ISMSとは?ISO/IEC 27001との違いや取得方法について解説
ISMSとは、Information Security Management Systemの略で、日本語では情報セキュリティマネジメントシステムと言います。 ISMSの概念や仕組みは複雑で、ISMSクラウドセキュリティ認証のためのISO/IEC 27017や個人情報の保護を目的としたPマークなど類似した規格もあることから、なかなか正確に理解できている人は少ないのではないでしょうか。 本記事では、まず「情報セキュリティ」について解説し、その後ISMS、ISMSとISO/IEC 27001やPマークとの違いや取得方法などについて徹底解説いたします。
目次
そもそも「情報セキュリティ」とは?
情報セキュリティとは、インターネットに接続されたパソコン端末やそこで取り扱う情報を安全に使えるよう、必要な対策を施すことを言います。 情報セキュリティを保つために欠かせない3要素が「機密性」「完全性」「可用性」です。
| 機密性 | アクセスを認可された者だけが、情報にアクセスできるようにすること |
|---|---|
| 完全性 | 情報および処理方法が正確であること及び完全であること |
| 可用性 | 認可された利用者が、必要なときに情報及び関連する資産にアクセスできることを確実にすること |
厳しいアクセス制限や認証プロセスの複雑化をし、機密性を高くしても、例えば従業員がデータにアクセスするまでに時間がかかる状態、つまり可用性の低い状態であれば、それは適切な情報セキュリティが確保できていないということになります。
ISMSとは?
ISMSは、Information Security Management Systemの略で、日本語では「情報セキュリティマネジメントシステム」と言います。 一般財団法人 日本情報経済社会推進協会によって制定されました。
もともと、「情報システム安全対策実施事業所認定制度」と呼ばれる情報セキュリティ認定制度がありましたが、時代とともに、技術的側面だけでなく人的セキュリティを含む組織マネジメントを確立する重要性が増し、「情報システム安全対策実施事業所認定制度」にかわってISMS適合性評価制度が創設されました。
ISMSでは、情報の「機密性」「完全性」「可用性」をPDCA(マネジメントシステム)のフレームワークで維持・改善し、適切に管理することが求められます。 審査機関が各事業所の情報セキュリティ管理体制を審査し、ISMS認証基準を満たしていればISMS認証が付与されます。
ISMSとISO/IEC 27001・JIS Q 27001の違い
ISMSが情報セキュリティを適切に管理するシステム・仕組みであるのに対し、ISO/IEC 27001はどのようにISMSを構築し運用するかを定めた国際規格のことを指します。
ちなみに、ISO/IEC 27001というスラッシュ表記は、ISOとIEC合同で制定した規格に使用されるもので、ISOは「International Organization for Standardization:国際標準化機構」の略、IEC(International Electrotechnical Commission:国際電気標準会議)の略になります。 このISO/IEC 27001をベースに国内の規格として策定したものが「JIS Q 27001」であり、ISO/IEC 27001とJIS Q 27001と内容はほとんど同じです。
「プライバシーマーク(Pマーク)」との違い
情報セキュリティでは、「ISMSとPマーク、取得するにはどちらがいいか」という疑問がよくあがります。 ISMSが情報全体のセキュリティに重点を置いているのに対し、Pマークは個人情報の保護に重きを置いています。 また、Pマークは国際標準規格ではないため、国内のみ有効となります。 ISMSとPマークには優劣はありません。
例えば個人情報を多く保有する事業者はPマークを取得するといいでしょう。 一方、個人情報は従業員情報が中心で限定的であり、社外との技術情報や機密情報のやり取りが多い場合はISMSを取得するといいでしょう。
ISMS適合性評価制度について
ISMS適合性評価制度とは、構築されたISMSがISO/IEC27001(JIS Q27001)に適合していることを第三者が評価し、認証する制度のことです。
ISMS適合性評価制度はISO/IEC27001(JIS Q27001)に適合するか審査・登録する「認証機関」、審査員に資格を与える「要員認証機関」、各機関がそれぞれの業務を行う能力があるかをチェックする「認定機関」によって運用されています。 これらの機関により、ISMS制度の公正性・透明性・客観性が確保されています。
ISMSクラウドセキュリティ認証とは?
ISMSクラウドセキュリティ認証とは、「ISO/IEC 27017」に従ってクラウドサービスのセキュリティ規格を満たしている組織を認証する制度。 ISMS(ISO/IEC 27001)認証を取得していることを前提条件としているため、「アドオン認証」と呼ばれます。
ISMSクラウドセキュリティ認証は全事業者を対象とせず、主に以下の3パターンに該当する事業者を対象としています。
- クラウドを提供している事業者(例:Amazon、Googleなど)
- クラウドを利用してサービスを提供している事業者(例:SaaS(サース)・IaaS、PaaSなど)
- クラウドサービスを利用している事業者(SaaSなどを利用している企業)
ISMSクラウドセキュリティ認証における要求事項
ISMSクラウドセキュリティ認証は「ISO/IEC 27017」を基準にしていますが、JIPDEC(一般財団法人日本情報経済社会推進協会)が発行している「JIP-ISMS517」の要求事項に基づいてシステムを構築する必要があります。
JIS Q 27001に類似していますが、クラウドセキュリティ認証の適用範囲の決定など、「ISO/IEC 27017」に記載されている管理策を用いたリスクアセスメント、内部監査の実施などが書かれています。 詳細の要求事項を知りたい方は、こちらをご参照ください。
<参照リンク:JIP-ISMS517-1.0|JIPDEC(一般財団法人日本情報経済社会推進協会)>
ISO/IEC 27001認証を取得するメリット
ISO/IEC 27001の認証取得には、多くの時間とコストがかかります。 取得すると、具体的にどのようなメリットがあるのでしょうか。 ここではISMSを取得するメリットについて解説します。
情報セキュリティリスクの低減
ISO/IEC 27001の認証取得で得られる大きなメリットの一つとして、情報セキュリティリスクの低減が挙げられます。 社内の情報セキュリティを確保するルールや手順が明確になることから、セキュリティリスクを抑えることができます。
企業の社会的責任(CSR)の達成
昨今においては、ITは社会インフラとなり、切っても切り離せない存在となりました。 セキュリティ対策は、企業にとってもはや社会的責任(CSR)の一つとして位置づけられています。 国際規格のISO/IEC 27001認証を取得することで、セキュリティを社会的責任(CSR)として認識しているという姿勢を見せることができ、企業イメージの向上に役立ちます。
信頼性向上
国際規格であるISO/IEC 27001の認証を取得することで、取引先企業や顧客、エンドユーザーに信頼感を与えることができます。 特に機密性の高い情報を扱う企業、多くの顧客情報を取り扱う企業ではより享受できるメリットは大きいでしょう。
委託先の調査が簡略化されるというメリットもあります。
売上機会の拡大
ISO/IEC 27001の認証を取得したことによって、取引先が増えるわけではありませんが、新規取引先の判断材料の一つにはなり得ます。 近年は、セキュリティリスクを減らすため、新規取引先への契約締結前の情報セキュリティチェックや既存取引先への定期的(年1回程度)な情報セキュリティチェックを行う傾向が高まっています。 もちろん、中小企業もその例外ではありません。
ISO/IEC 27001認証(ISMS認証)の取得・運用の流れ
それでは具体的にISMS認証の取得・運用の流れを見ていきましょう。 ここでは一般的な流れを解説します。
PDCAサイクルの実践
前述したように、ISMSでは「機密性」「完全性」「可用性」をPDCA(マネジメントシステム)のフレームワークで維持・改善し、適切に管理することが求められます。 審査では、このPDCAサイクルが適切に回っているかをチェックします。
Plan
まず、認証取得の目的や適用範囲などを明確にし、情報セキュリティの基本方針を文書化します。 次に自社で取り扱う資産(情報、ソフトウェア、物理的資産、サービス)を特定し、リスクの分析・評価を通じて、具体的リスクを特定します。
Do
特定したリスクに基づいて、具体的な規則や手順、対策を明確にし、実行していきます。 また、情報セキュリティの基本方針や規則、手順について、情報セキュリティ教育を通じて、従業員に周知します。
Check
内部監査担当者が、情報セキュリティ規則の遵守状況や手順の実施状況、また、ISO/IEC 27001に適合した運用がされているかを確認し、内部監査で発見した改善事項等は、監査報告書として作成します。 その後、マネジメントレビューを通じて、経営層(トップマネジメント)にこれまでの活動とともに、内部監査の結果を報告し、適宜承認を得ます。
Act
マネジメントレビューの結果や内部監査の改善事項に基づいて、改善計画を立案し、マネジメントシステムや各種規則、運用などの改善を行います。 一連のPDCAサイクルを回すことで、審査機関による審査を受審できるようになります。
審査
ISMSの認証を取得するには第三者による審査に通過しなければなりません。 審査は、「第1段階審査」と「第2段階審査」で計2回実施されます。
第1段階審査では、社内全体のマネジメントシステムが規格要求事項を満たしているか、その内容は組織において適切か、正しくPDCAサイクルが回っているか、主にこの3点が確認されます。 第2段階審査では各部門における情報セキュリティの運用状況が確認されます。 第1段階審査、第2段階審査それぞれの最後に審査機関より指摘事項(改善事項)の報告があります。 不適合事項については改善が必須ですが、不適合以外の指摘事項については、組織内で要否を検討し、適宜改善を行います。 認証に至るまでの期間はおよそ2~3カ月です。
継続審査・更新審査
認証取得後も、1年もしくは半年に1回のペースで実施される継続審査(維持審査)、3年に1回実施される更新審査を受ける必要があります。 継続審査、更新審査の実施に関しては、認証機関から審査の数カ月前にに連絡が入ります。
継続審査(維持審査)では、主にマネジメントシステムが、引き続きISO/IEC 27001に準拠しているとともに情報セキュリティ管理が有効に機能し、適切に維持・改善されているかを部分的に確認します。 審査において、マネジメントシステムの一部のプロセスが欠落しているなど、重大な不適合が発見された場合、認証取り消しとなることがあります。 ISMSの有効期限は3年です。
更新審査では、適用範囲全てを対象に審査が実施されます。 更新審査でかかる時間は、継続審査の倍近く、初回審査の3分の2程度といわれています。
ISO/IEC 27001の認証取得支援事業者の選定ポイント
ISO/IEC 27001の認証取得には膨大な労力を必要とする上、専門的な知見がいるため、社内のリソースのみで取得するには専門部署の設置が必要です。 リソースを確保できない場合はISO/IEC 27001の認証取得支援事業者に認証取得や運用の支援をしてもらうのが一般的です。
業務範囲
ISO/IEC 27001の認証取得支援事業者の業務には、大きく「取得コンサルティング」「運用支援」の2つに分かれます。 さらに、運用支援はアウトプットのレビューとアドバイスを行う「コンサル系」の運用支援と、作業の代行をする「作業代行系」の運用支援に分かれます。
費用
費用は、まず訪問回数、そして業務内容によって大きく変わります。パターンとして多いのは以下の3タイプです。
| タイプ | サポート内容 | 価格 |
|---|---|---|
| テンプレート提供タイプ |
認証に必要な文書テンプレートを提供 コンサルタントが適宜訪問(5~6回程度) |
80万円程度 |
| 定期訪問あり+テンプレートも提供するタイプ |
認証に必要な文書テンプレートを提供 コンサルタントが定期訪問(12~20回程度) 文書化や教育、内部監査などの実務面を手厚くサポート |
240~250万円程度 |
| 定期訪問ありのフルパッケージタイプ | 企業内部の人材を可能な限り使わず、コンサルタントが定期訪問し、取得するまでの手続きを進める |
400~500万円程度 ※会社の規模によって変動あり |
コストを抑えようと、取得支援事業者にテンプレートだけを提供してもらい、自社で認証取得を目指しても、自社に知識を有した専任担当者がいない限り、うまくいかず頓挫してしまうケースが多いです。 認証取得をする場合は、定期訪問があり最後までサポートしてくれるプランを選ぶのがベターです。
柔軟な対応
ITが進歩を遂げているように、情報セキュリティに関連する規格は、ISO/IEC 27001だけではありません。 個人情報保護のPマーク、カード情報保護のPCI DSS、ISMSクラウドセキュリティ認証のISO/IEC 27017など様々です。 自社にとってどのような認証や認定が必要なのかを考え、それらのコンサルティングもできるのかどうか、また、取得実績や運用実績や口コミなどをチェックし、自社にとって最適な支援事業者を選定しましょう。 ISMSだけでなく、Pマーク、PCI DSS、アドオン認証など、幅広い分野でフレキシブルにコンサルティングができるかどうか、取得実績・運用実績や過去の口コミなどをチェックし検討しましょう。
まとめ
新型コロナウイルスが蔓延し、テレワークをはじめオンライン化が急速に進みました。 便利で効率的になる反面、情報漏洩などのリスクは増大します。 ISO/IEC 27001認証(ISMS認証)を取得すると、情報セキュリティのリスク低減だけでなく、社会的な信用力の向上にもつなげることができます。
情報セキュリティは、これからCSRの時代。 やっていなかったでは済まされません。 ISMSの仕組みを構築・導入し、自社のセキュリティレベルを一段高めてみてはいかがでしょうか。
