企業や組織にとって情報セキュリティ対策の実施は必須となっています。情報セキュリティへの配慮を行い対処がとれていることは企業や組織の信頼性に影響のある重要な要素であるためです。
しかし、組織の外からはその取り組み、対策は見えません。実際にセキュリティ対策の行われている組織なのかどうかを示すためには、認証の取得が一つの手段となります。
情報セキュリティに関する認証として著名なのがISMS認証です。国際的な規格に基づいているため、非常に信頼性の高い認証となります。
本記事ではISMS認証について取得までの流れや期間、費用、Pマークとの違いなどについて紹介します。
ISMS認証取得をお考えの企業様はお気軽にお問い合わせください。
ISMSとは?
ISMSとは、Information Security Management Systemの略で、組織の情報セキュリティを管理するための仕組みを指します。
この用語は、情報セキュリティ(IS)部分とマネジメントシステム(MS)部分とに分けられます。
以下、それぞれについて説明していきます。
情報セキュリティ(IS)とは?
情報セキュリティとは、
「情報の機密性、完全性及び可用性を維持すること」と定義されています。
機密性
「機密性」とは、認可されていない者に対して情報を使用させない・開示しない特性です。
例えば、「ファイル・フォルダにパスワードをかける」「特定の者のみにファイルの権限を付与する」などが機密性を維持するための対策です。
一般に情報セキュリティと聞くと、この機密性を思い浮かべるのではないでしょうか。
完全性
「完全性」とは、情報の正確さ・完全さの特性です。
例えば、ファイルの内容が古いにもかかわらず、それを最新のものと誤認しそこに記録を書き加えていくと、正確な情報でなくなってしまいます。
これが完全性の損なわれた状態で、対策としてはバージョン管理をしっかりすることが挙げられます。
可用性
「可用性」とは、認可された者がアクセスや使用を試みた際に、いつでもアクセスや使用をすることができるという特性です。
例えば、ハードディスクが故障してしまい、パソコンのローカルに保存していたファイルの利用ができなくなった場合、可用性が損なわれた状態といえます。
対策としては、バックアップを取っておくことなどが挙げられます。
情報セキュリティを考える際には、これらの3つの特性のどれか一つだけ考えるのではなく、組織の状況に合わせてそれぞれの観点を意識することが大切です。
特に、機密性と可用性は相反する性質を持ちます。そのため、例えば機密性を守ろうと対策を考える際に可用性が必要以上に損なわれてないかといったバランスを意識をしていくことが大切となります。
※組織によってどの特性を重視するかは変わります。
マネジメントシステム(MS)とは?
マネジメントシステムとは、「方針、目的及びその目的を達成するためのプロセスを確立するための、
相互に関連する又は相互に作用する、組織の一連の要素」と定義されています。
情報セキュリティに当てはめてみていくと、
まず組織として情報セキュリティにどう取り組んでいくか方針・目標を定めます。
そして、それを達成するために組織の持つ資源(ヒト・カネ・モノ)をどのように投入すればどのような効果が得られるかを検討します。
例えば、組織として情報漏えいを防ぐことを考えます。内部からの情報漏えいを防ぐためには、ツールを活用して仕組みとして不正を防ぐ、というような方針をたてます。不正な操作を抑止するために操作ログ管理ソフトを導入する。情報漏えい時には追跡を行う、と定めてその効果を検討するのが、資源の投入とその効果の検討となります。
その際、あるルールを定めることが別のルールと競合したり実際の現場の状況と著しく乖離してしまうことが起こり得ます。そこで、全体としてまとまりのあるルールを制定・運用していくことが求められます。
いわゆるPDCAサイクルに沿って組織の課題の特定から対策検討、ルール化・運用といったことを行っていきます。
ISMS認証を取得するとは?
単にISMSといった場合、上記のような「仕組み」自体を指します。もっとも、単にISMSを構築しているといっても、その内容は組織によって様々です。そのため、組織に自らの情報を扱われる者からすると、期待しているとおりのISMSを構築・運用できているか判断は困難です。
そこで、組織が情報セキュリティに関して必要最低限実施すべき事項(規格の要求事項)を定め、それに基づき運用されていることを認証する制度としてISMS認証が存在しています。第三者(認証機関)が審査し、基準を満たす組織に対し認証を与える仕組みです。
なお、無事認証を取得できたとしても、一度認証を取得したら終わりではなく、PDCAサイクルを回して継続的改善を図っていく必要があります。
そして、しっかりとPDCAを回して運用しているかどうかが翌年以降の維持審査や更新審査で審査されます。
ISMSに関する規格について
ISMSに関する規格としては、ISO(国際標準化機構)とIEC(国際電気標準会議)が共同で策定したISO/IEC 27001、及びこれをJIS(日本産業規格)が日本語訳化したJIS Q 27001があります。JIS Q 27001の規格は、本文と附属書Aとに分かれています。
本文にはISMSを構築するために行わなければならない必須の事項が記載されており、これを守っていない場合には認証を取得できません。具体的な内容については後述しています。
これに対し、附属書Aには、リスクに対応するための管理策の例が114個挙げられており、それぞれの組織がどの管理策を適用するかを選択できます。適用しない場合には、適用宣言書に理由を記載する必要があります。
ISMSの認証基準
ISMSの認証の基準については、明確に定められています。一般社団法人情報マネジメントシステム認定センターにより公開されている情報より、その概要について紹介します。
規格
ISMSの認証基準となる規格はJIS Q 27001:2014(ISO/IEC 27001:2013)です。こちらの規格により第三者の認証機関が適合性を評価します。
本規格は正確には「JIS Q 27001:2014 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項 (ISO/IEC 27001:2013 Information technology -Security techniques-Information security management systems-Requirements)」といい、組織がISMSを構築するための要求事項をまとめた国際規格です。
なおJIS Q 27001は、ISO/IEC 27001の制定発行に伴って、日本工業標準調査会(JISC)により日本工業規格(JIS)として制定された国内規格です。内容は、ISO/IEC 27001を忠実に日本語に翻訳し、国際規格との整合性を厳密に保ったものとなっています。
認証評価制度の運用と組織
ISMS適合性評価制度の認証の運用には三つの機関が関連しています。
- 認証機関:組織が構築したISMSがJIS Q 27001(ISO/IEC 27001)に適合しているか審査し登録する
- 要員認証機関:審査員の資格を付与する
- 認定機関:上記各機関がその業務を行う能力を備えているかをみる
なお、審査員になるために必要な研修を実施する「審査員研修機関」は要員認証機関が承認します。
ISMSとPマークの違い
情報保護に関する認証制度として、ISMS適合性評価(以下、「ISMS認証」と表記します)制度のほかにもプライバシーマーク(以下「Pマーク」と表記します)制度があります。
Pマーク制度は、個人情報の管理に対してしっかりと保護体制が構築・運用されているかを第三者機関が評価する制度です。
両者は、情報保護に関する認証制度としての共通点はありますが、以下のように異なります。
| ISMS | Pマーク | |
|---|---|---|
| 対象 | 個人情報も含めた会社(組織)の保有する 情報資産全般を対象 |
会社(組織)の保有する個人情報のみを対象 |
| 対外的アピール力 | 国際規格に基づいているため、国際的な認証機関からの認証を受けることで世界的にアピールすることができます。 | 日本独自の規格に基づくものなので、日本国内でのアピール力はありますが、世界的なアピール力は乏しいです。 |
| 取得単位 | 部署単位やプロジェクト単位など取得単位を選択することができます。 取得単位はISMSの「適用範囲」として記載することが規格上求められており、その範囲で審査・認証がされ ます。 |
法人単位で取得する必要があります。 |
| 有効期間 | 有効期限は3年間です。 そのため、3年に一度の更新審査を受ける必要があります。 また、更新審査のない年についても、維持審査(サーベイランス審査)を受ける必要があります。 |
有効期限は2年間です。審査の頻度としては2年ごとの更新審査があるのみです。 |
ISMS認証取得までの取り組みについて
ISMSの認証を取得するためには、情報資産の洗い出しやリスクアセスメント、リスク対応策の選定、各段階における必要な文書や記録の作成、従業員教育、内部監査といった様々な取り組みが必要となります。
ところが、ISMSの規格の文言自体はとても抽象的な記載となっています。
この抽象的な記載が原因で、経験のない担当者の方が自社のみで取得を目指そうとすると、規格の内容を理解することに多くの労力を割くことになります。また規格には具体的に何をするのか書かれていないことが多いため、実施内容を決めることにも時間がかかってしまいます。
例えば、自社のみで取り組みを行う場合、情報資産の洗い出しを必要以上に細かくしてしまったり、情報セキュリティリスクに対して有効でないルールや、業務の妨げになるルールを定めてしまうかもしれません。
はじめから自社のみでISMS認証を取得しようとした場合、取り組みのいろいろな段階で問題が生じる可能性があり、場合によっては認証取得自体を諦めてしまう結果となりかねません。
ISMSの認証取得に時間がかかってしまうことに対する施策として、コンサルタントに認証の支援を依頼する方法があります。コンサルタントに依頼した場合は、審査までのロードマップがしっかりと用意されており、「いつまでに」「誰に」「何を」して欲しいのかが明確になっているため、担当者の方が必要以上に時間を費やしてしまうことを避けられます。
経験豊富なコンサルタントであれば、審査機関ごとの特徴を把握していたり、顧客同業他社を含めた一般的な情報セキュリティに関する実情を熟知しています。経験とスキルから業務効率を不必要に妨げるような過度なルールではなく、会社の業務実態に沿ったルールの策定が可能となります。
LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。また、情報セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
認証取得後の運用について
ISMSの規格では継続的改善が要求されています。
そのため、ISMS認証は「取得して終わり」ではありません。むしろ構築したISMS体制を運用するのが本番の段階といえます。
自社のみで認証取得する場合、認証取得のみを目指して運用のことまで深く考えていないことがあります。認証取得に向け過度なルールを構築してしまい、認証取得後の運用が煩雑になりすぎてしまう可能性もあります。
また、日々変化する情報セキュリティ事情や関連法令の把握も、しっかり取り組もうと思うほど担当者の方に過度な負担となってしまうこともあります。
取得にかかる期間・費用
ISMS認証の取得にかかる期間・費用の目安をご紹介します。
期間について
ISMSを取得するまでには、コンサルタントに依頼した場合でも、半年程度は必要になります。
自社のみで取得する場合、担当者の方が確保できる時間にもよりますが、さらにかかる事になります。
ISMS認証を取得するには、最低限1回はPDCAを回す必要があります。
具体的には、以下のような事を行う必要があります。
P=計画
- 組織の外部及び内部の課題の決定
- 利害関係者のニーズ及び期待の理解
- ISMSの適用範囲の決定
- 情報セキュリティ方針の確立
- ISMSに関する責任と権限の割当て
- リスクと機会の特定
- 特定したリスクを評価・分析(リスクアセスメント)
- リスクへの対応の決定
- 情報セキュリティ目的(目標)の確立とそれを達成するための計画の策定
- 従業員への教育・訓練の実施
- 文書化された情報の管理
D=実施
- 運用の計画と管理
- 定期的及び大きな変化があった場合のリスクアセスメント
- リスク対応計画の実施
C=評価
- 内部監査やマネジメントレビュー
A=改善
- 修正処置や是正処置の実施
自社のみで取得を目指す場合は、そもそも何をしなければならないのかの調査に始まり、規格で求められていることを調べながら検討を繰り返すこととなります。認証取得に直接必要のない作業に多くの時間を取られてしまうでしょう。
これに対し、コンサルタントに依頼する場合、そのような調査の作業は必要なく、認証取得に向けて効率的な取組が可能となります。
例えば弊社の場合ですと、取得目安期間としては、約6か月(シンプルコース)、約9か月(スタンダードコース)、約5か月(短期取得コース)などとなります。
費用について
ISMSの費用は、分類すると以下になります。
※審査費用は、会社の規模・資産の重要性・ISMSの複雑さによっても変動しますので、目安としてお考え下さい。上記金額は、数十名規模の企業の初回審査費用の目安です。
審査費用(必須)
上記の図に記載されている費用は、あくまでも目安とお考え下さい。
審査費用は、審査機関によって費用が異なるのはもちろん、同じ審査機関で同じ規模の会社が審査を受けた場合でも、費用が異なる場合があるためです。
審査費用は「審査工数(人・日)×審査員派遣料金(1日当たり)+その他費用」によって決まりますが、審査工数の算定方法や審査員の派遣料金単価は、審査機関によって異なります。
また、審査工数算定の考慮要素としては、単に組織の従業員数のみでなく、扱う資産の重要性やISMSの複雑さなども考慮要素となります。
ある審査機関の審査費用の例としても、以下のように料金が異なります。
| 会社A | 会社B | 会社C | |
|---|---|---|---|
| 事務所の数 | 1カ所 | 2カ所 | 1カ所 |
| 人数 | 約30名 | 約30名 | 約30名 |
| 審査費用 | 855,000円 | 820,000円 | 920,000円 |
コンサルティング費用(依頼する場合)
コンサルタントに依頼する場合、会社によって異なりますが、数十万~数百万円の費用がかかります。
決して安くはない費用がかかりますが、コンサルタントを利用した方が結果的にコストが抑えられる場合が多いです。コンサルタントに依頼しない場合、全く未経験の方が規格を調査するところから始める必要がありますので、かなりの労力がかかってしまい、担当者の方の時間・労力がコンサルタント費用を超えることが多々あるためです。
自社のみで認証取得を目指すと、本来は認証取得や情報セキュリティ上は必要ではないルールを定めてしまい、業務効率が下がってしまう事もあります。その点コンサルタントであれば、現在の業務実態を考慮しながら、ルール作成を行ってもらえます。
先述の審査費用の件についても、コンサルタントであれば各審査機関の費用感や特徴を把握している事もありますので、そういった面もコンサルタントに依頼するメリットとなります。
その他費用
ISMS取得活動を行う上で、備品の購入などがある場合の費用になります。
「ルールの変更により、鍵付きのキャビネットが必要になったので購入する」等が該当します。
通常そこまで多数の備品を購入することはあまりありません。
まとめ
以上、ISMSを初めて取得する際に知っておきたいISMSについての概要、ISMSとPマークとの比較、自社のみで取り組む場合とコンサルタントに依頼する場合との比較についてみてきましたが、いかがでしたでしょうか。
また、LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。また、情報セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
ご興味を持たれた方は、以下の記事も併せてご覧ください。
