ISMS認証とは? Pマークとの違いやメリット・デメリットを解説
社内セキュリティの強化などのためにISMS認証(ISO27001)の取得を検討している企業も多いのではないでしょうか。ISMS認証を取得すると、対外的な企業の信頼性の担保につながるだけでなく、官公庁や自治体の入札で有利になることもあるため、様々な企業が取得しています。
本記事では、ISMS認証の基本知識のほか、Pマークとの違い、ISMS認証を取得するメリット・デメリットなどについて解説します。
ISMS認証とは、情報管理の仕組みに関する認証制度
ISMS(Information Security Management System)認証とは、組織において安全に情報を管理する仕組みが整っているかを第三者機関が評価し、要件を満たしていると取得できる認証のことです。ISMS認証を取得・維持すれば、社内のセキュリティレベルを高く保つことができます。
ISMS認証を獲得するための詳しい基準はISO27001という国際規格で定められているため、国内はもちろん、海外の取引先や顧客にも情報セキュリティの管理レベルが高い水準であることをアピールできます。
ISMS認証に必要な情報セキュリティの3要件
ISMS認証の取得のためには、社内の情報管理の仕組みが「機密性」「完全性」「可用性」の3つの要素を満たしていなければなりません。それぞれ、下記のような意味があります。
機密性
機密性とは、許可された者だけが情報にアクセスできることです。機密性を保つには、「ファイルに閲覧権限を設ける」「ファイルにパスワードを設定する」などの対策方法があります。
完全性
完全性とは、情報が正しい状態で、改ざんや削除ができないよう維持されていることです。完全性を保つためには、データの更新や削除ができる人を制限することが重要です。
また、同じデータを複数の担当者が編集する場合には、常に最新のバージョンを明確にすることも欠かせません。完全性を保つには、組織内で適切なバージョン管理を行う必要があります。
- 併せて読みたい
可用性
可用性とは、必要に応じて許可された者がいつでも情報を閲覧・編集できることをいいます。データはパソコンなどのローカルに保存するだけでなく、万が一に備えてバックアップをとっておくことが重要です。
また共有サーバーやクラウド上にデータを保存する場合には、いつでもデータの閲覧・編集ができるように、システムトラブルの発生を防止しなければなりません。
ISMS認証とPマークの主な違い
ISMS認証と混同されやすいのが、Pマークです。Pマークはプライバシーマークといわれ、JIS(日本産業規格)に準拠した個人情報保護に関する認証制度を指します。ISMS認証とPマークは、情報の保護・管理の仕組みに関する認証制度という点では共通していますが、下記の4点が異なります。
| ISMS認証 | Pマーク | |
|---|---|---|
| 対象 | すべての情報資産(個人情報や技術情報、機密情報など) | 個人情報のみ |
| 適用範囲 | 法人単位だけでなく、事業所・部門・プロジェクト単位でも可能 | 法人全体 |
| 海外でのアピール力 | 国際規格のため海外でのアピール力は強い | 日本独自の規格のため海外でのアピール力は弱い |
| 有効期限 | 3年間(認証取得後は年1回以上の維持審査と3年ごとの再認証審査あり) | 2年間(2年ごとに更新審査あり) |
ISMS認証を取得するメリット
ISMS認証を取得することには、様々なメリットがあります。代表的なメリットは、下記の4点です。
自社のセキュリティ体制を強化できる
ISMS認証を取得することで、自社のセキュリティ体制を強化できるというメリットがあります。
ISMS認証を取得するには、組織の情報セキュリティ方針の策定や従業員のセキュリティ教育を含めた、高いレベルのセキュリティ体制の構築が必要です。また、年1回以上の中間的な審査が実施されるため、継続的にそのセキュリティ体制を維持しなければなりません。結果として、強固なセキュリティ体制の維持につながり、従業員のセキュリティ意識を高く保つ効果も期待できます。
- 併せて読みたい
外部に信頼性をアピールできる
取引先や顧客などに情報セキュリティにおける信頼性をアピールできる点も、ISMS認証を取得するメリットのひとつです。
ISMS認証は第三者機関によって審査され、認証された組織のみが取得できるため、厳しい要件を満たしたセキュリティ体制を備えている組織としてのアピールに利用できます。また国際規格であるため、国内だけでなく海外の取引先や顧客にアピールできる点も魅力です。
ISMS認証は、セキュリティインシデントが発生しないことを保証するものではありませんが、インシデント発生の防止と情報の保護に関する厳格な要件をクリアした証明にはなるため、取引先や顧客との信頼関係構築に役立てることができます。
官公庁や自治体の入札要件クリアに役立つ場合がある
ISMS認証の取得によって、官公庁や自治体の入札要件をクリアして、仕事の幅を広げることが可能になる場合もあります。
官公庁や自治体がシステム開発や運用に関わる業務を発注する場合、入札要件に「ISMS認証の取得」を設定しているケースが少なくありません。ISMS認証の取得には時間がかかるため、あらかじめ取得しておかなければ、入札に参加したい案件があるのに参加できないという事態も発生します。
IPOの準備にもなる
ISMS認証のメリットとして、新規発行株式の上場(IPO)を目指す企業が認証を取得することで、上場の準備につながるという点も挙げられます。
情報漏洩などのインシデントが発生するとIPOの延期や中止の可能性もあるため、IPOを準備している企業は、情報セキュリティにも十分な注意を払わなければなりません。IPOにISMS認証の取得は必須ではありませんが、認証取得によってセキュリティ体制を強化しておけば、上場に向けた万全の組織体制を構築することが可能です。
ISMS認証を取得するデメリット
ISMS認証の取得には多くのメリットがありますが、デメリットもあります。下記2点のデメリットも念頭に置いて、ISMS認証の取得を検討しましょう。
認証取得に費用がかかる
ISMS認証の取得には、場合によっては数百万円もの費用がかかるというデメリットがあります。
認証機関への審査費用に加えて、認証に向けたコンサルティングサービスを利用する場合はその費用も支払わなければなりません。費用の相場は下記の通りです。
- ISMS認証の認証機関に支払う主な費用の相場
-
- 審査費用(必須):50万~150万円
- コンサルティング費用(任意):50万~200万円
上記の費用は認証機関によって異なるだけでなく、組織に所属する従業員数や情報資産の重要性などによっても異なります。上記の費用以外にも、設備やシステムの導入が必要になった場合はさらに費用がかかります。また、ISMS認証を取得した後も、年1回以上の維持審査を受けなければならず、その審査費用も負担しなければなりません。
時間と工数がかかる
少なくない時間と工数がかかるという点も、ISMS認証取得のデメリットです。
認証機関での申請受付から認証登録までには、最短でも3~4か月程度の時間がかかることがほとんどです。さらに、ISMS認証を申請する前の段階でも、社内の情報セキュリティ体制の構築やルール・マニュアルの整備、従業員への教育といった様々な準備が必要になります。そのため、社内準備から認証登録まで半年~1年ほどかかるのが一般的です。コンサルティング会社に依頼せずに自社で準備を行う場合には、必要な時間と工数も増加します。
ISMS認証には取得時だけでなく、年1回以上の維持審査や3年ごとの再認証審査もあり、継続的にISMS認証に関する業務が発生するため、多くの時間と労力が必要です。
ISMS認証取得の流れ
ISMS認証を取得するためには、多くのステップを踏まなければなりません。一般的には、下記の11のステップで手続きを進めていきます。
1.取得範囲の決定
ISMS認証取得の最初のステップは、取得する組織の範囲を決定することです。
ISMS認証では、事業所や部門、プロジェクト単位での取得も可能です。そのため、まずどの組織でISMS認証を取得するか決めましょう。特定の部門でISMS認証を取得して、後でほかの部門でも取得していくという方法もあります。
2.プロジェクトメンバーの選定
認証を取得する組織の範囲を決定したら、プロジェクトメンバーを選定します。ISMS認証取得時のプロジェクトメンバーは、下記のように構成されるのが一般的です。
- ISMS認証取得時のプロジェクトメンバーの構成例
-
- セキュリティ体制の構築業務担当者
- セキュリティ体制の構築に関する承認者(経営層などから選定)
- セキュリティ体制の運用実務担当者(教育責任者、システム管理者、内部監査員など)
- セキュリティ体制の運用を管理する事務局
ISMS認証では、技術情報を含むすべての情報資産が対象となるため、プロジェクトメンバーは情報システム部門から選出することをお勧めします。
3.情報セキュリティ方針の決定
プロジェクトメンバーを選定したら、情報セキュリティの方針を決定します。情報セキュリティ方針には、組織が保有する情報資産すべてを保護するためのルールや体制、対策などを記載することが一般的です。業種や取り扱う情報資産によって内容は異なりますが、Webサイトに情報セキュリティ方針を掲載する企業も多いため、参考にするといいでしょう。
4.認証機関の選定
情報セキュリティ方針を決定したら、認証業務を依頼する認証機関を選定します。
日本のISMS認証機関は、2023年12月時点で27機関です。ISMSの認証取得にかかる費用は認証機関によって異なるため、見積もりを取って認証機関を選んでください。認証機関を選定する際のポイントとして、下記の3点が挙げられます。
- 認証機関選定のポイント
-
- 審査費用が、審査内容に見合った適切な価格か
- 自社のルールの運用状況と相性の良い認証機関か
- 連絡などの対応が迅速か
どの認証機関であっても、国際規格に適合しているかを審査しますが、重視するポイントが認証機関によって異なる場合があるため、事前確認が必要です。例えば、「規程・マニュアルの内容が審査基準に沿っているか」を重視する審査機関もあれば、規程・マニュアルの内容よりも「現場で実際に行われている業務ルールが審査基準に適合しているか」を重視する審査機関もあります。そのため、自社のルールの運用状況と相性の良い認証機関に依頼することが重要です。また、ISMS認証では審査日程の調整など迅速な対応を認証機関に求める場面も多くなるため、見積もりを取る際に対応のスピードもチェックしましょう。
5.ISMS文書の作成
認証機関を選定した後は、ISMS文書と呼ばれる、国際規格に沿った文書の作成も必要です。ISMS文書には、情報セキュリティの基本方針、内部監査の管理規程、情報資産管理のマニュアルなどが含まれ、場合によっては50種類以上の書類を作成することもあります。多くの工数がかかる可能性があるため、作成が必要な書類がどの程度あるのかをあらかじめ確認し、プロジェクトメンバーで分担して作成を進めてください。
6.リスクアセスメント
ISMS文書の作成後には、リスクアセスメントを行います。リスクアセスメントとは、情報資産台帳の作成などによって洗い出した情報資産について、セキュリティ上のリスクの分析や対応計画の策定を行うことです。
具体的には、下記の手順で進めます。
- 情報セキュリティに関するリスクアセスメントの手順
-
- リスクの特定:組織内の情報セキュリティリスクの洗い出し
- リスクの分析:洗い出したリスクの特性や影響力の調査・分析
- リスクの評価:リスクへの対応方法と優先順位を決定
- 併せて読みたい
7.内部監査
リスクアセスメントまで完了したら、ISMSの認証審査を受ける前に、社内で内部監査を実施します。国際規格に適合させるように構築したセキュリティ体制を実際に現場で運用し、運用状況とマニュアルの手順に問題点がないかをチェックしましょう。内部監査で問題が発覚した場合には、直ちに改善しなければなりません。
8.マネジメントレビュー
内部監査の実施後は、マネジメントレビューを行います。経営層に状況を報告し、認定審査前の最後の確認を受け、改善点が見つかった場合は迅速に解消することが重要です。
9.認証審査
マネジメントレビューを行ったら、認証機関による審査を受けます。
審査は二段階に分かれており、第一段階では、経営層や管理職を含めたヒアリングを実施してISMS文書などが要件を満たしているかを審査し、第二段階では、実際に組織が定めたルールどおりの運用が行われているかをチェックします。審査で問題が見つかった場合でも、改善計画書を提出し、実際の運用を改善することで認証登録が可能です。
10.審査結果の公表
認証機関による審査が終了し、情報マネジメント認定センター(ISMS-AC)に報告されると、審査結果がISMS-ACのWebサイトに公表されて認証文書が発行されます。認証文書が発行されると、ISMS認証を取得した組織として顧客や取引先にアピールすることが可能です。
11. 継続的なPDCAサイクルの実施
ISMS認証を取得した後にも、継続的にPDCAサイクルを回して組織の情報セキュリティを強化しなければなりません。ISMS認証を取得したら、毎年1回以上の維持審査を受ける必要があるためです。
また、ISMS認証の有効期限は3年間で、更新するためには再認証審査があります。スムーズに維持審査や再認証審査に臨めるよう、ISMS認証の取得後も、常に組織の情報セキュリティを強化するように努めてください。
情報セキュリティ体制の構築のために、ISMS認証を取得しよう
ISMS認証を取得することで、万全なセキュリティ体制を構築できるだけでなく、社外の信用も獲得できます。費用や工数がかかるといったデメリットはありますが、組織にとってISMS認証取得のメリットが大きいと判断できる場合は、積極的に取得を検討しましょう。
ISMS認証の取得には、情報資産の万全な管理が不可欠です。特に、組織が所有する情報資産が漏洩しないように監視できるツールを活用すると、効率的なセキュリティ体制を構築しやすくなります。
そこでお勧めなのが、情報漏洩対策・IT資産管理ツールの「MaLion」シリーズです。「MaLion」シリーズでは、端末へのセキュリティポリシー設定、違反者の警告通知、印刷操作・外部デバイス接続・送受信メールの監視、個人情報ファイル制御といったセキュリティ対策機能を備えています。
ISMS認証の取得をお考えの場合は、ぜひ「MaLion」シリーズの導入も併せてご検討ください。
