ISMS取得に必要なセキュリティ対策について解説 | オプティマ・ソリューションズ株式会社 オプティマ・ソリューションズ株式会社
助太刀記事の背景画像 雲の装飾
の画像

助太刀記事

ISMS取得に必要なセキュリティ対策について解説

2023.12.6

オプティマ・ソリューションズ編集部のアバター
オプティマ・ソリューションズ編集部

Pマーク・ISMS認証取得の分野から新選組のように企業・経営者の安心を守りながらセキュリティや個人情報が漏洩・侵害されないような「日本社会の治安維持」を担っております。皆様が安心して暮らすことができ、本来のお仕事に集中できる、そんな社会を目指しています。これまでに大企業から中小企業まで、2,000件以上の認証を通してきました。

会社の情報を管理するシステム「ISMS」についてご存知ですか?

現在、会社が情報セキュリティ対策を行うことは、必須になってきています

情報を適切に管理する仕組みを整えておくことで、情報漏洩などのリスクから、会社を守ることができます。

ISMSは、情報セキュリティに関する認証として有名なものです。

国際規格に基づいているので、取引先からの信用を得やすくなります

今回の記事では、

  • ISMSって何?
  • Pマークとの違いは?
  • 取得するメリット・デメリットは?
  • どんな流れで取得できる?
  • 取得にかかる費用・期間は?

という疑問を持つ方に向けて、ISMSとは何か、どんなメリットがあるのか、などを解説していきます。

ISMS(情報セキュリティマネジメントシステム)とは

ISMSとは、「Information Security Management System」の略称で、情報セキュリティマネジメントシステムを意味します。

会社が持つ重要な情報が外部に流出するリスクを把握し、適切に管理・運用するシステムを指します。

会社の情報を守るためには、従業員1人ひとりが心がけるだけでは不十分です。

組織全体で情報を適切に管理する体制を作る必要があり、そのための仕組みをISMSと呼びます

ISMSは、「IS(情報セキュリティ)」と「MS(マネジメントシステム)」という2つに分けることができます。

次に、この2つの用語をみていきましょう。

情報セキュリティとは

情報セキュリティは、

  • 機密性
  • 完全性
  • 可用性

この3要素が必要とされています。詳しく説明します。

機密性

機密性とは、情報に対してアクセス権を設定し、許可された人のみが情報にアクセスできる状態になっていることを指します。

  • 情報を暗号化する
  • ファイルにパスワードをかける

などの対策を取ることで、機密性を高めることができます。

完全性

完全性とは、情報の改ざんや削除を防ぎ、情報が正確かつ完全な状態で管理されている状態を指します。

  • ログを記録しておく
  • 情報を定期的にバックアップする

などの対策を行うことで、完全性を目指せます。

可用性

可用性とは、アクセスを許可された人が、必要な時にいつでもアクセス可能な状態を指します。

  • システムの停止を防ぐ
  • バックアップを取っておく

などの対策を行うことで、可用性を確保できます。

情報セキュリティでは、3つの要素全てを意識して対策を行うことが大切です。

機密性や完全性は、不正利用や情報の改ざん・削除を防ぐためには重要です。

しかし、その2つを求めるあまり、セキュリティが固くなりすぎて、使いたい時に使えないという状態では問題があります。

そのため、これら3つの要素のバランスを意識することが大切といえます。

マネジメントシステムとは

マネジメントシステムとは、組織が目的を達成するためのプロセスを確立する仕組みを指します。

ここでの仕組みとは、業務のマニュアルや社内のルールなどを意味します。

マネジメントシステムを身近なもので例えると、営業マンの売り上げ目標やノルマなどが挙げられます。

営業マン1人ひとりが目標を達成することで、会社の売り上げを上げられる、という仕組みです。

このように、何かの目標を達成するために行う仕組みをマネジメントシステムと呼びます。

これを情報セキュリティに当てはめて考えると、

  1. 会社として情報セキュリティにどうやって取り組んでいくのか、という目標を決める
  2. それを達成するために、会社の持つ資源をどのように使ったら、どのような効果が得られるかを検討する

という流れになります。

例えば、社内の情報漏洩を防ぐためのルールを考えるとします。

  1. まず、ツールを利用し、仕組みを作ることで情報漏えいを防ぐ、という方針を決める
  2. その後に、不正な操作を監視できるように、操作のログを残すソフトを導入し、情報漏えいが起きた時には追跡を行う、と決めて、その効果を検討する

という流れで、マネジメントシステムの構築が可能となります。

複数の仕組みを構築すると、ルール同士で競合してしまったり、実際の状況と乖離してしまうこともあるでしょう。

そのため、組織全体で使えるルールを構築し、運用することが大切になります。

ISMSとPマークの違い

情報に関する認証には、ISMSのほかにPマーク(プライバシーマーク)があります。

ISMSとPマークの違いが分からない方も多いのではないでしょうか。

ここでは、ISMSとPマークの違いについて詳しく解説していきます。

ISMSとPマークの2つを比較すると、

  • 対象
  • 要求
  • 規格
  • 適用範囲
  • 更新

など、様々な違いがあります。

1つずつみていきましょう。

対象

ISMSの対象は、すべての情報資産です。

一方、Pマークの対象は、個人情報に限られます。

また、ISMSは適用する範囲を決めることができます。

例えば、事業単位・部門単位での取得などです。

Pマークの場合、会社全体が適用範囲となります。

要求

ISMSの要求は、情報の機密性・完全性・可用性の維持です。

これらの要求には、決まった手順がなく、会社にある程度委ねられています。

そのため、会社に合わせたルールを作成することが可能です。

Pマークの要求は、個人情報の適切な取り扱いです。

これは会社に対して、保有している個人情報を確実に保護するように、というものです。

そのため、要求内容に対する手順や、作成する文書は厳しく決められおり、枠から外れた場合は取得できません。

規格

ISMSは、「国際標準規格ISO/IEC 27001」を日本語に訳した「JIS Q 27001」に則っています。

国際規格に適合した会社経営をしている、という証明になります。

一方Pマークは、日本産業規格が定める「JIS Q 15001」に則っている、国内規格です。

更新

ISMSとPマークは、認証を取得したらそれで終わりというものではなく、定期的に更新を行わなければなりません。

ISMSの場合、1年に1度の維持審査と、3年に1度の更新審査があります。

Pマークの場合、2年ごとに更新審査が必要です。

それぞれかかる費用も異なり、

  • ISMSは、維持審査に20~50万円、更新審査に50~150万円
  • Pマークは、更新審査に22~90万円

となっています。

費用は、会社の規模によっても異なるので、あくまでも目安として考えてください。

ISMSを取得するメリット

次に、ISMSを取得するメリットについて解説します。

主なメリットは、下記のようなものが挙げられます。

  • 会社のセキュリティレベルが向上する
  • 取引先からの信頼を得られる

1つずつみていきましょう。

会社のセキュリティレベルが向上する

ISMSを構築し、認証を取得することは、会社の情報セキュリティレベルの向上に繋がります

これは、ISMSを取得する過程で、情報資産の洗い出しや、適切なセキュリティ対策を考慮することになるからです。

また、取得後も、継続的に運用・改善していく必要があります。

これによって、従業員の情報セキュリティへの意識を向上させることができるでしょう。

情報セキュリティ低下が原因で起こった事故によって、倒産に追い込まれた企業も決して少なくはありません

ISMSを取得し、情報セキュリティレベルを向上させることは、会社を守ることにも繋がります。

取引先からの信頼を得られる

ISMSは、国際規格によって定められています。

そのため、ISMSを取得することで、会社が情報セキュリティ対策を実施しているという証になります

ISMSを取得していることを示すことで、セキュリティ対策に取り組んでいることが分かり、取引先から信頼を得ることができるでしょう。

また、大手企業や国・自治体などが相手の仕事では、ISMSを取得が取引条件となっていることもあります。

そのため、ISMSを取得しておくと、大手企業や国からの案件を受注率を高めることにも役立ちます。

ISMSを取得するデメリット

ここでは、ISMSを取得するデメリットについて解説していきます。

主なデメリットは、

  • 取得するためにコストがかかる
  • 審査などによる業務への負担が増える

などが挙げられます。

取得するためにコストがかかる

ISMSを取得するためには、お金や時間など、様々なコストがかかります。

会社の規模にもよりますが、数十万円以上の金銭的負担が必要です。

また、ISMSを取得後も、継続的に審査費用が必要となり、ランニングコストもかかります

さらに、認証を取得するために、コンサルティング契約をした場合、追加で費用がかかることになります。

情報セキュリティの規定を定めたり、ISMS文書作成の際には、労力や時間的コストがかかります。

また、従業員への指導も必要になるので、更なる負担が生じます。

審査などによる業務への負担が増える

ISMSは、認定を取得した後にも継続審査があります。

そのため、審査に関する業務を担う従業員が必要になるでしょう。

また、ルールや運用記録を書類として適切に管理する必要があり、従業員への負担が生じることになります。

他にも、認証を取得するためにツールを導入した場合、そのツールの保守・運用管理のための作業が発生することがあります。

このようにISMSの取得には、金銭的なコストだけでなく、時間的なコストや労力もかかります。

継続的にコストがかかることを踏まえた上で、ISMS認証を取得するべきなのかを判断しましょう。

ISMSの規格について

ISMSを構築・運用する基準として作られたのが、国際規格です。

ISMSは、会社によって内容が異なります。

ISMSの規格には、国際規格の「ISO/IEC 27001」や、日本産業規格の「JIS Q 27001」などがあります。

ここでは、この2つについて解説していきます。

ISO/IEC 27001

「ISO/IEC 27001」は、ISOが発行している国際規格の1つで、情報セキュリティに関するものです。

会社が持っている情報資産を、情報漏洩などのリスクから守る、ISMSの構築・運用について定められています。

これを取得するためには、「ISO/IEC 27001」の要求事項を満たすISMSを構築・運用する必要があります。

ISMSを有効に機能させるためのガイドラインのようなものなので、様々な業種において、「ISO/IEC 27001」に沿ったISMSを構築・運用することで、情報セキュリティリスクが低減されます。

JIS Q 27001

「JIS Q 27001」は、日本産業標準調査会(JISC)が「ISO/IEC 27001」を日本語に翻訳したものです。

ISOが発行した国際規格は、英語やフランス語で書かれており、それらを日本語に翻訳する必要がありました。

個人がそれぞれ翻訳すると、規格の内容や様式が変わってしまう可能性があるため、日本産業標準調査会が翻訳を行っています。

上記のような理由によって翻訳されたものを、「JIS(Japanese Industrial Standards)」として発行しています。

「JIS」とは、日本産業規格を指します。

分野ごとにアルファベットが付けられていて、「ISO/IEC 27001」の場合は、「Q」が付けられています。

また、「JIS Q 27001」は、「ISO/IEC 27001」と同等であると、認められています。

ISMSを取得するまでの流れ

次に、ISMSを取得するまでの流れを解説します。

大まかな流れは次の通りです。

  1. ISMSの取得方法を決める
  2. 適用範囲を決める
  3. ISMSを構築・運用する
  4. 審査を受ける
  5. ISMSを取得し運用する

1つずつ解説していきます。

ISMSの取得方法を決める

まず、ISMSを取得する方法を決めます。

主な取得方法には、

  • 自分たちの会社のリソースを使って取得する
  • コンサルタントに依頼して取得する
  • ツールを利用して取得する

などがあります。

認証を取得するためにかけられるコストを計算し、会社に合ったものを選択しましょう。

適用範囲を決める

ISMSは、社内全体を対象にする必要はありません。

対象にしたい部門を絞り、取得することも可能です。

自分たちの会社の事業内容などに応じて、適用範囲を決めましょう。

ISMSを構築・運用する

会社の情報セキュリティポリシーを作成し、情報セキュリティマネジメントシステムを構築します。

その後は、ISMS文書の作成や、運用を行う従業員の育成といった作業が必要です。

会議などで決めた内容は、マニュアルや文書に残しておきましょう。

ISMSを構築したら、実際に運用を行います。

並行して内部監査も進め、認証基準を満たすために改善を重ねましょう。

審査を受ける

ISMSが構築できたら、国内に約30個ある審査機関の中から1つ選び、審査を受けます。

認証機関による審査は、一次審査と二次審査の2回行われます。

一次審査は書類審査、二次審査は現地審査です。

二次審査に合格したら、ISMSの取得が完了します。

ISMSを取得し運用する

ISMSは認証を受けた後も、毎年審査を受ける必要があります。

取得した後も、継続的に情報セキュリティマネジメントシステムを運用し、改善しましょう。

取得にかかる期間・費用

ISMSの取得には、ある程度まとまった期間と費用が必要です。

ここでは、ISMSの取得にかかる期間と費用について解説していきます。

期間

ISMSの取得には、平均1年半〜2年程度の期間が必要です。

コンサルタントに依頼し、比較的スムーズに進んでも、最低半年はかかるとされています。

自社のみで取得しようとする場合、担当者が使える時間の長さによっては、長い時間を要することもあるでしょう。

ISMSの構築や、審査機関による合否判断の時間が必要なので、長い期間での取得になることが多いです。

また、ISMSを取得するためには、最低1回はPDCAサイクルを回す必要があります

具体的には次の通りです。

P(計画)

  • ISMSの適用範囲を決める
  • セキュリティポリシーを作成する
  • ISMS文書を作成する
  • 従業員の育成

D(実施)

  • ISMSを運用する
  • セキュリティリスクへの対応を実施する

C(評価)

  • 内部監査を行う
  • マネジメントビュー

A(改善)

  • 評価で出た課題の対策を考える
  • 必要に応じてセキュリティポリシーを修正する

自社のみで取得を目指す場合、0から調べつつ、検討することになります。

結果、ISMSの取得にあまり関係のない部分に時間を取られてしまうことも多いでしょう。

そこで、コンサルタントに依頼することで、効率的にISMSを取得することができます。

なるべく短期間で、効率的にISMSを取得したい場合は、コンサルタントに依頼することも検討してみてください。

費用

ISMSの取得には、審査費用やコンサルティング費用(依頼した場合のみ)などがかかります。

審査費用は、会社の規模やISMSの複雑さによって変動しますが、目安は次の通りです。

  • 審査費用が50~150万円
  • コンサルティング費用が50~200万円

審査費用

上記で示した費用は、あくまでも目安です。

  • 審査機関
  • 会社の規模
  • 事務所の数

などによって、費用が異なります。

審査費用は「審査工数(人・日)×審査員派遣料金(1日あたり)+その他の費用」によって決定します。

ですが、工数の計算方法や審査員の派遣料金は、審査機関によって異なります。

さらに、会社で扱っている情報の重要性や、ISMSの複雑さによっても費用が変動します。

詳しい費用が知りたい場合、審査を受ける予定の審査機関に問い合わせてみるのが良いでしょう。

コンサルティング費用(依頼した場合のみ)

コンサルタントに依頼した場合、会社によって変動しますが、数十万~数百万円の費用がかかります。

費用が高く感じられるかもしれませんが、コンサルタントに依頼した方が、最終的に安く済むことが多いです。

これは、未経験の人が始める場合、0から調べる必要があるので、相当な労力がかかってしまうからです。

それにより、担当者の時間や労力が、コンサルティング費用を超えてしまうことがあります。

また、自分たちの会社だけで取得しようとすると、本来は必要ないルールを作ってしまい、業務の効率が下がってしまうこともあります。

ですが、コンサルタントに依頼すれば、実態に合ったルールを作成することができます。

その他の費用

ISMSを取得するにあたって、備品の購入が必要になることがあります。

例えば、ルールの変更により、鍵のついたキャビネットが必要になった、などが当てはまります。

一般的に、あまり多くかかる費用ではありません。

まとめ

今回の記事では、ISMSとは何か、取得するメリットや流れについて解説してきました。

ISMSの取得には、数十万~数百万という大きな費用がかかりますが、適切に情報を管理することは、会社を守ることにも繋がります。

情報セキュリティ対策をしたいと考えている方は、ISMSの取得を考えてみてはいかがでしょうか。

ISMS取得のご相談ならオプティマ・ソリューションズへ!

弊社は創業後の18年間で3,000件を超える支援を行ってきました。

さらに、弊社には次の強みがあります。

  • メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
  • 月々定額の分割払いができる
  • 東京、大阪、名古屋に支社がある
  • オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
  • 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)

弊社ではISMS認証の取得・更新をする以上に、御社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。

お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。

これからISMS認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談下さい。