企業や組織にとって、情報セキュリティ対策の実施は必須です。これは組織の信頼性に直結する重要な要素であるためです。
とは言え、組織が実際にどのような情報セキュリティ対策に取り組んでいるのかは、外部からは見えにくいものです。
そこで、組織が情報セキュリティ対策を適切に実施していることを客観的に示す認証としてISMS認証があります。国際的な規格に基づいているため、非常に信頼性の高い認証となります。
本記事では、初めて担当者になった方でも理解できるよう、ISMS認証の基礎知識から、Pマークとの違い、取得までの流れ、期間、費用感までを網羅的に解説します。
これからISMS認証取得をお考えの方は、ぜひLRMにご相談ください。
年間580社※ 19年の支援実績のノウハウで、専属コンサルチームが徹底サポートいたします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
ISMS認証とは?初心者向けにもわかりやすく解説
ISMSとは、Information Security Management System(情報セキュリティマネジメントシステム)の略称で、組織の情報セキュリティを管理するための仕組みを指します。
この用語は、情報セキュリティ(IS)部分とマネジメントシステム(MS)部分とに分けられます。簡単に言えば、「大切な情報を守るためのルールを決め、それを運用し、継続的に改善していく仕組み」のことです。
ISMS認証を取得するメリット・デメリット(取得すべき理由)
情報セキュリティ対策というと事故を防ぐ、マイナスをゼロにする活動であるといったイメージが強いかもしれません。しかし、ISMS認証においてはプラスの側面も多く、企業の経営にとって大きなメリットになり得ます。
一方で、コストや手間といったデメリットも存在します。メリット・デメリットの両方を正しく理解しておきましょう。
メリット
- 顧客・取引先への信用を獲得できる
- ISMS認証は組織が情報を適切に管理できていることの客観的な証明になります。顧客や取引先に安心感を与え、対外的にも信頼性をアピールできます。特に大手企業との取引条件として求められるケースが増えています。
- 官公庁の入札要件をクリアできる
- 官公庁や自治体の入札要件にISMS認証取得が含まれている場合も多く、ISMS認証取得によって入札できる案件の幅が広がり、ビジネスチャンスにつながります。
- 情報資産管理の徹底・効率化
- ISMSの運用により、従業員のセキュリティ意識向上およびリスク管理の強化が可能です。これにより、企業の情報資産にかかるリスクを低減できるのはもちろん、情報の整理整頓が進むことで業務効率化も実現できます。
デメリット
- 取得・運用にコストと手間がかかる
- 審査費用やコンサルティング費用に加え、文書作成や従業員教育などの工数が発生します。
- 業務ルールが複雑になるリスク
- セキュリティを強化するあまり、過度なルールを作ってしまうと現場の業務効率が落ちるリスクがあります。
ISMSの運用については弊社サイト「ISMSは運用が大変?コンサル会社がISMS運用で気を付けている点」にも記載していますので、あわせて確認してみてください。
ISMS認証で定義されている情報セキュリティ(IS)とは?
ISMSで求められる「情報セキュリティ」とは、「情報の機密性、完全性及び可用性を維持すること」と定義されています。これらは情報セキュリティの3要素と呼ばれます。
機密性(Confidentiality)
「機密性」とは、認可されていない者に対して情報を使用させない・開示しないことです。
「許可された人だけがアクセスできる状態」を指します。
- 具体例:ファイル・フォルダにパスワードをかける、特定の者のみにファイルの閲覧・編集権限を付与する。
- 目的:情報漏えいや不正アクセスを防ぎます。
一般に情報セキュリティと聞くと、この機密性を思い浮かべる方が多いのではないでしょうか。
完全性 (Integrity)
「完全性」とは、情報の正確さ・抜け漏れの無さです。
「データが正しく、改ざんされていない状態」を指します。
- 具体例: データのバックアップを取る、変更履歴(ログ)を管理する、バージョン管理を徹底する。
- 悪い例: ファイルの内容が古いにもかかわらず、それを最新のものと誤認しそこに記録を書き加えていくと、正確な情報でなくなってしまいます。
可用性 (Availability)
「可用性」とは、認可された者がアクセスや使用を試みた際に、いつでもアクセスや使用をすることができるということです。
「必要な時にいつでも使える状態」を指します。
- 具体例: サーバーの二重化、システム障害時の復旧手順の整備、バックアップデータの確保。
- 悪い例: ハードディスクが故障してしまい、パソコンのローカルに保存していたファイルの利用ができなくなった場合、可用性が損なわれた状態といえます。
情報セキュリティを考える際には、これらの3つの特性のどれか一つだけ考えるのではなく、組織の状況に合わせてそれぞれの観点を意識することが大切です。
特に、機密性と可用性はトレードオフになってしまう場合が多いです。 機密性確保のための対策を検討する際、過剰に可用性が損なわれていないかを緻密に検証する、逆も然り、といったことに留意しましょう。
情報セキュリティの3要素については「情報管理に欠かせない!情報セキュリティ3要素の意味、7要素についても解説」でもあわせて解説しています。
ISMS認証のマネジメントシステム(MS)とは?
マネジメントシステムとは、組織における、特定の目的に向かって適切に組織を指揮・管理するための仕組みのことです。
情報セキュリティにおいて、適切に情報資産を管理する、情報資産の機密性・完全性・可用性を確保するための組織のルールや体制、及びその効果改善の仕組みです。
例えば、組織として情報漏えいを防ぐことを考えます。
- 方針:内部からの情報漏えいを防ぐためには、ツールを活用して仕組みとして不正を防ぐ。
- 実行:不正な操作を抑止するために操作ログ管理ソフトを導入する。
- 評価:情報漏えい時には追跡を行うと定め、その効果を検討する。
その際、取り決めたルールが別のルールと競合し、実際の現場の状況と著しく乖離してしまうことが起こり得ます。そうならないために、全体としてまとまりのあるルールを制定・運用していくことが求められます。
いわゆるPDCAサイクルに沿って組織の課題の特定から対策検討、ルール化・運用といったことを行っていきます。
最新の情報セキュリティマネジメントシステムについては「ISO27001の最新版の内容とは?移行期限も含めて詳しく解説」でも解説しています。あわせてお読みください。
ISMSの認証基準と規格について
ISMSの認証基準については国際規格で明確に定められており、この規格に基づいて第三者の認証機関が適合性を評価します。
ISMSに関する規格(ISO/IEC 27001)
ISMSの規格としては、ISO(国際標準化機構)とIEC(国際電気標準化機構)が共同で策定したISO/IEC 27001、及びこれをJIS(日本工業規格)が日本語訳したJIS Q 27001があります。両者の内容は同様と考えて問題ありません。
ISO27001は正確には「ISO/IEC 27001 Information technology -Security techniques-Information security management systems-Requirements」といい、組織がISMSを構築するための要求事項をまとめた国際規格です。
ISO27001及びJIS Q 27001は、それぞれ本文と附属書Aに分かれています。
- 本文:ISMS構築のために実施しなければならない要求事項(PDCAサイクルの回し方など)が記載されています。
- 附属書A: 要求事項に対応するための具体的な管理策(セキュリティ対策)が93項目挙げられています。
管理策については、組織によって適用・不適用の選択が可能ですが、適用しない場合には適用宣言書に理由を記載する必要があります。
ISMS認証を取得するとは?
単にISMSといった場合、先述の通りマネジメントの仕組みを指します。
そして、このISMSという仕組みをしっかり構築し、運用できていることを客観的に示す方法として、ISMS認証が存在します。
ISMS認証とは、組織でしっかり情報セキュリティマネジメントシステムが構築・運用されているか、そのシステムがISMSの規格に適合しているか、有効に機能しているか、を認証機関が審査し、基準を満たしている場合に受け取ることができる認証です。
ISMS認証を取得することで、情報資産を適切に管理できる組織だと言うことが対外的にアピールできます。
なお、無事認証を取得できたとしても、一度認証を取得したら終わりではなく、PDCAサイクルを回して継続的改善を図っていく必要があります。
そして、しっかりとPDCAを回して運用しているかどうかが翌年以降の維持審査や更新審査で審査されます。
認証評価制度の機関
ISMS適合性評価制度の認証の運用には三つの機関が関連しています。
- 認証機関
- 第三者機関として組織のISMSを審査する
- 要員認証機関
- 認証審査に関する能力をもつ審査員を認証、登録する
- 認定機関
- 認証機関が適切に認証審査が実施できることを審査・確認する ※日本の場合はISMS-ACなど
ISMSの審査機関については「ISMSの審査機関にも違いあり|選定ポイントと審査の流れを知る」で詳しく解説していますので、あわせてご覧ください。
ISMS認証とPマーク(プライバシーマーク)の違い
情報保護に関する認証制度として、ISMS適合性評価(ISMS認証)制度のほかにもPマーク(プライバシーマーク)制度があります。
この2つの認証制度はよく比較されますが、以下のような違いがあります。
| ISMS(ISO27001) | Pマーク(JIS Q 15001) | |
|---|---|---|
| 保護対象 | 組織の情報資産全般(個人情報、技術情報、顧客リストなど) | 個人情報のみ |
| 規格 | 国際規格(ISO/IEC 27001) | 日本国内規格 (JIS Q 15001) |
| 対外的 アピール力 |
国際的な規格に基づいているため、 世界的にアピール可能 |
国内規格のため、アピールは 日本国内が中心 |
| 取得単位 | 会社全体、または部署・事業所単位 での取得が可能 |
原則として会社全体(法人単位)での 取得が必須 |
| 有効期間 | 3年間 ※3年ごとの更新審査に加えて、1年ごとの維持審査が必要 |
2年間 ※2年ごとの更新審査のみ |
選び方のポイント:
- ISMSがおすすめ:法人向けのビジネス(BtoB)、海外取引がある企業、IT企業、特定の部署だけで取得したい場合
- Pマークがおすすめ:一般消費者向けのビジネス(BtoC)、人材派遣業など個人情報を大量に扱う場合
詳細な比較については、「プライバシーマークとISMSの違いとは?どちらを取得すべきか解説」で徹底解説しています。
ISMS認証取得までの取り組み(流れ)
ISMSの認証を取得するためには、情報資産の洗い出しやリスクアセスメント、リスク対応策の選定、各段階における必要な文書や記録の作成、従業員教育、内部監査といった様々な取り組みが必要となります。
ところが、ISMSの規格の文言自体はとても抽象的な記載となっています。
この抽象的な記載が原因で、経験のない担当者の方が自社のみで取得を目指そうとすると、規格の内容を理解することに多くの労力を割くことになります。また規格には具体的に何をするのか書かれていないことが多いため、実施内容を決めることにも時間がかかってしまいます。
例えば、自社のみで取り組みを行う場合、情報資産の洗い出しを必要以上に細かくしてしまうかもしれませんし、業務の妨げになる過度なルールを定めてしまうかもしれません。
コンサルタントを活用するメリット
ISMSの認証取得に時間がかかってしまうことへの対策として、コンサルタントに認証の支援を依頼する方法があります。
コンサルタントに依頼した場合は、審査までのロードマップがしっかりと用意されており、「いつまでに」「誰に」「何を」して欲しいのかが明確になっているため、担当者の方が必要以上に時間を費やしてしまうことを避けられます。
経験豊富なコンサルタントであれば、審査機関ごとの特徴を把握していたり、顧客・同業他社を含めた一般的な情報セキュリティに関する実情を熟知しています。経験とスキルから業務効率を不必要に妨げるような過度なルールではなく、会社の業務実態に沿ったルールの策定が可能となります。
LRMでは、ISMS/ISO27001認証取得コンサルティングを行っております。
年間580社※・19年の支援実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
また、セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
ISMS認証取得後の運用について
ISMSの規格では継続的改善が要求されています。
そのため、ISMS認証は「取得して終わり」ではありません。むしろ構築したISMSの運用が本番といえます。
自社のみで認証取得する場合、認証取得がゴールになってしまい、運用まで気が回らないことがあります。すると、認証取得に向けて過度なルールを構築してしまい、認証取得後の運用が煩雑になりすぎてしまいます。
また、日々変化する情報セキュリティ事情や関連法令の把握も、しっかり取り組もうと思うほど担当者の方に過度な負担となってしまうこともあります。
ISMS運用については弊社サイト「ISMSは運用が大変?コンサル会社がISMS運用で気を付けている点」でもご紹介しています。
ISMS認証の取得にかかる期間・費用
ISMS認証の取得にかかる期間・費用の目安をご紹介します。
期間について
ISMSを取得するまでには、コンサルタントに依頼した場合でも、半年程度は必要になります。自社のみで取得する場合、担当者の方が確保できる時間にもよりますが、さらにかかる事になります。
ISMS認証を取得するには、最低限1回はPDCAサイクルを回す必要があります。具体的には、以下のような事を行う必要があります。
- P=計画:情報資産洗い出し、リスクアセスメント、情報セキュリティ方針の確立など
- D=実施:運用の計画と管理、従業員教育、リスク対応など
- C=評価:内部監査、マネジメントレビュー
- A=改善:不適合への是正処置など
自社のみで取得を目指す場合は、そもそも何をしなければならないのかの調査に始まり、規格で求められていることを調べながら検討を繰り返すこととなります。認証取得に直接必要のない作業に多くの時間を取られてしまうでしょう。
これに対し、コンサルタントに依頼する場合、そのような調査の作業は必要なく、認証取得に向けて効率的な取組が可能となります。
例えばLRMに依頼した場合、取得目安期間としては、約6か月(シンプルコース)、約9か月(スタンダードコース)、約4か月(短期取得コース)などとなります。
詳しくは「ISMS認証の取得期間はなぜ最短でも4カ月なのか?内容を詳しく解説」でも解説していますので、ご確認ください。
費用について
ISMSの費用は、大きく分けて「審査費用」と「コンサルティング費用」に分類されます。
審査費用(必須)
審査機関に支払う費用です。
※審査費用は会社の規模・資産の重要性・ISMSの複雑さ・審査機関によっても変動しますので、参考としてお考え下さい。
(例) 数十名規模の企業の初回審査費用目安: 約80万~100万円前後
審査費用は「審査工数(人・日)×審査員派遣料金(1日当たり)+その他費用」によって決まります。
同じ規模の会社でも、事業所の数や従業員数によって金額は異なります。
コンサルティング費用(依頼する場合)
コンサルタントに依頼する場合、会社によって異なりますが、数十万~数百万円の費用がかかります。
決して安くない費用がかかりますが、コンサルタントに依頼しない場合、全く未経験の担当者が規格を調査するところから始める必要があります。そのため、長期間、担当者が拘束されることによるリソース(人件費)及び心労や、審査落ち・修正リスクなどを加味すると、コンサルティングを利用する方がトータルでコストを抑制できるケースが多いです。
また、自社のみで認証取得を目指すと、認証取得に必須でないルールや自社の状況にそぐわない厳しすぎるルールを定めてしまい、業務効率の低下にもつながります。その点、コンサルタントであれば現在の業務実態を考慮しながら、ルール作成を行うことができます。
LRMのコンサルタントサービスについてはこちらを参照してください。
その他費用
ISMS取得活動を行う上で、備品の購入などがある場合の費用になります。「ルールの変更により、鍵付きのキャビネットが必要になったので購入する」などが該当します。
まとめ
以上、ISMSを初めて取得する際に知っておきたいISMSについての概要、ISMSとPマークとの比較、自社のみで取り組む場合とコンサルタントに依頼する場合との比較について解説しました。
ISMS認証は取得することがゴールではありません。企業の信頼性を高め、継続的に情報セキュリティレベルを向上させていくためのスタートラインです。
LRMでは、ISMS/ISO27001認証取得コンサルティングを行っております。
年間580社※ 19年の支援実績のノウハウで、専属コンサルチームが徹底サポートいたします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
また、セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
