2025年12月5日
目次
Close
- 1.ISMSにおける管理策の役割と目的
- 2.要求事項と管理策の違いを整理する
- (1)要求事項と管理策の違いとは?
- (2)実務での違い:ルールと手段の関係
- (3)要求事項と管理策の関係性まとめ
- 3.ISO27001・ISO27002と附属書Aの関係性
- (1)ISO27001・ISO27002・附属書Aの関係性とは?
- (2)活用の流れと理解のポイント
- 4.管理策の4つの分類と構成(組織的・人的・物理的・技術的)
- (1)管理策の4つの分類と構成
- (2)バランスの取れた対策が重要
- 5.管理策を決める3ステップ
- (1)ステップ1:リスクアセスメントの実施
- (2)ステップ2:リスク対応と管理策の選択
- (3)ステップ3:選択の根拠をまとめる「適用宣言書」
- 6.管理策の実例紹介
- (1)よくある管理策(基本・必須級)
- (2)中小企業でも取り入れやすい管理策
- (3)導入・運用における注意点
- 7.よくある誤解・失敗例とその回避方法
- 8.審査で確認される管理策のポイント
- 9.まとめ
ISO/Pマークの認証・運用更新を180時間も削減!
認証率100%の認証パートナーが無料問い合わせを受付中!
認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。
経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。
▼認証パートナーが削減できること(一例)- マニュアルの作成・見直し:30時間→0.5時間
- 内部監査の計画・実施:20時間→2時間
- 審査資料の準備:20時間→0.5時間
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
「ISMSの管理策ってどう選べばいいの?附属書Aを全部やらないといけないの?」
このような疑問をお持ちではないでしょうか。
ISMS認証取得を目指す企業にとって、管理策の理解と選定は最も重要なステップのひとつです。
しかし、管理策の意味や分類、選び方を誤解したまま進めてしまうと、形だけの対策になり、審査で不備を指摘されるリスクがあります。
この記事では、ISMSにおける管理策の基本から、分類・選定方法、実例、よくある誤解、審査での確認ポイントまでを体系的に解説します。
最後までお読みいただくと、自社に必要な管理策を的確に選び、実効性あるISMS運用につなげるための知識が身につきます。
情報セキュリティの強化と、認証取得の成功に向けて、ぜひ参考にしてください。
1.ISMSにおける管理策の役割と目的
ISMS(情報セキュリティマネジメントシステム)における「管理策」とは、組織の情報資産を守り、情報セキュリティリスクを許容可能なレベルに低減・維持するために導入する具体的な防御手段や活動のことです。
ISMSの規格(ISO/IEC 27001)やマネジメントシステムの枠組みが「何をすべきか(目的・仕組み)」を示すのに対し、管理策はその目的を達成するために「どのように実現するか(実際の手段)」を具体化したものと位置づけられます。
【管理策の実例】
- 外部からの不正アクセスを防ぐ
- ファイアウォールの設置
- 情報漏えいを防ぐ
- USBメモリの利用制限
- データ消失に備える
- 定期的なバックアップ取得
これらはすべて、特定されたリスクに対する具体的な対応策です。
【管理策が守るべき3つの要素】
管理策は、情報資産の「機密性・完全性・可用性」という3つの基本要素を保護するために設けられます。
| 要素 | 意味 | 対策例 |
| 機密性 (Confidentiality) | 許可された者だけが情報にアクセスできること | アクセス制御、暗号化 |
| 完全性 (Integrity) | 情報が正確であり、改ざんや破壊がない状態であること | バックアップ、 ハッシュ値による検証 |
| 可用性 (Availability) | 許可された者が、必要なときに情報やシステムを利用できること | 冗長化(二重化)、災害対策 |
これらの管理策を適切に導入・運用することで、情報セキュリティリスクを効果的に制御し、組織の信頼性と継続性を高めることができます。
2.要求事項と管理策の違いを整理する
ISMSを理解・運用するうえで重要なのが、「要求事項」と「管理策」の違いです。これらはしばしば混同されがちですが、役割も目的も明確に異なります。
(1)要求事項と管理策の違いとは?
ISMSの審査や実務では、以下のように「要求事項」と「管理策」がそれぞれ異なる役割を担っています。
| 要素 | 根拠となる規格 | 役割 | 達成目標 |
| 要求事項 | ISO/IEC 27001 本文(第4章〜第10章) | 情報セキュリティをマネジメントするための枠組み(ルール)を定める。「何をするか」 | ISMSの仕組みを構築・運用すること(PDCAサイクル) |
| 管理策 | ISO/IEC 27001 附属書A(およびISO27002) | リスク対応のための具体的なセキュリティ対策を定める。「どうやって実現するか」 | 特定されたリスクを低減し、セキュリティ目標を達成すること |
(2)実務での違い:ルールと手段の関係
- 要求事項は、組織が「何をすべきか」という方向性を示すルールです。
例: 「リスクアセスメントを実施しなさい」 - 管理策は、その要求事項を実現するための具体的な手段です。
例: 「不正アクセス防止のためにパスワードポリシーを設定する」
つまり、ISMSのPDCAサイクルの中で、まず要求事項に従ってリスクアセスメントを行い、その結果に基づいて適切な管理策を選定・導入する流れになります。
(3)要求事項と管理策の関係性まとめ
- 要求事項
- 「方向性」や「ルール」
- 管理策
- 「実行手段」や「対策」
このように、両者はISMSの運用において補完し合う関係にあり、明確に区別して理解することが、効果的な情報セキュリティ対策の第一歩となります。
3.ISO27001・ISO27002と附属書Aの関係性
ISMSを効果的に運用するためには、国際規格である「ISO/IEC 27001」「ISO/IEC 27002」、そして「附属書A」の関係性を正しく理解することが不可欠です。これらはそれぞれ異なる役割を持ちながら、情報セキュリティ対策の構築・実施を支えています。
(1)ISO27001・ISO27002・附属書Aの関係性とは?
以下の表は、それぞれの規格が果たす役割とその関係性を整理したものです。
| 規格・文書 | 役割・内容 | 位置付け | 利用方法のイメージ |
| ISO/IEC 27001 | ISMSの認証取得に必要な「要求事項」を定めた規格。附属書Aに管理策リストを含む。 | ルールブック(必須) | ISMSの枠組みと管理策の一覧を確認する |
| 附属書A | ISO27001の巻末にある文書。管理策(93項目、2022年改訂版)のチェックリストを掲載。 | 管理策のメニューリスト | 自社のリスクに応じて必要な管理策を選定 |
| ISO/IEC 27002 | 附属書Aの各管理策について、目的や実施方法を詳しく解説した実務ガイド。 | 実践マニュアル(補助的) | 管理策の内容や導入方法を具体的に理解する |
(2)活用の流れと理解のポイント
ISO27001はISMSの「骨格」を示す規格であり、組織が情報セキュリティを管理するためのルール(要求事項)を定めています。
附属書Aはその中で提示される「管理策の一覧」であり、リスク対応のための選択肢が並んだチェックリストです。
ISO27002は、附属書Aの各管理策について「なぜ必要か」「どう実施するか」を詳しく解説する補助的なガイドラインです。
この関係性を料理に例えるなら、以下のようになります。
- ISO27001
- 料理のルールブック(何を作るか)
- 附属書A
- メニュー一覧(どんな料理があるか)
- ISO27002
- レシピ集(どう作るか)
ISMSの運用においては、まずISO27001の要求事項に従ってリスクを特定し、附属書Aから適切な管理策を選定し、その後、ISO27002を参考にして具体的な実施方法を検討する、という流れが基本となります。これにより、組織の情報資産を守るためのセキュリティ対策が、体系的かつ実効性のあるものになります。
4.管理策の4つの分類と構成(組織的・人的・物理的・技術的)
ISMSにおける管理策は、情報セキュリティリスクに対処するための具体的な手段です。ISO/IEC 27002(2022年版)では、これらの管理策を体系的に分類し、漏れなく対策を検討できるようにしています。
(1)管理策の4つの分類と構成
管理策は、以下の4つのテーマに分類され、合計93項目で構成されています。それぞれの分類は、異なる側面から情報セキュリティを守る役割を担っています。
| 分類 | 項目数 | 主な対策分野(実例) |
| 組織的管理策 | 37項目 | セキュリティポリシー、法令遵守、リスクマネジメント、資産管理、継続性計画など |
| 人的管理策 | 8項目 | 雇用条件、教育訓練、懲戒プロセス、秘密保持契約(NDA)、入退社時の対応など |
| 物理的管理策 | 14項目 | 入退室管理、監視カメラ、設備・機器の保護、サーバルームの警備、媒体の処分など |
| 技術的管理策 | 34項目 | アクセス制御、暗号化、マルウェア対策、ログ管理、ネットワークセキュリティなど |
(2)バランスの取れた対策が重要
実務では、技術的な対策だけに偏るのではなく、組織的・人的・物理的な観点も含めて、総合的に管理策を導入することが求められます。情報漏洩の多くは人為的ミスや管理不備によって発生するため、技術だけでは防ぎきれないリスクが存在します。
例
- 技術的に暗号化していても、従業員が誤って情報を外部に送信すれば漏洩は防げない。
- セキュリティポリシーが整備されていなければ、管理策の運用が形骸化する恐れがある。
ISO27002の4分類は、情報セキュリティ対策を網羅的に検討するためのフレームワークです。組織はこれらをバランスよく導入し、実効性のあるISMSを構築・運用することが求められます。
5.管理策を決める3ステップ
ISMSにおける管理策は、組織の情報セキュリティリスクに対応するための具体的な手段を指します。ただし、ISO規格に記載されているすべての管理策を導入する必要はなく、自社の状況に応じて適切なものを選択することが求められます。そのための基本的なプロセスが「管理策を決める3ステップ」です。
以下の3ステップは、ISMS運用の中核であり、管理策の選定とその根拠を明確にするための流れです。
(1)ステップ1:リスクアセスメントの実施
まず、自社の情報資産(例:顧客データ、サーバー、紙文書など)を洗い出し、それに対する脅威(例:不正アクセス、盗難)と脆弱性(例:パスワード管理の甘さ、施錠不備)を特定します。
その後、以下の2軸でリスクを評価します。
- 発生する可能性(頻度)
- 発生した場合の影響(重大性)
これにより、リスクレベルを定量的に判断します。
(2)ステップ2:リスク対応と管理策の選択
評価したリスクに対して、以下の4つの対応オプションから選択します。
| リスク対応の種類 | 概要 | 管理策との関係 |
| リスクの低減 | リスクを許容可能なレベルまで下げる | 附属書Aから該当する管理策を選定・導入 |
| リスクの回避 | リスクを伴う活動自体をやめる(例:機密性の高いデータを扱わない) | 管理策の選定対象外 |
| リスクの共有(移転) | 保険加入や外部委託などでリスクを他者に分担 | 委託先管理などの管理策が必要 |
| リスクの保有(受容) | リスクが低く、対応コストが高いため受け入れる | 管理策は選定しない(不適用と判断) |
例えば、不正アクセスのリスクが高い場合は「リスク低減」を選び、ID管理の強化や二要素認証などの技術的管理策を導入します。
(3)ステップ3:選択の根拠をまとめる「適用宣言書」
「適用宣言書(Statement of Applicability)」は、どの管理策を採用したか、また採用しなかったかを明記する文書です。ISMS認証審査では必ず提出が求められます。
| 記載内容 | 目的 |
| 管理策のリスト | 附属書Aの全93項目を網羅的に記載 |
| 適用/不適用 | 各管理策について、自社に適用するかどうかを明記 |
| 選択理由 | 適用する場合、その管理策を選んだ理由(対応するリスクなど)を記載 |
| 不適用理由 | 不適用とする場合、その判断根拠(業務で使わない、リスクが低い等)を記載 |
【審査対応のポイント】
不適用とした管理策については、審査員から「なぜ必要ないのか?」と問われるため、論理的かつ妥当な説明ができるよう準備しておく必要があります。
管理策の選定は、単なる規格のチェックではなく、自社のリスクに基づいた合理的な判断が求められます。リスクアセスメント → 管理策の選定 → 適用宣言書の作成という3ステップを踏むことで、ISMSの信頼性と実効性を高めることができます。
6.管理策の実例紹介
ISMSにおける管理策は、リスクを低減し、情報資産の「機密性・完全性・可用性」を守るための具体的な手段です。ここでは、実際に多くの企業が導入している管理策の例と、中小企業でも取り入れやすい対策、そして導入・運用時の注意点についてまとめます。
(1)よくある管理策(基本・必須級)
多くの組織で採用されている、ISMS運用の基本となる管理策です。
| 分類 | 管理策の例 | 期待される効果・目的 |
| 技術的 | アクセス制御 | 権限のない社員による機密情報へのアクセスを防止(機密性) |
| 技術的 | データバックアップ | 障害や攻撃からデータを保護し、復旧を可能にする(可用性・完全性) |
| 技術的 | ログ管理 | システム利用状況を記録し、不正や障害の原因追跡を可能にする |
| 人的 | 情報セキュリティ教育・訓練 | 社員の意識向上とヒューマンエラー防止(機密性) |
| 組織的 | 文書化されたISMSの確立 | セキュリティ活動の責任範囲と手順を明確化し、属人化を防ぐ |
(2)中小企業でも取り入れやすい管理策
予算や人員に限りがある中小企業でも、効果的かつ低コストで導入できる管理策があります。
- クリアデスク・クリアスクリーン(物理的)
離席時のPCロックや機密文書の施錠保管を徹底。安価で効果の高い物理的対策。 - クラウドサービスの標準機能活用(技術的)
アクセス権限設定や監査ログ機能など、既存のクラウド機能を活用する。 - 無料の暗号化ソフトの利用(技術的)
外部媒体(USBなど)の保護に活用可能。 - サプライヤー関係のセキュリティレビュー(組織的)
委託先のセキュリティ対策状況を確認し、契約に盛り込む。 - 情報セキュリティインシデント管理(組織的)
万が一の事態に備え、連絡・報告体制や初動対応手順を定めておく。
(3)導入・運用における注意点
管理策は「導入すること」よりも「運用し続けること」が重要です。以下の点に注意しましょう。
- 形骸化の防止
実態に合わない厳しすぎるルールは逆効果。
例:複雑すぎるパスワード → メモに書いてしまう。 - 監視と測定の実施
管理策の効果を定期的に測定し、改善につなげる。
例:教育後にフィッシングメールの開封率が下がったか。 - 実効性の確認
バックアップを取得していても、復元テストをしていなければ意味がない。運用状況の定期確認が必要。
管理策は、組織のリスクに応じて選定・導入し、継続的に運用・改善することで初めて効果を発揮します。中小企業でも工夫次第で十分なセキュリティレベルを確保できるため、実態に合った対策をバランスよく取り入れることが大切です。
7.よくある誤解・失敗例とその回避方法
ISMSを導入・運用する際には、管理策の選定や運用に関していくつかの誤解や失敗が起こりがちです。これらを正しく理解し、適切に回避することで、より効果的で実効性のあるセキュリティ体制を構築することができます。
以下の表は、ISMS運用において頻出する誤解と、それに対する具体的な回避策を整理したものです。
| 失敗例・誤解 | 内容 | 回避方法 |
| チェックボックス対応 | 「附属書Aの全項目をすべて実施しなければならない」と誤解する。 | リスクアセスメントに基づき必要な管理策のみを選定。 不適用項目はSoAで理由を明記。 |
| 技術偏重 | 「高価なセキュリティツールを導入すれば十分」と考える。 | 技術的対策だけでなく、人的・物理的対策もバランスよく導入。 教育や委託先管理も重要。 |
| 既存ルールの軽視 | 既存の社内規定などをISMS文書に反映せず、ゼロから作り直そうとする。 | 既存ルールを活用し、不足部分のみを補強。 無理に新規作成する必要はない。 |
| 文書整備だけで満足してしまう | 文書が整っていれば審査に通ると誤解する。 | 実際の運用状況が審査対象。 文書と現場の整合性を保ち、実効性を確保する。 |
【実務でのポイント】
- 附属書Aの管理策は「選択制」
附属書Aの管理策は、組織が主体的に選択して適用するものです。すべてを網羅的に実施する必要はなく、自社のリスクに応じて必要な対策を選定し、適用しないものについてはその理由を明確にすれば認められます。 - セキュリティは「技術だけでは不十分」
教育不足や委託先管理の不備など、人的・組織的な要因が大きなリスクになることもあります。 - 文書は「運用とセット」で評価される
審査では、文書の整備だけでなく、実際にその通りに運用されているかが重視されます。
ISMSの成功には、形式的な対応ではなく、実態に即した柔軟でバランスの取れた運用が不可欠です。誤解を避け、現場に根ざした管理策を構築することが、情報セキュリティの信頼性を高める鍵となります。
8.審査で確認される管理策のポイント
ISMSの認証審査では、管理策が単に文書化されているだけでなく、実際に運用され、継続的に改善されているかが厳しく確認されます。以下では、審査で重視される3つのポイントを整理し、具体的な証拠例とともに解説します。
【審査で確認される管理策の3つのポイント】
| 観点 | 内容 | 審査で確認される事項・証拠例 |
| 妥当性と整合性 | 管理策がリスクアセスメントで特定された重大なリスクに対して妥当かどうか。 適用宣言書と現場運用の整合性があるか。 | ・リスクと管理策の対応関係が明確か ・適用宣言書に記載された管理策が現場で運用されているか |
| 運用の実効性 | 「ルールがある」だけでなく、「ルール通りに運用されている」ことを証明できるか。 | ・教育訓練:教育資料、受講者リスト、理解度テスト結果 ・バックアップ:ログ、復元テスト記録 ・アクセス制御:権限一覧、退職者アカウント削除記録 |
| 継続的改善 | 管理策が一度決めて終わりではなく、PDCAサイクルに基づいて定期的に見直されているか。 | ・内部監査の結果 ・マネジメントレビューでの議論内容 ・管理策の改善履歴 |
【実務での注意点】
- 書類だけでは不十分
- 審査では「実際に運用されているか」が問われます。文書と現場の整合性を保ちましょう。
- 証拠の準備が重要
- 教育訓練やバックアップなど、管理策の有効性を示す証跡(ログ、記録類)を整えておくことが必要です。
- 改善の履歴を残す
- 内部監査やマネジメントレビューを通じて、管理策が見直されていることを示す記録が求められます。
ISMS認証の取得だけでなく、真の情報セキュリティ向上のためには、管理策の「妥当性」「実効性」「継続的改善」の3点を意識し、形骸化させずに運用することが不可欠です。
9.まとめ
本記事では「ISMSの管理策」について解説しました。要点をまとめます。
- 管理策は、情報セキュリティリスクに対応する具体的な手段であり、ISO27001附属書Aに一覧が、ISO27002に詳細な実施方法が記載されている。
- 管理策は「組織的・人的・物理的・技術的」の4分類に分かれ、バランスよく導入することが重要。
- 選定はリスクアセスメントに基づき、必要なものだけを「適用宣言書」に記載する。
- 実例として、アクセス制御や教育訓練などがあり、中小企業でも導入しやすい対策も存在する。
- 審査では、管理策の妥当性・運用の実効性・継続的改善が確認され、証拠の提示が求められる。
本記事を参考に、自社に合った管理策を選び、実効性あるISMS運用につなげていただければ幸いです。
ISO/Pマークの認証・運用更新を180時間も削減!
認証率100%の認証パートナーが無料問い合わせを受付中!
認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。
経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。
▼認証パートナーが削減できること(一例)- マニュアルの作成・見直し:30時間→0.5時間
- 内部監査の計画・実施:20時間→2時間
- 審査資料の準備:20時間→0.5時間
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
ISO・Pマーク(プライバシーマーク)の認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・一目でわかる『費用』
- ・一目でわかる『取得スケジュール』
- ・一目でわかる『サポート内容』
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ
- © 2022 Three A Consulting Co., Ltd.