ISMS審査費用 | ・初回費用:約50万~ ・維持審査費用:約20万~ ・更新審査費用:約40万~ ※従業員数・認証機関などによって変動 |
|---|---|
| コンサルティング費用 | ・助言のみ:数十万円/年~ ※コンサルティング会社によって変動 ※文書作成代行等運用サポートは別途 |
| そのほか | ・関連ツール導入費用:製品によって変動 ・システム改修費用:内容によって変動 ・人件費/教育費等:内容によって変動 |
注意が必要なのは、ISMS認証には初回審査だけでなく、毎年1回の維持審査(サーベイランス審査)と3年に1回の更新審査があるという点です。そして、審査ごとに費用が発生します。
また、ISMS認証の取得にあたって専門のコンサルティング会社へ依頼をおこなったり、関連ツールの導入をしたりなどすれば、当然その分コストがかかります。
ISMS認証にかかる期間
ISMS認証の取得には、一般的に約6か月から1年程度かかるとされています。
もちろん、組織の規模や認証対象範囲によって多少の変動はしますが、どれほど短期間であったとして、約3-4か月はかかると見込んでおいた方がよいでしょう。
このように、ISMS認証は気軽かつ安価に取得できるものではないため、認証取得を目指す場合には十分な費用と期間の準備が必要です。
ISMS認証をスムーズに進めるためのポイント
時間がかかるISMS認証をなるべくスムーズに進めるためには、経営層が主導する推進体制の整備が必須です。ただでさえ対応事項が多いプロジェクトであるため、「関連メンバーの連携がいかにとれているか」が要となります。
また、自社での対応が難しい場合は、専門のコンサルティングを受けるのも選択肢でしょう。専門家の手助けを受けることで、要求事項への対応だけでなく自社の課題に合わせた実践的なアドバイスを受けられるので、効率的に認証取得を進められます。
ISMS取得後の運用と注意点
前述の通り、ISMS認証には維持審査と更新審査が存在します。したがって、認証取得後もPDCAサイクルを回し続け、常にセキュリティ強化に努めなければなりません。
ここでは、認証取得後の各審査における運用上のポイントを解説します。
取得後に必要な継続的改善のプロセス
維持審査と更新審査を滞りなく進めるためにも、ISMS運用に対するメンテナンスは欠かさないようにしましょう。
例えば組織内でできる対策として、四半期に一度といった頻度での内部監査の実施などが有効です。
そして、監査のたびにマネジメントレビューを繰り返し、運用を続けていくなかでの課題を挙げ、都度その改善に努めます。
維持審査・更新審査のポイント
ISMSの維持審査と更新審査には、おこなわれる頻度や審査にかかる日数などで違いがあります。
一般的に、維持審査にかかる審査日数は初回審査の3-4割程度、更新審査にかかるのは初回審査の8割程度といわれています。
どちらもISMSの運用が有効に実施されているかどうかを確認し、認証登録を継続してよいか判断することが目的であるため、不適合の指摘を受けた場合には是正作業をおこなわなければなりません。
ちなみに更新審査では、前回の更新審査(または初回審査)から3年間分の「内部監査の記録」や「マネジメントレビューの結果」などを事前に書面で提出する必要があります。
審査前になって慌てて準備しなくてもよいように、マネジメントレビュー結果や内部監査の記録などは、日頃からきちんと整理したうえで保持しておくようにしましょう。
まとめ|ISMS取得は組織の信頼と情報漏洩対策の要
ISMSは、組織の情報資産を守るための枠組みであり、社会的な信頼性の向上を見込める国際規格です。ISMS認証の取得には決して少なくないコストが発生しますが、組織のセキュリティ対策の強化やビジネス的な競争力の底上げにもつながるため、大きな費用対効果が期待できます。
もしこれから認証取得を検討している場合は、ぜひこの機会に自社のISMS構築に取り組んでみてください。
情報セキュリティの管理にも適した、IT資産管理ツールSS1/SS1クラウド
弊社が開発・販売をおこなっている、IT資産管理ツールSS1
/SS1クラウドは、ISMS構築にあたって重要となる情報資産の洗い出しをはじめ、PC操作・Web閲覧・メールの送受信・ソフトウェア利用履歴など、監査に必要な各ログ情報の収集に役立つ製品です。
また、ソフトウェアライセンス管理(SAM)機能も備えているため、ライセンス監査対応にもお役立ていただけます。
実際、お客様の中にはISMS認証の取得や継続運用における業務効率化を目的として導入を決定された方も多数いらっしゃいます。
詳細については、下記のコンテンツもご参照ください。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
