企業や組織にとって、情報セキュリティ対策の実施は必須です。組織の信頼性に影響のある重要な要素であるためです。
とは言え、組織が情報セキュリティ対策についてどんな取り組みをしているのかは、目に見えてはわかりづらいものでもあります。
そこで、組織が情報セキュリティ対策を適切に実施していることを客観的に示す認証としてISMS認証があります。国際的な規格に基づいているため、非常に信頼性の高い認証となります。
本記事ではISMS認証について取得までの流れや期間、費用、Pマークとの違いなどについて紹介します。
また、これからISMS認証取得をお考えの方は、LRMにご相談ください。
年間580社※・18年の支援実績のノウハウで、専属コンサルチームが徹底サポートいたします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
ISMS認証とは?
ISMSとは、Information Security Management Systemの略で、組織の情報セキュリティを管理するための仕組みを指します。
この用語は、情報セキュリティ(IS)部分とマネジメントシステム(MS)部分とに分けられます。以下、それぞれについて説明していきます。
ISMS認証を取得すべき理由
情報セキュリティ対策というと、ネガティブな事象を防ぐ、マイナスをゼロにする活動であるといったイメージが強いのではないかと思いますが、実は、ことISMS認証においてはプラスの側面も多く、企業の経営にとってメリットになりえます。
- 顧客・取引先への信用を獲得できる
- ISMS認証は組織が情報を適切に管理できていることの客観的な証明になりますので、顧客や取引先に安心感を与え、かつ対外的にも信頼性をアピールできます。
- 官公庁の入札要件をクリアできる
- 官公庁や自治体の入札要件にISMS認証取得が含まれている場合も多く、ISMS認証取得によって入札できる案件の幅が広がります。
- 情報資産管理の徹底・効率化
- ISMSの運用により、従業員のセキュリティ意識向上およびリスク管理の強化が可能です。これにより、企業の情報資産にかかるリスクを低減することができるのはもちろん、情報資産管理の効率化も実現できます。
ISMSの運用については弊社サイト「ISMSは運用が大変?コンサル会社がISMS運用で気を付けている点」でもお話していますので、あわせて覗いてみてください。
ISMS認証で定義されている情報セキュリティ(IS)とは?
情報セキュリティとは、「情報の機密性、完全性及び可用性を維持すること」と定義されています。
機密性
「機密性」とは、認可されていない者に対して情報を使用させない・開示しないことです。
例えば、「ファイル・フォルダにパスワードをかける」「特定の者のみにファイルの権限を付与する」などが機密性を維持するための対策です。
一般に情報セキュリティと聞くと、この機密性を思い浮かべるのではないでしょうか。
完全性
「完全性」とは、情報の正確さ・抜け漏れの無さです。
例えば、ファイルの内容が古いにもかかわらず、それを最新のものと誤認しそこに記録を書き加えていくと、正確な情報でなくなってしまいます。
これが完全性の損なわれた状態で、対策としてはバージョン管理をしっかりすることが挙げられます。
可用性
「可用性」とは、認可された者がアクセスや使用を試みた際に、いつでもアクセスや使用をすることができるということです。
例えば、ハードディスクが故障してしまい、パソコンのローカルに保存していたファイルの利用ができなくなった場合、可用性が損なわれた状態といえます。
対策としては、バックアップを取っておくことなどが挙げられます。
情報セキュリティを考える際には、これらの3つの特性のどれか一つだけ考えるのではなく、組織の状況に合わせてそれぞれの観点を意識することが大切です。
特に、機密性と可用性はトレードオフになってしまう場合が多いです。 機密性確保のための対策を検討する際、過剰に可用性が損なわれていないかを緻密に検証する、逆も然り、といったことに留意しましょう。
※組織によってどの特性を重視するかは変わります。
情報セキュリティの3要素については「情報管理に欠かせない!情報セキュリティ3要素の意味、7要素についても解説」でもあわせて解説しています。
ISMS認証のマネジメントシステム(MS)とは?
マネジメントシステムとは、組織における、特定の目的に向かって適切に組織を指揮・管理するための仕組みのことです。
情報セキュリティでいえば、適切に情報資産を管理する、情報資産の機密性・完全性・可用性を確保するための組織のルールや体制、及びその効果改善の仕組みです。
例えば、組織として情報漏えいを防ぐことを考えます。内部からの情報漏えいを防ぐためには、ツールを活用して仕組みとして不正を防ぐ、というような方針をたてます。不正な操作を抑止するために操作ログ管理ソフトを導入する。情報漏えい時には追跡を行う、と定めてその効果を検討するのが、資源の投入とその効果の検討となります。
その際、取り決めたルールが別のルールと競合し、実際の現場の状況と著しく乖離してしまうことが起こり得ます。そうならないために、全体としてまとまりのあるルールを制定・運用していくことが求められます。 いわゆるPDCAサイクルに沿って組織の課題の特定から対策検討、ルール化・運用といったことを行っていきます。
最新の情報セキュリティマネジメントシステムについては「ISO27001の最新版の内容とは?移行期限も含めて詳しく解説」でも解説しています。あわせてお読みください。
ISMSの認証基準
ISMSの認証基準については国際規格で明確に定められており、この規格に基づいて第三者の認証機関が適合性を評価します。
ISMSに関する規格について
ISMSの規格としては、ISO(国際標準化機構)とIEC(国際電気標準化機構)が共同で策定したISO/IEC 27001、及びこれをJIS(日本工業規格)が日本語訳したJIS Q 27001があります。両者の内容は同じと思っていて問題ありません。
ISO27001は正確には「ISO/IEC 27001 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項 (ISO/IEC 27001 Information technology -Security techniques-Information security management systems-Requirements)」といい、組織がISMSを構築するための要求事項をまとめた国際規格です。
ISO27001及びJIS Q 27001は、それぞれ本文と附属書Aに分かれています。本文にはISMS構築のために実施しなければならない要求事項が記載されており、附属書Aには要求事項に対応するための管理策が93挙げられています。
管理策については、組織によって対応する・しないの選択が可能ですが、対応しない場合には適用宣言書に理由を記載する必要があります。
ISMS認証を取得するとは?
単にISMSといった場合、先述の通りマネジメントの仕組みを指します。
そして、このISMSという仕組みをしっかり構築し、運用できていることを客観的に示す方法として、ISMS認証が存在します。
ISMS認証とは、組織でしっかり情報セキュリティマネジメントシステムが構築・運用されているか、そのシステムがISMSの規格に適合しているか、有効に機能しているか、を認証機関が審査し、基準を満たしている場合に受け取ることができる認証です。
ISMS認証を取得することで、情報資産を適切に管理できる組織だと言うことが対外的にアピールできます。
なお、無事認証を取得できたとしても、一度認証を取得したら終わりではなく、PDCAサイクルを回して継続的改善を図っていく必要があります。
そして、しっかりとPDCAを回して運用しているかどうかが翌年以降の維持審査や更新審査で審査されます。
※ISO27001規格は2022年に改訂となり、取得企業は改訂対応が必要です。変更内容とやるべき対応をまとめた資料を無料で配布していますので、ぜひご一読ください。
認証評価制度の機関
ISMS適合性評価制度の認証の運用には三つの機関が関連しています。
- 認証機関
- 組織が構築したISMSがJIS Q 27001(ISO/IEC 27001)に適合しているか審査し登録する
- 要員認証機関
- 審査員の資格を付与する
- 認定機関
- 上記各機関がその業務を行う能力を備えているかをみる
なお、審査員になるために必要な研修を実施する「審査員研修機関」は要員認証機関が承認します。
ISMSの審査機関については「ISMSの審査機関にも違いあり|選定ポイントと審査の流れを知る」で詳しく解説していますので、あわせてご覧ください。
ISMS認証とPマークの違い
情報保護に関する認証制度として、ISMS適合性評価(以下、「ISMS認証」と表記します)制度のほかにもプライバシーマーク(以下「Pマーク」と表記します)制度があります。
Pマーク制度は、個人情報の管理に対してしっかりと保護体制が構築・運用されているかを第三者機関が評価する制度です。
両者は、情報保護に関する認証制度としての共通点はありますが、以下のように異なります。
| ISMS | Pマーク | |
|---|---|---|
| 対象 | 個人情報も含めた会社(組織)の保有する情報資産全般を対象 | 会社(組織)の保有する個人情報のみを対象 |
| 対外的 アピール力 | 国際規格に基づいているため、国際的な認証機関からの認証を受けることで世界的にアピールすることができます。 | 日本独自の規格に基づくものなので、日本国内でのアピール力はありますが、世界的なアピール力は乏しいです。 |
| 取得単位 | 部署単位やプロジェクト単位など取得単位を選択することができます。 取得単位はISMSの「適用範囲」として記載することが規格上求められており、その範囲で審査・認証がされ ます。 | 法人単位で取得する必要があります。 |
| 有効期間 | 有効期限は3年間です。 そのため、3年に一度の更新審査を受ける必要があります。 また、更新審査のない年についても、維持審査(サーベイランス審査)を受ける必要があります。 | 有効期限は2年間です。審査の頻度としては2年ごとの更新審査があるのみです。 |
ISMS認証取得までの取り組みについて
ISMSの認証を取得するためには、情報資産の洗い出しやリスクアセスメント、リスク対応策の選定、各段階における必要な文書や記録の作成、従業員教育、内部監査といった様々な取り組みが必要となります。
ところが、ISMSの規格の文言自体はとても抽象的な記載となっています。
この抽象的な記載が原因で、経験のない担当者の方が自社のみで取得を目指そうとすると、規格の内容を理解することに多くの労力を割くことになります。また規格には具体的に何をするのか書かれていないことが多いため、実施内容を決めることにも時間がかかってしまいます。
例えば、自社のみで取り組みを行う場合、情報資産の洗い出しを必要以上に細かくしてしまうかもしれませんし、情報セキュリティリスクに対して有効でないルールや、業務の妨げになるルールを定めてしまうかもしれません。
はじめから自社のみでISMS認証を取得しようとした場合、取り組みのいろいろな段階で問題が生じる可能性があり、場合によっては認証取得自体を諦めてしまう結果となりかねません。
ISMSの認証取得に時間がかかってしまうことに対する施策として、コンサルタントに認証の支援を依頼する方法があります。コンサルタントに依頼した場合は、審査までのロードマップがしっかりと用意されており、「いつまでに」「誰に」「何を」して欲しいのかが明確になっているため、担当者の方が必要以上に時間を費やしてしまうことを避けられます。
経験豊富なコンサルタントであれば、審査機関ごとの特徴を把握していたり、顧客同業他社を含めた一般的な情報セキュリティに関する実情を熟知しています。経験とスキルから業務効率を不必要に妨げるような過度なルールではなく、会社の業務実態に沿ったルールの策定が可能となります。
LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。
年間580社※・18年の支援実績のノウハウで、専属コンサルチームが徹底サポートいたします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
また、セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
ISMS認証取得後の運用について
ISMSの規格では継続的改善が要求されています。
そのため、ISMS認証は「取得して終わり」ではありません。むしろ構築したISMSの運用が本番といえます。
自社のみで認証取得する場合、認証取得がゴールになってしまい、運用まで気が回らないことがあります。すると、認証取得に向けて過度なルールを構築してしまい、認証取得後の運用が煩雑になりすぎてしまいます。
また、日々変化する情報セキュリティ事情や関連法令の把握も、しっかり取り組もうと思うほど担当者の方に過度な負担となってしまうこともあります。
ISMS運用については弊社サイト「ISMSは運用が大変?コンサル会社がISMS運用で気を付けている点」でもご紹介していますので覗いてみてください。
ISMS認証の取得にかかる期間・費用
ISMS認証の取得にかかる期間・費用の目安をご紹介します。
期間について
ISMSを取得するまでには、コンサルタントに依頼した場合でも、半年程度は必要になります。自社のみで取得する場合、担当者の方が確保できる時間にもよりますが、さらにかかる事になります。
ISMS認証を取得するには、最低限1回はPDCAサイクルを回す必要があります。具体的には、以下のような事を行う必要があります。
P=計画
- 組織の外部及び内部の課題の決定
- 利害関係者のニーズ及び期待の理解
- ISMSの適用範囲の決定
- 情報セキュリティ方針の確立
- ISMSに関する責任と権限の割当て
- リスクと機会の特定
- 特定したリスクを評価・分析(リスクアセスメント)
- リスク対応の決定
- 情報セキュリティ目的(目標)の確立とそれを達成するための計画の策定
- 従業員への教育・訓練の実施
- 文書化された情報の管理
D=実施
- 運用の計画と管理
- 定期的及び大きな変化があった場合のリスクアセスメント
- リスク対応計画の実施
C=評価
- 内部監査やマネジメントレビュー
A=改善
- 修正処置や是正処置の実施
自社のみで取得を目指す場合は、そもそも何をしなければならないのかの調査に始まり、規格で求められていることを調べながら検討を繰り返すこととなります。認証取得に直接必要のない作業に多くの時間を取られてしまうでしょう。
これに対し、コンサルタントに依頼する場合、そのような調査の作業は必要なく、認証取得に向けて効率的な取組が可能となります。
例えば弊社の場合ですと、取得目安期間としては、約6か月(シンプルコース)、約9か月(スタンダードコース)、約5か月(短期取得コース)などとなります。
詳しくは「ISMS認証の取得期間はなぜ最短でも4カ月なのか?内容を詳しく解説」で解説していますので、ご確認ください。
費用について
ISMSの費用は、分類すると以下になります。
※審査費用は、会社の規模・資産の重要性・ISMSの複雑さによっても変動しますので、参考としてお考え下さい。上記金額は、数十名規模の企業の初回審査費用の目安です。
審査費用(必須)
上記の図に記載されている費用は、あくまでも目安とお考え下さい。
審査費用は、審査機関によって費用が異なるのはもちろん、同じ審査機関で同じ規模の会社が審査を受けた場合でも、費用が異なる場合があるためです。
審査費用は「審査工数(人・日)×審査員派遣料金(1日当たり)+その他費用」によって決まりますが、審査工数の算定方法や審査員の派遣料金単価は、審査機関によって異なります。
また、審査工数算定の考慮要素としては、単に組織の従業員数のみでなく、扱う資産の重要性やISMSの複雑さなども考慮要素となります。
ある審査機関の審査費用の例としても、以下のように料金が異なります。
| 会社A | 会社B | 会社C | |
|---|---|---|---|
| 事務所の数 | 1カ所 | 2カ所 | 1カ所 |
| 人数 | 約30名 | 約30名 | 約30名 |
| 審査費用 | 855,000円 | 820,000円 | 920,000円 |
コンサルティング費用(依頼する場合)
コンサルタントに依頼する場合、会社によって異なりますが、数十万~数百万円の費用がかかります。
決して安くはない費用がかかりますが、コンサルタントを利用した方が結果的にコストを抑えられる場合が多いです。コンサルタントに依頼しない場合、全く未経験の方が規格を調査するところから始める必要がありますので、担当者の方のコスト・リソース及び心労を加味すると、コンサルティングを利用した方が無難です。
自社のみで認証取得を目指すと、認証取得に必須でないルールや自社の状況にそぐわない厳しすぎるルールを定めてしまい、業務効率の低下にもつながります。その点コンサルタントであれば、現在の業務実態を考慮しながら、ルール作成を行ってもらえます。
先述の審査費用の件についても、コンサルタントであれば各審査機関の費用感や特徴を把握している事もありますので、そういった面もコンサルタントに依頼するメリットとなります。
弊社コンサルタントの費用は料金案内を参照してください。
その他費用
ISMS取得活動を行う上で、備品の購入などがある場合の費用になります。「ルールの変更により、鍵付きのキャビネットが必要になったので購入する」等が該当します。
まとめ
以上、ISMSを初めて取得する際に知っておきたいISMSについての概要、ISMSとPマークとの比較、自社のみで取り組む場合とコンサルタントに依頼する場合との比較についてみてきましたが、いかがでしたでしょうか。
また、LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。
年間580社※・18年の支援実績のノウハウで、専属コンサルチームが徹底サポートいたします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
また、セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
