昨今、情報漏えいを防ぐためのセキュリティリテラシー教育や、自社リスクを定期的に特定・評価できる体制の構築が、以前にも増して重要視されるようになりました。
実効性のあるセキュリティ体制を構築する際、指標となる主なガイドラインや取り組みは以下の通りです。
- ISMS(ISO/IEC 27001)
- Pマーク(JIS Q 15001)
- サイバーセキュリティ経営ガイドライン ※経済産業省とIPAが策定・発行
- 中小企業の情報セキュリティ対策ガイドライン ※IPAが発行
- SECURITY ACTION ※IPAが策定・推進
- TRUSTe ※JPACが発行・認定
- 情報セキュリティ対策ベンチマーク ※IPAが発行・提供
様々なガイドラインの中でも、ISMS(情報セキュリティマネジメントシステム)は、国際規格である「ISO/IEC 27001」にもとづき、組織が情報を管理する仕組みとなります。外部の専門機関による審査を経て認証を取得することで、自社のセキュリティ体制が高いレベルであることを対外的に証明し、信頼性を高めることができます。
一方で、「構築のハードルが高いのではないか」「審査が非常に厳しいのでは?」といった不安の声もございます。
今回、本記事では、ISMSの構築から認証取得までのプロセスにおいて、「実際に注意するべき難所」と「実はそれほど難しくないポイント」を整理して解説いたします。
また、ISMS認証取得をご検討中の方に向けて、ISMS認証取得が社内で決定して最初に検討すべき事項から審査を受けて認証取得に至るまでのすべてを23項目のTodoリストにいたしました。
ぜひ本記事と併せてご活用ください。
ISMSとは?基本をチェック
ISMSとは「Information Security Management System」の略称で、組織における情報セキュリティ対策を包括的に管理するための仕組みを指します。
ISMSの対象範囲は、コンピュータのソフトウェアやハードウェアといったITツールだけを指すのではありません。情報セキュリティ方針の策定、従業員への教育、定期的な会議の実施、さらには内部監査といった「組織的な活動」のすべてがISMSに含まれます。つまり、ツールと運用の両面から情報を守るためのトータルな枠組みを意味しています。
ISMSの詳しい定義や仕組みの全体像については、以下の記事「ISMS認証とは?Pマークとの違いや取得までの流れ・メリット・費用を解説!」で解説しています。
また、ISMSと密接に関わる「ISO/IEC 27001」との違いについては、以下の記事「ISO/IEC 27001とは?ISMSとの違い・メリットを徹底解説」をご参照ください。
ISMSを取得する10のステップ
ISMS認証の取得は、顧客からの信頼獲得や競合他社との差別化、さらには従業員のセキュリティ意識の向上といった、組織にとって多大なるメリットをもたらします。
このISMS認証を取得するための具体的なプロセスは、次の10のステップで進められます。
STEP1. 適用範囲の決定
ISMS認証は企業全体だけでなく、企業内の社外秘情報を多く扱う部門など、必要な範囲に限定して取得することも可能です。まずはISMS認証の適用範囲を決定しておきましょう。適用範囲の決定に合わせて、管理すべき情報資産も特定できます。
また、ISMSは一部の部門や事業所から取得を開始し、後から全社へと適用範囲を拡大することも可能となります。
STEP2. 情報セキュリティポリシーの策定
組織のセキュリティに対する姿勢や行動指針を内外に示す「情報セキュリティポリシー」を策定します。 一般的に以下の「3層構造」を軸に構成されます。
- 情報セキュリティ基本方針
- 組織全体のセキュリティに対する基本的な考え方や目標を示す、最上位の文書
- 情報セキュリティ対策基準
- 基本方針を実現するために、「何をすべきか」という具体的なルールを定めたもの
- 情報セキュリティ実施手順
- 日々の業務において「どのように実行するか」を具体的に示した手順書
STEP3. 認証機関の選択
情報セキュリティポリシーの策定が完了したら、次は審査を依頼する「認証機関」の選定へと進みます。一般社団法人情報マネジメントシステム認定センター(ISMS-AC)のISMS認証機関一覧によると、2026年3月現在、日本国内には27の認証機関が存在しています。
各機関によって得意とする業種や審査費用、サポート体制が異なるため、自社に最適なパートナーを選ぶことが重要です。
STEP4. ISMS体制の構築
認証機関の決定後は、社内での実務的な推進体制を構築します。その核として、ISMSの運用全般を統括する「ISMS管理責任者」と、客観的な視点でチェックを行う「ISMS内部監査責任者」をそれぞれ決定します。
- ISMS管理責任者
- ISMSの構築・維持・報告を担当
- ISMS内部監査責任者
- 監査の実施や結果報告を担当
STEP5. リスクアセスメントの実施
社内の情報セキュリティリスクの洗い出しと対応策を検討するリスクアセスメントを実施します。社内にある情報資産とその情報資産に対する脅威や脆弱性を洗い出し、具体的なリスク対応計画を立てます。
リスクアセスメントの具体的な手法や質を高めるポイントについては、以下の記事「【事例付】ISMSリスクアセスメントとは?手順・評価方法・リスク値の計算式を解説」で詳しく解説していますので、参考にしてください。
STEP6. 従業員教育
ISMSの認証範囲に含まれるすべての従業員を対象に、情報セキュリティ教育を実施します。集合研修やeラーニングなどを活用し、組織全体のリテラシーを底上げします。
自社の「情報セキュリティポリシー」や「具体的な運用ルール」を周知徹底することが目的です。一人ひとりが「なぜこのルールが必要なのか」を理解することで、ヒューマンエラーによるインシデントを未然に防ぐ組織文化を形成します。
STEP7. 内部監査
ISMSの運用開始後は、策定した管理規定やルールが現場で適切に守られているかを確認するため、定期的に「内部監査」を実施します。
監査を通じて不備や改善が必要な点が発見された場合は、速やかに是正処置を行い、セキュリティ体制の形骸化を防ぎます。
STEP8. マネジメントレビュー
内部監査の完了後、その結果を経営層へ報告し「マネジメントレビュー」を実施します。
ここでは、ISMSの認証要件を十分に満たせているかを確認するだけでなく、経営的な視点から不足しているリソースやさらなる改善の余地を評価し、組織としての最終的な意思決定を行います。
STEP9. 認定審査
マネジメントレビューまでの全工程が完了したら、いよいよ認証機関による外部審査が始まります。審査は通常、以下の2つのフェーズに分けて実施されます。
- 第一段階審査(文書審査)
- 策定したセキュリティポリシーや管理規定などの「文書類」が、ISMSの国際規格に適合しているかをチェックします。
- 第二段階審査(現地審査)
- 第一段階の結果を踏まえ、策定されたルールが現場で実際に正しく「運用」されているかを、インタビューや現場確認を通じて詳細に審査します。
STEP10. 継続的なPDCAサイクル
ISMS認証取得後も1年ごとに実施される「維持審査」や、3年目の「更新審査」に向けて、PDCAサイクルを継続的に回していくことが求められます。
日々の運用を通じて、変化する情報セキュリティのリスクに柔軟に対応し、組織の信頼性をさらに高めていく必要があります。
ISMSを取得するスケジュール
ISMS認証の取得プロセスは前述の通りですが、準備開始から取得完了までには、最短で6か月、標準的には1年程度の期間を要します。組織の規模や現在のセキュリティ体制によって前後するため、余裕を持ったスケジュールを組むことが重要です。
詳しくは、「ISMS取得スケジュールとは?審査の詳しい内容とともに解説」で解説していますので、あわせてお読みください。
ISMSを取得する必要性
サイバー攻撃の脅威が深刻化する昨今、どのような企業であっても標的にならないという保証はありません。もはや情報セキュリティ対策は経営上の最優先事項といえます。企業がISMSを取得する必要性として、主に以下の点が挙げられます。
取引先や顧客に対する「信頼性」の可視化
ISMS認証の取得は、自社が情報セキュリティ対策に真摯に取り組んでいることの証明となります。情報を扱う企業にとって、適切な管理ルールの策定はもはや「必須条件」です。第三者機関による客観的な評価を受けることで、自社の安全性を対外的に力強くアピールでき、取引の安心感へとつながります。
従業員のセキュリティリテラシーの向上
認証取得のプロセスには従業員を対象としたセキュリティ教育が組み込まれています。この過程を通じて、日常業務に潜むインシデントのリスクや適切な情報管理の手法を組織全体で共有することが可能です。一人ひとりのリテラシーが底上げされることで、インシデントを未然に防ぐセキュリティ理解度が組織で醸成されます。
「リスク」の可視化と低減
ISMSの構築により、自社が抱える情報資産のリスクを網羅的に把握し、適切な対策を講じることが可能になります。場当たり的な対応から脱却し、体系的な管理体制を運用することで、情報漏えいやシステム停止といった重大な経営リスクを最小限に抑えることができます。
入札要件のクリアによるビジネスチャンスの拡大
官公庁や自治体の案件では、入札要件としてISMS認証を必須としているケースが少なくありません。認証を取得することで、これら公共案件への参入障壁を突破でき、受注機会の拡大や売上の向上を期待できます。
ISMS取得の注意点(自社取得の難しさ)
ISMS認証の取得には、専門的な知識だけでなく組織横断的な社内調整も不可欠なため、多くの企業がその過程で課題に直面します。
スムーズに取得を進めるために、これから紹介する「押さえておくべき重要な注意点」を確認していきましょう。
規格の正しい理解
ISMS認証の理解には多くの時間と専門知識を要します。まずは、全体像が「要求事項」と「管理策」の2つから構成されているることを把握しましょう。
- 要求事項(ISO/IEC 27001:2022の箇条4〜10):ISMS認証を取得するための「土台」となる必須条件です。対応が漏れると認証を取得できないため、確実に理解し、体制に組み込む必要があります。
- 管理策(付属書Aの4カテゴリー):セキュリティ向上のための具体的な「手段」です。すべての項目を実施する必要はなく、「管理策の適用/除外を検討し、その理由を文書化(適用宣言書)すること」し、自社のリスクや状況に応じて必要なものを取捨選択して適用します。
各管理策の具体的な運用レベルや詳細については、実践ガイドラインである「ISO/IEC 27002」を参照することで、より深い理解が得られます。
関連部署との連携と協力体制の構築
ISMSの構築・運用は、事務局だけで完結するものではありません。認証範囲に含まれる全部署・全従業員が主体的に関わる必要があります。
- 現場への協力要請: リスクや情報資産の特定、業務フローの把握には、各現場でのヒアリングや資料作成、審査員によるインタビューへの対応が不可欠です。
- 「運用」こそが本番: これらの対応は一度きりのイベントではなく、PDCAサイクルに沿って継続的に実施されます。「取得すること」よりも、その後の「運用維持と改善」にこそISMSの本質があります。
- 相互理解の重要性: スムーズな連携を図るためには、「なぜISMSが必要なのか」「なぜ継続的な取り組みが求められるのか」を事前にていねいに説明し、全社的な理解と納得を得る努力が求められます。
内部監査の実施とスキルの維持
内部監査員には、自社の業務内容や社風への深い理解に加え、以下のような高度な専門スキルが求められます。
- 調整・進行: 各部署との日程調整や、スムーズな監査の段取り
- 規格の理解: 要求事項や社内規定を正確に把握し、実効性のある質問を行う能力
- 客観的な評価: 現場のプロセスから客観的な証拠を見つけ出し、事実に基づいて評価・報告するスキル
- コミュニケーション: 慣れない相手からも限られた時間内で必要な情報を引き出す
しかし、年1回程度の実施のために、こうした専門スキルを持つ人材を育成・維持し続けることのコストは大きな課題となります。多くの企業において、いかにして「質の高い内部監査」を継続させるかは、非常に頭を悩ませるポイントです。
情報資産の特定と「管理粒度」の決定
ISMS構築の要となるのが、「保有する情報資産の洗い出し」と「リスクの特定」です。これらは認証範囲内の資産を漏れなく守るための重要なプロセスですが、多くの組織が「どの程度の細かさ(粒度)でリストアップすべきか」という判断に苦慮します。
例えば、営業部門の資産を特定する場合、「A社企画書」「B社提案書」と一通ずつ詳細に管理することもできれば、これらを「営業関連資料」として一括りにすることも可能です。 ISMSでは、この粒度設定が組織に委ねられています。しかし、事前に明確な基準を設けないと、以下のような問題が発生しがちです。
- 部署間での不整合: 各部署が独自の判断で作成した結果、全社でデータの整合性が取れなくなる。
- 運用コストの増大: 粒度を上げすぎた結果、更新作業やリスク評価の工数が膨大になり、形骸化を招く。
詳細であればあるほど精度は高まりますが、一方で管理負荷も増大します。組織の規模や実態に即した「運用の回る、適切な粒度」を見極めることが、事務局にとっての大きな課題となります。
委託先・外部サービスの管理
ISMSにおける「委託」は、システム開発や労務管理といった業務委託だけを指すのではありません。自社の情報資産を預けるすべての外部サービス、例えばAWSなどのインフラサービスやBoxなどのクラウドストレージサービスも管理対象となります。
また、委託先を選定する際は、その企業やサービスが「自社の情報を預けるに値するセキュリティ水準か」を精査しなければなりません。具体的には、セキュリティアンケートへの回答依頼や、ホームページ上での「第三者認証(ISMS、Pマーク等)」の取得状況、セキュリティ方針の確認などを行います。
これらの評価は契約時の一回限りではなく、定期的な再評価が求められます。クラウドサービスの利用が一般化した現在、次々と追加・変更される外部サービスに対し、適切な管理を継続し続けることは事務局にとって大きな負担となります。
このように、ISMS認証を自社のみで取得しようとすると、規格の解釈や社内調整などで多くの工数と労力がかかります。何から手をつけて良いか迷った場合は、まずは、23項目のTodoリストでISMS認証取得の検討段階から審査当日までの流れをご覧ください。
難しく考えなくていい?ISMS取得の全てが難しいわけではない
ここまでISMS認証取得における難所を中心に解説してきましたが、すべての工程が険しい道というわけではありません。実はそれほど難しくないポイントポイントもあり、シンプルに進められる作業も多く存在します。
特に専門家のサポートを活用することで、今回挙げたような課題の多くはスムーズに解消可能です。実際に、当社LRMのコンサルティングを通じて認証取得を達成された企業様の事例を以下にご紹介します。適切なサポートのもと、適切な手順で進めていくことができれば、ISMS認証の取得は決して高いハードルではないことがお分かりいただけると思います。
内部監査への対応:実はそれほど難しくない?
「実施する側」の難しさについては前述した通りですが、一方で「受ける側(被監査者)」としては、実はそれほど身構える必要はありません。
もちろん、監査に向けてリスクの特定や資産の洗い出し、資料作成といった準備は発生します。しかし、これらは本来「日々の事故を防ぎ、情報を守るため」の取り組みであり、監査のためだけに用意する特別なものではないからです。
普段からルールを守り、セキュリティを意識して業務に取り組んでいれば、監査だからといって特別なことをする必要はありません。「気負わず、ありのままの通常業務を、嘘偽りなく監査員に伝えること」こそが、内部監査をスムーズに進める最大のポイントです。
外部審査:プロの視点を組織の成長に活かす
外部審査とは、認証機関から派遣された審査員による評価を指します。「外部の専門家から厳しく追及されるのでは?」と、内部監査以上に緊張を感じる方も多いかもしれません。
しかし、審査の本質は「欠点を探して落とすこと」ではなく、組織の仕組みが機能している「エビデンス」を確認することにあります。難しい質問で受審者を困らせてしまえば、必要な情報が得られず審査が滞ってしまうため、実際には対話を通じてスムーズに進行するのが一般的です。
また、外部審査には内部監査にはない大きなメリットがあります。社内事情を熟知しているがゆえに視野が狭まりがちな内部監査に対し、数多くの企業を見てきた外部審査員は、全く異なる業界の知見や新しい視点を持っています。
「指摘を恐れて穏便に済ませる」のではなく、「社外のプロから、より高度なセキュリティのあり方を学ぶ貴重な機会」と捉えることで、外部審査は自社の体制をアップデートする絶好のチャンスへと変わります。
まとめ
ISMSの認証範囲が広がるほど、関わる従業員数や特定すべき資産・リスクも比例して増大します。これらすべてを統括する事務局の皆様にとって、通常業務と並行しながらの構築作業は、多大な労力を要する挑戦となるでしょう。
しかし、その先に築かれる体制は、組織全体のセキュリティレベルを格段に強固で高度なものへと引き上げます。認証の取得・運用には相応のコストと工数がかかりますが、それは「コスト」ではなく、組織の基盤を鍛えるための「投資」です。
「自社だけで取得準備を進めるのは不安だ」「通常業務と兼任で進められるか心配だ」という方は、ぜひ専門家であるコンサルタントに頼ることも検討してみてください
また、弊社ではISMS認証取得/運用支援サービスを行っております。会社のスタイルに合わせ、自社で「運用できる」認証を年間580社※・19年ご支援してまいりました。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
ISMS認証取得にご興味のある方、運用でお困りごとのある方は、まずはお気軽に無料でご相談ください。
