企業活動における情報資産の重要性が高まる中、機密情報の保護の必要性も高まっています。取引先の選定にセキュリティへの取り組み状況を見る企業が増えたことで、対外的にアピールできるISMS認証やプライバシーマークの取得を検討しているという企業も多いのではないでしょうか。
本記事では、組織的な情報セキュリティ管理について知っておくべき、ISMSの定義や考え方、ISMS認証の具体的な内容について詳しく解説します。
目次- 1. ISMSとは
- 2. ISMSが制定された背景と組織における必要性
- 3. ISMSにおける代表的な規格
- 4. ISMSとPマークの違い
- 5. ISMSの取得方法
- 6. ISMS取得後の運用
- 6. ISMS取得にかかる期間と費用
- 7. ISMS以外にセキュリティへの取り組みを対外的にアピールできる方法
- 8. まとめ
ISMSとは
ISMSとは” Information Security Management System”の略で、日本語では「情報セキュリティマネジメントシステム」です。また、組織のISMSの整備状況を第三者が認証する「ISMS認証」の意で使われることもあります。
ISMSの概要
ISMSはその名称が示す通り、「情報セキュリティ」を管理するための仕組みを表します。
IS(情報セキュリティ)とは
では、ISMSを構成する「IS(情報セキュリティ)」とは何でしょうか。ISMSでは、情報セキュリティについて「情報の機密性、完全性、及び可用性の維持」と定義しています。
「機密性」とは、認可されていない者に情報を開示しない、使用させないことです。具体的には「アクセス権を制御する」「ファイルやフォルダにパスワードをかける」などが該当します。
「完全性」とは、情報が正確である、完全であるという意味です。具体的には情報の改ざんが行われていない、また情報が適切に更新された状態で保存(記録)されていることを言います。
「可用性」とは、認可されている者が適時にアクセス・使用できる特性です。可用性は普段意識することはありませんが、サーバーやネットワークのトラブルなどが発生してアクセス・使用ができない場合は可用性が損なわれた状態となります。可用性を高める対策としては、システムの冗長化により障害が発生してもシステムが停止しない構成をとるなどの方法があります。
MS(マネジメントシステム)とは
次にISMSを構成する「MS(マネジメントシステム)」を見ていきます。マネジメントシステムとは、「方針及び目標を定め、その目標を達成するために組織を適切に指揮・管理するための仕組み」です。
ISMSにおいては、情報セキュリティの個別の問題への技術的対策に加え、自組織のリスクアセスメントを実施して必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することが求められます。
もう少し具体的な流れとしては、リスクアセスメントにより、情報セキュリティの「脅威」「脆弱性」「リスク」(※1)を洗い出し、それぞれについて「低減」「保有」「回避」「共有」などの現実的な対策を考えます(※2)。
そして、その実現に向けたプランを策定し、必要な予算、人員を確保してプランを実行します。また、組織の状況や社会情勢の変化に対応するための、定期的な従業員教育やルールの見直しなども組織のルールとして定めることが必要です。
ISMSには技術的対策だけでなく従業員の教育、訓練、組織体制の整備も含まれます。
| 用語 | 定義 |
| 脅威 | システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因。 |
| 脆弱性 | 一つ以上の脅威によって付け込まれる可能性のある、資産又は管理策の弱点。 |
| リスク | 目的に対する不確かさの影響。 |
※1:用語の定義(JIS Q27000:2019より)
| 用語 | 定義 |
| リスクの低減 | リスク源を除去すること、リスクの起こりやすさを変えること、リスクのもたらす結果(影響度)を変えること。 |
| リスクの保有 | リスクを意識的、かつ、客観的に受容すること。 |
| リスクの回避 | リスク対応を考えてもコストの割にベネフィットが得られない場合に、リスクを回避するために、業務を廃止したり、資産を破棄するといった方法をとること。 |
| リスクの共有 | 契約等によりリスクを他者(他社)と共有すること(方法として、資産や情報セキュリティ対策を外部に委託する方法と、リスクファイナンスとして保険などを利用する方法がある)。 |
※2:用語の定義(JIS Q27001:2014より)
ISMSとISO/IECの違い
第三者が組織を認証するものとしてはISO(国際標準化機構)認証が有名です。品質マネジメントシステムISO9001や環境マネジメントシステムISO14001などは耳にしたことのある方も多いのではないでしょうか。
ISMSに関する規格には、ISO(国際標準化機構)とIEC(国際電気標準会議)が共同で策定したISO/IEC 27001があります。
ISO/IEC 27001は国際規格として全文英語表記となっていますので、それをJIS(日本産業規格)が日本語訳化したものがJIS Q 27001です。これらはあくまで「規格」であり、ISMSは「仕組み」です。
ISMSにかかわる認証はISO/IEC 27001やJIS Q 27001の規格に沿ったISMSの構築・実施・維持・改善が行われているかを第三者がチェックします。規格名としては「ISO/IEC 27001認証」「JIS Q 27001」などがあり紛らわしいですが、内容はすべて同じです。
ISMSが制定された背景と組織における必要性
かつては情報処理サービス業には情報セキュリティの評価制度として「情報システム安全対策実施事業所認定制度」がありました。この制度においては、情報処理サービス業に対象が限定されており、認定の範囲も施設・設備などの物理的な対策が主でした。
しかし、1990年代後半から急速に業界・業種を問わずIT化が進み、情報システムの適切な管理が企業に求められるようになっていきました。その中で、現在まで続く「ISMS適合性評価制度」が民間主導の第三者認証として作られます。ISMS適合性評価制度はあらゆる業種が対象となる点や、国際規格(ISO/IEC 27001)を基にしている点が特徴です。
その後、個人情報保護法やJ-SOX法など組織の情報管理や内部統制を求める法律が次々制定されたこともあり、ISMSの整備へ取り組む企業が増えていきました。
現在、ITシステムやネットワークは社会インフラとして不可欠なものとなった一方、標的型攻撃やランサムウェアなどによる被害・影響も多発しています。機密情報の漏えいや業務システムの停止は、自社のみならず、多くの関係者や顧客にも大きな被害や影響をもたらすこともあります。そのため、さまざまな脅威に対する適切なリスクアセスメントの実施や情報セキュリティ対策は、事業継続の目的のみならず企業の社会的責任としても強く求められています。
ISMSにおける代表的な規格
現在、ISMS適合性評価制度では、「ISMS認証」と「ISMSクラウドセキュリティ認証」の2種類の規格の認証が行われています。
それぞれの規格の違い
ISMSクラウドセキュリティ認証は、クラウドサービス固有の管理策が適切に導入、実施されていることを認証します。ISMSクラウドセキュリティ認証は通常のISMS認証の取得が前提となっている「アドオン認証」です。この認証において基になっているのはISO/IEC 27017で、これを日本語化したものがJIS Q 27017です。
それぞれの要求事項
ISMS認証においては非常に多くの要求事項があるため、すべてを挙げることはできませんが、主な実施内容については次のようなものがあります。
- ・情報セキュリティ目的・方針の作成
- ・ISMSの範囲の決定
- ・リスクアセスメントの実施
- ・リスク対応計画の作成
- ・ISMS構築・運用のための担当者・チームの決定と権限付与
- ・リスク対応計画の実施
- ・実施された計画についての評価
- ・内部監査
- ・マネジメントレビュー
- ・改善の実施とその後の継続的改善
- ・上記について記載された規程類・報告書など各種文書の作成
ISMS認証では、上記の実施による組織のマネジメントが適切に行われているかを評価して認証します。そのため、PDCAのようなマネジメントサイクルを最低でも1回以上回してから認証機関に審査を申請しなければなりません。
ISMSクラウドセキュリティ認証では、対象となるクラウドサービスの管理策が適切に導入、実施されているかを評価・認証します。ISMSクラウドセキュリティ認証では、対象のクラウドサービスに対し、以下の要求事項があります。
- ・ISMSを適用する範囲(クラウドサービスを含むISMSの範囲)の決定
- ・適用範囲におけるリスクアセスメントの実施
- ・上記のリスクへの対応
- ・内部監査
- ・上記について記載された規程類・報告書など各種文書の作成
認証取得のメリット
ISMSの各認証を取得することにより、次のようなメリットが期待できます。
社員の情報セキュリティへの意識向上- 組織の情報セキュリティ管理体制の強化
- 経営者の情報セキュリティへの関与
- 組織の情報セキュリティレベルの向上
- 顧客・関係者からの信頼確保
- 企業イメージの向上
ISMSとPマークの違い
組織的な情報保護に関する認証制度としては、ISMS 認証だけではなくプライバシーマーク制度もよく知られています。
プライバシーマーク(Pマーク)制度は、個人情報の管理に対してしっかりと保護体制が構築・運用されているかを第三者機関が評価する制度です。ISMSは個人情報を含む情報資産全体を対象にしているのに対し、Pマークは個人情報に特化していることが主な違いです。
細かい点では、ISMS認証が組織内の一部に範囲を限定できるのに対し、Pマークでは対象が法人単位での適用となることや、国内規格であること、有効期間の違い(Pマークは2年、ISMS認証は3年)などいくつか違いがあります。
特に優劣があるわけではなく、どちらも組織の情報資産を管理するための組織の仕組みについて評価するため、準備のために実施する内容などは大きく変わりません。ただし、組織内の適用範囲や対象となる情報資産が違うため、その作業ボリュームなどはケースごとに異なります。
基本的には、管理すべき主な情報に個人情報が多い場合はプライバシーマーク、個人情報はそれほど多くなく、社外との機密情報のやり取りが多い場合はISMSの取得を考えるとよいでしょう。
ISMSの取得方法
ISMSの認証を取得するには、上記の要求事項を満たすための取り組みが必要です。ISMSの体制整備や実際の認証取得では、外部の専門家の協力を得るのが一般的です。
取得までの大まかな流れ
ISMSの認証取得までは、大まかに次の流れで進めていきます。
ステップ①: ISMS認証取得に向けた計画の策定
ISMS認証取得に向けて計画を策定します。ISMS取得支援事業者や外部のコンサルタントにはこの段階から入ってもらうのが一般的です。
ステップ②:計画の実施(ISMSの構築・整備)
ステップ①で立てた計画を実施し、組織のISMSを構築・整備します。組織範囲や適用規模によっては年単位の時間が必要になることもあります。
ステップ③:内部監査・改善
ステップ②ができたところで、事前に定めた担当者による内部監査を実施します。内部監査が終わったら、経営者に報告を行って、改善のための指導を行います。
ステップ④:認証機関への申請
ステップ③まで終わり、ISMS認証の準備ができたら認証機関へ申請します。認証機関は、認定機関であるISMS認定センターによって認定された企業や機関です。
ステップ⑤:認証機関による審査(1次・2次)
申請が受理されると、認証機関による審査が2回に分けて行われます。認証機関によって進め方は異なります。
ステップ⑥:認証登録
審査にパスすると、無事に認証され、ISMS-ACのホームページでも公開されます。
中間審査・再認証審査
審査を通っても、年に1回以上の中間審査(サーベイランス審査)、3年ごとに更新のための再認証審査が実施されます。継続してISMSが適切に機能するよう、認証後も監査や改善、教育などを実施していくことが必要です。
ISMS取得支援事業者の選定ポイント
ISMS認証における要求事項は抽象的な表現になっているものが多く、内容の理解がずれていた場合には審査にパスすることは当然できません。社内人材だけで認証に向けた準備をせず、できるだけ専門家に協力してもらう方が審査に通りやすくなります。
ISMSの取得支援を専門とする業者やコンサルタントに入ってもらうことで、計画作りやリスクアセスメントなどを計画的に、効率良く進めることができます。
ただし、業者によって対応範囲や費用はさまざまです。業者を選ぶ際は、次の点に注意して選びましょう。
対応範囲・訪問の有無
まず最も重要なのは、「何をサポートしてくれるか」という対応の範囲です。審査の際に認証機関に提出が必要となる規程類や文書の説明とテンプレートの提供を行うだけの業者もありますし、プロジェクトの進め方やアウトプットについて助言をくれる業者、すべての段階を一緒に手伝ってくれる業者などさまざまです。
また、同じような対応範囲でも、契約期間中の訪問回数が業者によって異なります。精通した従業員がいない場合は、できるだけ対応範囲が広く、訪問回数も多い業者が望ましいです。ただし、その場合はそれだけコストも上がりますので注意が必要です。
実績のある業者を選ぶ
ISMSは規格に沿った審査が行われますが、その審査内容は認証機関によってやや違いがあります。そのため、ISMSの認証取得に多く関わった実績がある業者を選ぶことで、過去の実績から的確な助言が期待できます。例えば、審査に通りやすい認証機関を提案してもらえることもあります。
ISMS取得後の運用
ISMSは継続的改善が要求されるため、「取得して終わり」ではなく運用をしながらより強固なセキュリティ体制を作っていくことが求められます。認証を取得することに躍起になり、認証取得後にモチベーションが下がってしまうことがないよう注意しましょう。
もし、ISMS認証取得後に運用が上手くいかない場合は、ISMSの運用支援を行っているコンサルタントなどに相談してみる方法もあります。組織の負担になっている箇所を発見・改善し、中間審査や再認証審査にも対応できるように整備を進めやすくなるでしょう。
ISMS取得にかかる期間と費用
ISMS認証の取得において、期間や費用が気になるという経営者や担当者も多いのではないでしょうか。一概に述べることはできませんが、目安として以下を意識しておくとよいでしょう。
ISMS取得にかかる期間
ISMS取得までの期間は、計画段階で組織のISMSがどの程度できあがっているか、また対象とする情報資産のボリュームなどによって大きく変わってきます。場合によっては、申請までに1年以上の期間を要することもあるでしょう。基本的には、どんなに早いケースでも準備からISMS認証の取得までは半年は必要です。
申請を行った後も、審査などで認証までは最短でも3~4カ月が必要になります。準備段階からはかなりの期間が必要になるという認識で進めましょう。
費用について
ISMSの費用は、会社規模、対象とする情報資産などさまざまな要素で変動します。費用としては以下を考えておくとよいでしょう。
審査費用(必須)
審査費用は、審査機関によって費用が異なり、また投入される審査員数や日数、事業所数などによっても違ってきます。比較的規模の小さな企業なら数十万円~百万円、規模の大きな企業なら数百万円は見ておいた方がよいでしょう。
支援業者費用(ほぼ必須)
外部の専門家の支援を受ける場合、数十万円~数百万円が必要になります。どの範囲の業務を依頼するか、どの程度訪問が必要かといった要件で費用が変わってきますので、業者とよく相談しましょう。あまり切り詰めすぎると、審査にパスできなくなる可能性があるため、しっかりと予算を確保することが大切です。
その他(状況による)
ISMSを構築する過程で、鍵付きのキャビネットの購入や入室管理システムの導入、セキュリティ強化のためのシステムの導入などが必要になることもあります。よほどの不備がなければ、備品やシステムの購入が必要になることは稀です。
また、データの保管場所としてDirectCloudを選択することで、外部・内部含めた機密情報を含むドキュメントのセキュリティ対策を講じることができ、管理者によるログの追跡による内部不正の監視、また第三者への情報漏洩を防ぐIRM暗号化(DirectCloud-SHIELD)に対応しています。
これによりISMSの求める運用条件を満たすことが可能です。
■関連記事
ISMS以外にセキュリティへの取り組みを対外的にアピールできる方法
ISMS認証の取得以外にも、企業がセキュリティに力を入れていることをアピールする方法はあります。
たとえば、企業の情報セキュリティポリシーを作成・公開することにより、自社のセキュリティへの考え方や取り組みを外部の関係者に知ってもらう方法があります。また、情報セキュリティ対策に取り組むことを宣言する「SECURITY ACTION」を実施し、ロゴマークを名刺やWebサイトに表示する方法もあります。
取引先とのコミュニケーションや情報共有の際に、セキュリティ機能の充実したアプリケーションやWebサービスを利用することでも、相手側からの信頼を得る効果が期待できます。
法人向けクラウドストレージDirectCloudを提供している弊社ではISMS認証やISMSクラウドセキュリティ認証、プライバシーマークを取得しており、貴社のセキュリティへの取り組みを全力サポートいたします。
まとめ
ISMSは組織の情報セキュリティマネジメントシステムを意味し、ISMS認証は組織的なセキュリティ体制の仕組みを第三者が評価した認証規格です。ISMS認証の取得により、組織のセキュリティ体制のレベルアップや、企業のイメージアップや取引先からの信頼獲得などのメリットが期待できます。
弊社の提供する法人向けクラウドストレージDirectCloudはID・パスワードに頼らないセキュアな認証方法を採用し、データをAWS東京リージョンのサーバー(EC2) 3つに分散保存しているので、99.95%のサーバー稼働率で高い可用性を提供しています。
また、ユーザーごとに7種類のアクセスレベルを設定することができるため、企業のセキュリティポリシーに基づいた運用が可能です。
企業のISMSの構築や強化にDirectCloudをぜひお役立てください。
