組織の情報資産を守る上で重要な仕組みであるISMS。情報セキュリティの世界では非常に有名な言葉ではありますが、ISMSには「ISO/IEC 27001」や「JIS Q 27001」、「ISMS認証」などたくさんの関連用語が存在しており、セキュリティにあまり詳しくない方にとってはそれぞれの違いがはっきりせず、結局ISMSがどんなものなのかがわかりにくいかもしれません。また、「自社がISMS認証を取得すべきなのかわからない」、「取得のメリットがわからない」、「Pマークとどちらを取得すればいいのか迷っている」といったお悩みをお持ちの方も多いと思います。そこで今回の記事では、ISMSとは何なのかやその必要性について、ISO/IEC 27001との違いやISMS認証制度の概要、ISMS認証を取得すべき業種、Pマークとの違い、取得までのプロセスなどと併せてわかりやすく解説します。
- ISMS取得の必要性とメリット
– ISMSの取得が重要な業種
– 株式上場(IPO)と情報セキュリティ
・ISO/IEC 27001とは、ISMSの要求事項を定めた規格
①環境整備
②体制構築
③運用
④審査
・マキナレコードのISMS構築・認証取得支援コンサルティング
ISMSの概要
ISMSとは、簡単に言うと、組織の情報を保護するための仕組みのことです。これを踏まえて、ISMSの概要を見ていきましょう。
ISMSとは?何の略?
まず、ISMSとは「Information Security Management System」の略称で、「アイ・エス・エム・エス」と読みます。日本語には「情報セキュリティマネジメントシステム」と訳されている通り、情報セキュリティをマネジメント(管理)するためのシステムのことですが、もう少し具体的に言うと、ISMSとは情報の機密性、完全性、可用性を守るための体系的な仕組みのことを指します。
ISMSは、ITに関わる技術的な対策を講じることに加えて、従業員への教育・訓練を実施したり、組織体制を整備したりして構築していきます。そして組織は、ISO/IEC 27001(詳しくは後述)という規格に則ってISMSを適切に構築・運用・維持していることが第三者機関によって認められると、「ISMS認証」(※)という認証を取得することができます。
(※)「ISMS」は仕組みのことなので、厳密に言うと、認証を指す場合には「ISMS認証」という言葉を使うのが正確です。ただし実際には、「ISMSを取得する」など、「認証」という言葉が省略されることが多々あります。
情報の機密性、完全生、可用性とは?
先ほど、「ISMSとは情報の機密性、完全性、可用性を守るための体系的な仕組み」であるとお伝えしました。この、情報の機密性、完全性、可用性は、合わせて「情報セキュリティの3要素」と呼ばれる重要な概念です。
それぞれが何を意味するかについては、以下の図をご覧ください。
(総務省「国民のためのサイバーセキュリティサイト」および、情報マネジメントシステム認定センター(ISMS-AC)「ISMS適合性評価制度の概要(パンフレット)」を参考に作成)
ISMS認証の取得が必要となるケース
先ほどISMS認証について少し触れましたが、取得によりどんなメリットが期待できるのでしょうか?また、組織・企業はどのような場合にこの認証を取得すべきなのでしょうか?
ISMS取得の必要性とメリット
セキュリティの強化
ISMS取得により期待できる最も基本的なメリットは、セキュリティ体制を構築、維持、または改善できるという点です。近年、クラウドサービスの普及、コロナ禍以後のテレワークの広まりなどを背景にサイバー攻撃の手法は多様化してきており、不正アクセスやランサムウェアなどによる被害は、もはや対岸の火事ではなくなってきています。このような状況を踏まえると、昨今、セキュリティ対策の重要性は一層高まっていると言えます。
ISMS認証取得を目指す上で、組織はITシステム全体のリスクアセスメント(評価)を行い、リスクを踏まえた対策(アクセスコントロール、オペレーションセキュリティ、人的セキュリティに関するものなど)を実施することになります。このような過程を経ることで、組織のセキュリティが強化されていくことが期待できます。
信頼性の向上
また、ISMSは、認定を受けた第三者機関による審査で認められた場合にのみ、取得することのできる認証です。そのため、「情報セキュリティを向上させるための仕組みが運用できている」ことを外部に対して証明できる、という対外的なメリットもあります。これにより、顧客や取引先からの信頼が向上する、他社との差別化が図れる、といった効果が期待できます。
入札条件や取引条件のクリア
近年、公共事業の入札のための条件として、第三者認証(PマークやISMSなど)を取得していることが要求されるケースが増えてきています。また、他企業と契約を結ぶ際にISMS取得を要求されたり、取得が取引条件になったりするケースもあります。
<図:ISMS取得のメリット、デメリット>
ISMSの取得が重要な業種
機密性の高い情報を扱う場面が多い、などの理由からセキュリティへの取り組みを強く求められるような事業・サービスに関わる業種では、ISMSの取得が特に重要視されます。具体的には、以下のような業種が挙げられます。
<ISMS取得が重要な業種例>
・医療業
・情報サービス業(システム開発、クラウドサービス事業など)
・金融・保険業
・広告業
また、ISMSは国際規格を基にした認証であることから、海外で事業を行うことになった、海外の顧客と取引することになった、といった理由から取得を決めたというケースも見られます。
株式上場(IPO)と情報セキュリティ
先ほど、「昨今セキュリティ対策の重要性が高まっている」とお伝えしましたが、株式上場(IPO)を目指す企業は特に、セキュリティに力を入れることが大切になります。その第一の理由は、IPO前に情報漏洩などのインシデントが発生した場合、IPOが取りやめになったり延期になったりする恐れがあるからです。実際に、2016年、自動運転ソリューション事業を展開する企業で顧客情報が流出するというインシデントが発生し、IPOが延期になるという事態が起きています。
また、IPO前の時期というのは、良い意味でも悪い意味でも外部からの注目度が高まります。そのため、この時期に「セキュリティ対策をしっかりやっている」というアピールができれば、対外的な企業イメージや顧客・ユーザーからの信頼が一気に高まることが期待されます。一方で、セキュリティ面に懸念があるというイメージを持たれてしまうと、自社商品・サービスの競争力が低下したり、企業価値が低いと判断されたりする恐れがあります。このように、対外的なイメージや信頼というのは事業運営を左右する場合があるため、セキュリティを経営課題の1つとして捉え、対策を講じていくことが重要です。
ISMSは国際的な規格として認知度が高く、信頼されている上、認証取得によりセキュリティ体制を強化することもできます。したがって、IPO前の企業がISMSを取得しておくメリットは非常に大きいと言えます。
ISO/IEC 27001とISMSの違い
冒頭で触れたように、ISMS認証を取得するにあたって参照しなければならないのが、ISO/IEC 27001という規格です。ISMSとISO/IEC 27001は、場合によっては同じような意味合いで使われることがあるため混同されがちですが、正確には別物です。
ISO/IEC 27001とは、ISMSの要求事項を定めた規格
まず、ISMSという仕組みを組織内で構築するにあたり、具体的にどのように構築すべきなのかについて参照しなければならない指標に相当するのが、ISO/IEC 27001という国際規格です。ISO/IEC 27001は、「要求事項」と「附属書A」で構成されています。要求事項には、情報セキュリティ対策を効果的かつ継続的に行うための具体的なルールが記載されており、附属書Aには情報セキュリティの対策集(管理策)が記載されています。なお、管理策の具体的な実施方法については、「ISO/IEC 27002」という別の規格の中で詳しく説明されています。
ISMS認証を取得するためには、ISO/IEC 27001に記載されている要求事項を満たし、管理策を実施してISMSを構築・運用・維持していく必要があります(詳しい認証取得の方法については後述)。
ISO/IEC 27001とISMSの違い
前述の通り、ISO/IEC 27001は規格であり、ISMSは仕組みまたは認証のことです。ただ、ISO/IEC 27001にはISMS認証を取得するために必要な内容が記載されており、両者は切っても切れない関係にあるため、「ISMS(ISO/IEC 27001)」や「ISO/IEC 27001認証」のような表記が使われることも多々あります。
ISO/IEC 27001の改訂
ISO/IEC 27001は、2022年10月に改訂されて最新版「ISO/IEC 27001:2022」(旧版はISO/IEC 27001:2013)が発行され、管理策の統合や新たな管理策の追加といった変更がなされています。
改訂内容などについて詳しくは、以下の記事をご覧ください:
JIS Q 27001とは?
ISMSについて理解する上でもう1つ欠かせないのが、ISO/IEC 27001の日本語版である「JIS Q 27001」です。そもそもISO/IEC 27001は国際規格であり、英語で記述されています。そのため、これを忠実に日本語に訳した国内向けの規格として、JIS Q 27001が発行されました。現行版は「JIS Q 27001:2014 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」ですが、ISO/IEC 27001の改訂を受けてJIS版も新しいものが発行される予定です。
ISO/IEC 27000のファミリー規格
ISMSに関する規格は、前述のISO/IEC 27001以外にも複数存在しており、まとめて「ISO/IEC 27000 ファミリー規格」と呼ばれています。ファミリー規格には、大きく分けて、①ISO/IEC 27001のような要求事項を規定した規格と、②ISMS実施の様々な側面に関する手引を規定した規格、の2種類があり、各規格には、27000〜27040番台および27100〜27110番台の番号が付与されています。
例えば、「ISO/IEC 27017」は、クラウドサービスのための情報セキュリティ管理策の実践の規範を提供する規格(※)です。また、「ISO/IEC 27002」のような、管理策の選定、実施および管理などに関するベストプラクティスをまとめたガイダンス規格もあります。
(※)関連記事:
ISO/IEC 27000のファミリー規格について詳しくは、一般財団法人日本情報経済社会推進協会(JIPDEC)の資料「ISO/IEC 27000 ファミリー規格について ~ ISO/IEC JTC 1/SC 27/WG 1 における検討状況 ~」をご覧ください。
ISMS認証の概要
では次に、ISMS認証制度の概要や、認証取得の方法について見ていきましょう。
ISMS認証制度の概要
ISMS認証制度の正式名称は「ISMS適合性評価制度」ですが、「ISMS認証(制度)」や単に「ISMS」などと略して呼ばれることがほとんどです。この制度は、「認証機関」「認定機関」「要員認証機関」の3種類の機関から構成されています。
認証機関とは、第三者機関として組織のISMSを審査する機関のことを言います。そして、認証機関を国際規格ISO/IEC 27006に基づいて認定するのが、認定機関(日本の場合はISMS-AC)です。最後の要員認証機関は認証審査に関する能力をもつ審査員を認証・登録する機関であり、審査員評価登録機関とも呼ばれます。
(ISMS-AC「ISMS適合性評価制度の概要(パンフレット)」を参考に作成)
ISMS認証取得の方法
認証範囲
ISMS認証を取得する上でまず理解しておくべきなのは、認証範囲(認証の対象)は必ずしも全社でなくてもいい、ということです。もちろん企業全体を対象として認証取得を目指すこともできますが、企業の中の特定のサービスや事業のみを対象とすることも可能です。また、ISMS認証は、企業や組織だけでなく個人でも取得できます。
認証取得の流れ
以下が、ISMS認証取得の大まかな流れです。
①認証機関の選択
ISMS-ACが公開しているリストの中から、認証機関を選びます。
②申請
選んだ認証機関に対し、認証登録の申請を行います。
③認証審査
申請が受理されたら、認証機関による審査を受けます。審査は原則として、一次審査と二次審査の2段階で行われます。
④認証登録
審査の結果、ISO/IEC 27001(JIS Q 27001)に適合していることが確認されると、認証を受けることができます。認証の有効期限は3年です。
⑤報告・公開
認証された旨が認証機関からISMS-ACに報告されると、ISMS-ACのホームページ上で公開されます(非公表とすることも可能)。
認証の維持:サーベイランス審査と更新審査
先ほどお伝えした通り、ISMS認証は取得から3年間有効です。ただし、この間、年に1回以上のサーベイランス審査(認証されたマネジメントシステムがその後も適切に運用されているかを確認するための中間的な審査)を受ける必要があります。また、期限の切れる3年ごとに、有効期限を更新するための全面的な審査(再認証審査)を受けることになります。
ISMS認証とPマーク(PMS)の違い
ISMS認証とよく比較される情報セキュリティ関連の認証に、プライバシーマーク(Pマーク/PMS)があります。両者にはどのような違いがあるのでしょうか?
Pマーク(PMS)とは?
まず、Pマーク(PMS)とは、組織がJIS Q15001というJIS規格に基づいて個人情報を適切に管理できているかどうかを第三者が客観的に評価し、合格した際にプライバシーマークを付与する認定制度のことを言います。JIS Q15001では、組織が個人情報を適切に管理するためのマネジメントシステムについての要求事項が定められています。
ISMS認証とPマーク(PMS)の比較
ISMS認証とPマーク(PMS)の最も大きな違いは、ISMSが情報セキュリティ全般に関する認証制度であるのに対し、Pマークは個人情報に特化した制度であるという点です。
その他にも、以下のような違いがあります。
規格の規模の違い
Pマークが日本国内のみを対象とする制度であるのに対し、ISMSは全世界で利用されています。
対象(認証単位)
Pマークの対象(認証単位)は、日本国内に活動拠点を持つ事業者のみです。一方でISMSの対象は、組織、サービス、事業、個人など自由です。
💡上記以外の両制度の違いや、どちらを取得すべきかの見極め方などについては、こちらの記事をご覧ください:
ISMS認証取得までの4つのステップ
以下が、ISMS認証を取得するまでのおおまかな流れです。
①環境整備
取得目的の設定
適用範囲の設定
②体制構築
情報セキュリティ方針や規程の策定、リソース確保
情報資産の洗い出し
リスクアセスメント
管理策の検討
③運用
セキュリティ教育
内部監査の実施
マネジメントレビュー
④審査
一次審査
二次審査
是正処置対応
PDCAサイクルの重要性
ISMS認証は取得すればそれで終わりというわけではありません。せっかく苦労して取得した認証が形骸化して無意味なものになってしまうのを避けるためには、「PDCAサイクル」という組織的かつ継続的な改善を促す仕組みを構築し、引き続きセキュリティレベルの向上に務めることが重要です。
P、D、C、Aの各文字は、それぞれ以下を表しています。
・PLAN(計画):ISMSの確立
・DO(運用):ISMSの導入および運用
・CHECK(評価):ISMSの監視および見直し
・ACT(改善):ISMSの維持および改善
<参考図:PDCAサイクル>
まとめ
まとめると、ISMSについて理解する上で重要なポイントは以下の6点です。
①ISMSとは情報の機密性、完全性、可用性を守るための体系的な仕組みのこと
②国際規格ISO/IEC 27001に則ってISMSを適切に構築・運用・維持していることが第三者機関によって認められると、ISMS認証を取得できる
③ISMS取得により、セキュリティに注力していることを外部へ示すことができ、顧客や取引先からの信頼獲得・向上につながる
④ISMS認証取得後も、年に1回以上のサーベイランス審査と3年ごとの更新審査を受ける必要がある
⑤Pマークが個人情報保護に特化した認証であるのに対し、ISMSは情報セキュリティ全般に関する認証
⑥認証取得後もPDCAサイクルを回し続けることが重要
「自社のセキュリティを強化したい」、「しっかりしたセキュリティ体制を構築していることを外部に示したい」といった企業には、ISMS取得を検討してみることをお勧めします。
ただし、先ほど紹介した認証取得までのステップからもお分かりいただけるように、ISMS認証の取得は長期的なプロセスとなります。また、かなりの専門知識と労力が必要になってくる上、2022年10月のISO 27001改訂に伴って新たに追加された管理策を理解したり、対応方法を検討したりすることも求められます。こういった点を踏まえると、自社単独での認証取得は難易度が高いと言えるため、取得支援コンサルティングサービスを利用した方がスムーズなことが多いです。
マキナレコードのISMS構築・認証取得支援コンサルティング
マキナレコードでは、「『認証取得』で終わらせない、ちゃんとしたセキュリティを」というビジョンのもと、ISMS取得支援コンサルティングサービスを提供しています。準備や審査対応などの認証取得に至るまでの期間のサポートはもちろんのこと、取得後の維持運用・更新の支援にも注力し、企業にしっかりとしたセキュリティ体制を構築するためのお手伝いをいたします。
💡ISMS取得に関する弊社の支援事例については、こちらをご覧ください:「導入事例|クラウドサービス展開時にセキュリティ強化が必要に/A1A株式会社様」
また、「PマークとISMS、どちらを取得すべきかわからない」など、認証の種類で迷っている・違いを明確にしたいといったお悩みがある場合は、コンサルタントがヒアリングをもとに最適な認証(※)を提案させていただきます。
(※)弊社で対応可能な認証:Pマーク、ISMS、PCI DSS
認証取得支援コンサルティングサービスについて詳しくは、弊社のホームページをご覧ください。
Writer
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。