ISMSによる情報セキュリティ対策や
導入のメリット・デメリット

ISMSとは、情報セキュリティに関する管理・運用を組織ぐるみで行うための仕組みのことです。Information Security Management Systemの略で、日本語では情報セキュリティマネジメントシステムといいます。

ウイルスソフト導入・従業員の教育などの個別の対応策や、情報取り扱いに関するルール設定もある意味でISMSの一部です。以下ではISMS導入の目的や国際規格ISO/IEC27001との関係、ISMS認証などについて解説します。

ISMSの目的は、世界的に増えつつあるサイバー攻撃（標的型攻撃やコンピュータウイルスなど）による機密情報の流出やシステムダウンを防ぐため、企業の総合的な情報セキュリティを確保・維持・管理することです。ISMSが定義する情報セキュリティは「機密性」「完全性」「可用性」の3要素です。

上記の3要素のすべてに抜けがない上でバランスよく維持し、継続的に改善を続けることが大切になります。

ISO/IEC27001とは、ISMSに関する国際規格のことです。ISMSが「情報セキュリティを管理する具体的な仕組み」だとすると、ISO/IEC27001は「ISMSで為すべきことや運用方法を定めたルールブック」というイメージになります。ISOは国際標準化機構のことです（IECは国際電気標準会議）。

日本産業規格（JIS）として国内向けの規格に調整したJIS Q 27001もありますが、ほぼ同じものとして考えて問題ありません。

ISO/IEC27001は「組織マネジメントや業務プロセスの関するリスクの変化への対応基盤」や、「外部・内部が情報セキュリティ要求事項の良し悪しについて評価するための基準」として用いることを目的として制定されました。

主な要求事項の概要は次のとおりです。

（参考：日本産業規格｜JIS Q 27001）

企業が行うISMSの管理・維持や、後述するISMS認証は上記の規格をもとに行われます。

マネジメントシステムに関する計画の設定から実行、第三者機関による確認、改善という流れから、よくPDCAサイクルに例えられます。

ISMS認証とは、ある組織が構築したISMSがISO/IEC27001に適合しているかを、第三者機関が評価し認証する制度のことです。「セキュリティ対策に問題はないか」「継続的に改善を続けているか」などについて「認証審査」を行います。

認証審査については、公平に運用するための国際的な枠組みとして「ISMS適合性評価制度」が定められています。大まかな流れは次のとおりです。

・認証審査を実施できる「認証機関」としてふさわしいかを「認定機関」が審査する

・認証試験に関する能力を持つ審査員を認証・登録できる「要員認証機関」としてふさわしいかを「認定機関」が審査する

・「要員認証機関に認定された審査員」が所属する「認証機関」による認証審査を行う

・認証機関に認められた企業や団体がISMS認証を受ける

もし認証されれば「国際的な企画をクリアしたISMSを導入している」と、国内・海外へアピール可能です。また規格そのものにも情報セキュリティの管理・維持・改善に関する詳細な項目があるため、規格に準じたISMSの遵守こそが情報セキュリティ対策の強化や人材育成につながるでしょう。

ISMSクラウドセキュリティ認証とは、国際規格ISO/IEC 27017に基づいた「クラウドサービスに関するセキュリティ対策・管理策」が実際されていることを認証する仕組みです。

対象としている事業者をみていきます。

・クラウド系のサービスを提供している事業者

・クラウド系のサービスを利用している事業者

・クラウド系サービスを利用して自社サービスを提供している事業者

認証されるにはISMS認証を受けていることを前提に、さらにISO/IEC 27017に沿った対策の実施を要求している「JIS-ISMS517」への適合が必要です。

情報セキュリティに関する体外的な信用度を表す意味では、ISMS認証とプライバシーマークは似ています。しかし実際は適用範囲や目的、認定条件に違いがあります。ISMS認証が組織特化、プライバシーマークは個人特化の保護というイメージです。

双方の違いを以下でまとめました。

ISMSはセキュリティ対策やコンプライアンス面を強化したい企業にとって、導入するメリットが大きいです。とくにISMS認証を受けると、企業価値の向上にもつながります。ISMS導入のメリットをみていきましょう。

ISMSによる管理やルール設定、ルールの遵守意識が従業員へ浸透することで、1人ひとりのセキュリティへの関心やモラルが向上します。

守るべき基準が明確化されることで、従業員自身がやるべきセキュリティ対策や注意すべき行動がわかりやすくなります。「知らなかった」「忘れていた」などのヒューマンエラーや、悪質な動きの察知によるコンプライアンス違反などを防止可能です。

「情報セキュリティに関するマネジメント」であるISMSの構築と適用自体が、企業全体のセキュリティレベルの向上につながります。具体的には次の効果が期待できるでしょう。

・不正アクセス対策

・サイバー攻撃による情報漏洩やシステムダウンからの保護

・異常が発見されたときの早期発見・対応

・可用性に優れるシステムによるセキュリティ関係業務の効率化

・継続したリスクアセスメントと改善のサイクルによるさらなる情報セキュリティの向上

など

ISMS導入による「セキュリティ対策の見える化」により、セキュリティ対策への取り組みについての外部への説明責任（CSR）を果たせます。とくにISMS認証を受けている場合は「国際的な規格に従っていると認められた」として、顧客や取引先などのステークホルダーからより強固な信頼を得られるでしょう。

実際に官公庁や地方公共団体などもISMSを取り入れる動きがあります。国税関係のシステムを管理する施設やバックアップセンターもISMS認証を取っていたり、公共事業での入札条件としてISMS認証が必須となったりの動きが見られます。

さらに国際規格であるISMS認証は海外との取引においても、安心・安全な企業としてのアピール材料に利用可能です。

ISMSを導入するデメリットは、管理・維持するためのコストが増大することです。とくにISMS認証を受けている場合は、より多くのコストを消費します。

ISMSの管理はISO/IEC27001の附属書Aに記載ある114にものぼる管理策をもとに考える必要があります。大量の文書・マニュアル作成や意識浸透までは、経営者・従業員ともに大きな負担になるでしょう。

またISMSは一度認証されて終わりではなく、認証後も維持と改善が必要です。成果確認として内部監査や継続審査、再認証審査も実施されます。審査にかかる時間や労力、人材も確保しなければなりません。

さらに金銭面でも審査料や登録料がかかります。もしISMS認証を受けたISMSの導入を考えているときは、メリットとデメリットのバランスについても検討しておきましょう。

ISMS認証を取得し運用するまでには次のプロセスを経ていきます。

・企業内でISO/IEC27001に適合するISMSを構築する

・ISMS認証機関の審査を受ける

・内部監査、継続審査、再認証審査を経て更新する

ISMS認証を得た後も継続的な維持や改善を進めつつ、定期的に行われる審査に合格しなければなりません。以下で審査を通過するまでの簡単なフローをご紹介します。

ISMSに限らず、ISOによるマネジメントシステムの構築にはPDCAサイクルが用いられます。ISMS認証を目指すときは、実際にPDCAを回して策定・運用した仕組みをブラッシュアップすることが大切です。

・Plan：ISMSの取得目的や適用範囲、情報セキュリティの基本方針、取り扱い資産、セキュリティ対策の具体案などについて文書化。リスクアセスメントを通じた現状のリスク（脆弱性や外部からの脅威など）に関する問題点の抽出。

・Do：Planで決定したセキュリティ対策やプロセスの実行、抽出したリスクに対する具体的な対策の実施。従業員への周知・指導。データや従業員からの意見も吸い上げて溜めておく。

・Check：Doの結果や蓄積したデータ、セキュリティ意識の遵守状況などの確認・分析。定期的な企業での内部監査や、内部監査の結果・利害関係者からのフィードバックをもとにして経営陣が判断を下すマネジメントレビューの実施。

・Action：内部監査やマネジメントレビューで抽出された課題や改善事項に基づいて改善計画の立案・実施。その後もPDCAサイクルを回す。

ISMS審査は二段階（第一審査・第二審査）行われます。それぞれでチェックする目的や項目が異なるため、ポイントを押さえておきましょう。

なおISMS認証機関は、2021年5月現在で27つが存在します。どこに依頼するかは事業主次第です。機関ごとに評価するポイントやかかる費用に違いがあるため、自社で構築するISMSの方向性や予算と合うところへ見積もりを依頼してください。

審査期間は3～4ヶ月ほどです。準備期間を合わせて考えると、半年以上の時間がかかると考えられます。審査日数や工数は認証範囲・組織の規模でも変動します。

第一審査の概要

第一審査は、構築されたISMSについて「正しくリスクを抽出しているか」「セキュリティ対策の方針に問題はないか」「PDCAサイクルは回っているか」など、ISO/IEC27001の規格に則っているかを確認します。文書の確認がメインです。チェック後は、第二審査に移行できるのかを判断します。

第二審査の概要

第二審査はISMSの実際の運用状況をチェックします。「従業員はISMSに従っているか」「問題なく機能しているか」などです。実際のPDCAサイクルの状態が確認されるため、少なくともActionの部分まで実行しておかなければ審査通過が叶わない可能性があります。

審査終了後

第一・第二審査が終了した後、合格すればISMS認証を受けられます。合格後は認定機関である情報マネジメントシステム認定センターのHPにて公開されます。

審査結果によっては不適合箇所（是正措置）を言い渡されるかもしれません。不適合箇所を指摘された場合は改善と改善結果のレビューが必要です。対応できないと合格にならないので注意しましょう。

初回の審査を終えた後も、1年に1回以上行われる継続審査（サーベイランス審査）と、更新年にある再認証審査（更新審査）を通過しなければなりません。

継続審査では「初回審査の後も問題なく運用されているか」や「維持や管理は適切か」などを部分的に確認します。再認証審査では初回の審査と同じようにすべての部分について審査を行います。

ISMS認証の審査で難しいのは、情報セキュリティの目標やリスクアセスメント、PDCAに関して、規格の中に絶対の正解が書いていない点です。

規格はあくまで方向性を示すもので、認証をもらうには企業の状況に応じた臨機応変な対応策が必要になります。1からの対応が難しいときは、ISMSについてコンサルタントと契約してアドバイスを受けるのも1つの手です。

もう1つの問題として、ISMSを維持・管理するもの労力がかかる点が挙げられます。例えばISMS認証を受けていたとしても、従業員の悪質なコンプライアンス違反があったり、簡単にウイルスの侵入を許したりしてしまうと、認証が取り消されるかもしれません。

もし基礎となるセキュリティ対策やコンプライアンスが定まっていない場合は、IT資産ツールを導入してセキュリティ対策の強化や方針の基盤を作ることもおすすめです。

例えば住友グループが自社利用を目的に開発した「MCore」であれば、ツール1つでPC操作ログの記録や各種情報漏えい対策を実施可能です。

ISMSの導入は、企業にとって情報セキュリティ対策の強化につながるだけでなく、顧客や取引先からの信頼獲得に関係します。国際規格に則った証であるISMS認証を受けられれば、行政や海外にも通用する企業ブランドを得ることも可能です。

ISMS認証審査の通過や本当に使える情報セキュリティ対策と運用を行うには、常に正しいPDCAサイクルを回し、問題点の抽出と改善を繰り返す必要があります。もし情報システム担当だけの力では大変な場合は、コンサルの活用やIT資産ツールの導入も検討してみてください。

MCoreを用いれば、情報セキュリティ目的の策定・遵守からPDCAの実施・効果測定などの一括サポートが可能です。資料請求や体験セミナー、オンラインウェビナーなどにも対応していますので、まずはお気軽にお問い合わせください。

【ISMSの構築を手助けできるツール「MCore」をもっとわかりやすく】

・PCの操作を監視して内部不正を防止する「PC操作ログ管理」
https://www.sei-info.co.jp/mcore/function/log-management/pclog/

【関連記事】

・IT資産管理入門「情報漏洩対策」
https://www.sei-info.co.jp/mcore/basics/security.html