１．情報セキュリティ認証ってどんな種類がある？

情報セキュリティの認証は、日本国内でも複数の種類があります。
その中でも昨今よく耳にするのは、以下の3つです。

Pマーク…個人情報保護を目的とした認証です。
ISO27001（ISMS）…情報セキュリティに関する国際規格の認証です。
ISO27017…クラウドセキュリティに関する国際規格の認証です。

２．ISO27001認証（ISMS認証）について

今回はこの中でも、より広い範囲の情報セキュリティの認証であるISO27001（ISMS）についてお話していきます。

ISO27001認証とは、「情報セキュリティマネジメントシステム」と呼ばれるISO規格です。
日本国内では「ISMS」と呼ばれることも多くあります。
また、「ISO/IEC 27001」と表記されることもありますが、ISO27001と同じものを指していると考えてください。

ISO27001を認証するには、情報セキュリティに関するマネジメントシステムを構築し、第三者に監査を行ってもらう必要があります。
監査を行う第三者機関は、ISOの認定機関から許可された法人になります。
利害関係のない第三者の視点で客観的に審査され、認証を受けます。

コロナ禍を経て働き方も変化し、リモートワークが増えてきている中、セキュリティ対応もどんどん変化していきます。
更新は3年毎と言われていますが、審査は毎年行われます。

1年に1回チェックされることで、企業が今の環境に合った適切なセキュリティ対策を取っているという証明にもなるでしょう。

３．Pマークとの違いは？どちらを取得するべき？

ISO27001の認証を検討する際、比較されるのがPマークです。
比較されがちな2つですが、様々な観点から見ていくと、その差が見えてきます。

ISO27001とPマークの違いとしてまず挙げられるのが、対象となる情報です。
個人情報を対象とするPマークに対し、ISO27001では対象となるのは情報資産全般となります。
また、Pマークは日本で開始した独自の規格であるのに対し、ISO27001は世界規格になります。

当然審査の内容も変わってきます。
中身の妥当性を見るPマークに対し、ISO27001は適合性を見ていきます。
取得する目的や、そのマークをどこで使いたいか、またどんな審査を望むかによって、どちらを取得するべきか変化することがわかりますね。

詳細な比較ポイントについては、以下の記事をご確認ください。
プライバシーマーク(Pマーク)とISMSの違いを徹底比較！結局どっちが良いの？

４．認証後の効果について

ISO27001を認証すると、様々な効果があります。

（１）セキュリティ体制整備
ISO27001は情報セキュリティのマネジメントシステムです。
そのため、ISO27001のルールを作りながら、社内の情報セキュリティに関するルールを作り、ルールに沿った運用が必要です。
また、第三者である認証機関（審査機関）から公平な観点で審査され認証を行うことで、社内のセキュリティに関する課題を見つけ、新たな改善が行えます。

（２）従業員の意識向上
社内のセキュリティルールが整うことで、従業員はルールに沿った活動が必要になります。
また、ISO27001の認証を受けるにあたり、セキュリティ教育を受ける必要もあります。基準があれば、ルールが決まれば、従業員の方も自分の行動が正しいかどうか判断することができます。

（３）対外的な評価
ISO27001の認証を受けると、利害関係のない第三者からの評価が行われます。
そのため、適切なセキュリティ体制を整備出来ている組織と認定されます。
他社との差別化としても活用できますし、お取引条件としてISO27001の認証を求める企業もあります。
お客様からの評価も得やすくなるでしょう。

このように、社内だけでなく対外的な効果も表れます。

５．認証する為に必要なこと

ISO27001を認証するために必要なのは、まずは計画です。
取得の目的を把握し、社内の役割や取得までのスケジュール、予算を決める必要があります。

認証するためには、自社ですべてを対応することもありますが、専門的な知識や判断が必要になるため、コンサルティング会社に依頼することも多くあります。
どのような認証方法が自社に合っているか、判断するのも計画の1つです。

計画が経てば、ルールを構築し、ルール通りに運用を行うことで、よりスムーズな認証につながります。
運用が終われば認証機関（審査機関）による審査を受け、認証が行われます。

 

認証までに必要なこと、ステップの詳細は以下の記事をご確認ください。
【初心者の方必見】ISMS取得スケジュールを7つのステップで解説

６．ISO27001の認証機関（審査機関）とは？

ISO27001の認証機関（審査機関）は、日本国内には50以上が存在していると言われています。
これだけの数があれば、認証機関にどのような違いがあるのか、またどのように選べばよいのか迷ってしまう企業がたくさんあるのもうなずけます。

まず大前提として、ISO27001を認証しているという証明としては、どの認証機関で認証しても差はありません。
そのため、自社に合った認証機関を選んでいく必要があります。

認証機関によって、審査のスタイルや費用に差が出てきます。
そのため、以下3つのポイントで認証機関を選ぶ企業が多いです。

（１）審査スタイル
認証機関によって審査の特徴や方針が異なることがあります。
そのため、認証機関のスタイルを把握した上で選ぶとより自社にあった審査を受けられます。

（２）費用
認証機関により、審査費用は異なっています。
ISO27001は一度認証すれば終わりではなく、審査が毎年行われるため、ランニングコストを把握する必要があります。
一度申し込むと長い付き合いになることもある認証機関です。自社の予算も確認した上で選んでいく方がよりISO27001の認証がより良いものになっていきます。

（３）スケジュール
ISO27001を認証するにあたり、認証に向けたスケジュールを自社で立てているかと思います。その時期に間に合うかどうか、チェックする必要があります。
審査を受けられる時期はもちろんですが、手元にロゴマークや認証書が届くタイミングまで把握しておくと、計画どおりの認証が行えるか確認が取れます。
ギリギリのスケジュールでは計画がずれてしまうリスクがあるため、少し余裕を持ったスケジュールを持つことをお勧めします。

７．どれくらいの費用がかかる？

ISO27001の認証を受けるには、認証機関へ料金を支払う必要があります。
もちろん、人数や拠点等の規模によってその費用は変わってきます。
昨今ではリモート勤務を推奨する企業もたくさんありますが、出社しない＝審査対象外ではありません。

また前述の通り、認証機関によって費用が異なります。
これに加え、コンサルを入れて認証を受ける場合はコンサル費用も発生してきます。

 

参考額については以下をご確認ください。
ISMS（ISO27001）新規取得費用いくら見ればいいの？

８．認証期間はどれくらい？

ISO27001を認証するまでの期間は、コンサルを利用して認証するか、自社の力のみで認証するかによっても異なります。
一般的に、コンサル会社に依頼してISO27001を認証する場合は、約半年程度での認証が可能です。
自社の力のみで認証する場合は、1年〜1年半程度かかることが多いです。

しかし、ただISO27001は認証がゴールではなく、認証してからがスタートです。
自社の目的に沿った取得方法や期間を定めていきましょう。

９．人気のクラウドセキュリティ認証(ISO27017)について

最近では、クラウドセキュリティ認証であるISO27017の認知度も徐々に上がってきています。

ISO27017とは、クラウドサービスに関する情報セキュリティに関する第三者認証で、
クラウドサービスを利用・提供している企業が、クラウドセキュリティの安全性を証明するものです。

ただし、ISO27017は、アドオン認証と呼ばれるもので、必ずISO27001とセットで認証する必要があります。
つまり、ISO27017のみを認証することはできません。

あくまでも、情報セキュリティに関する仕組みをISO27001で構築した上で、ISO27017でクラウドセキュリティに関する安全性をチェックしていきます。

ISO27001と重複する部分もありますが、よりクラウドに関して細かく、深くセキュリティを見る必要があります。
なお、ISO27001の中でクラウドに関するセキュリティ対策を組み込むことも可能です。
そのため、ISO27017も目的を明確にした上で認証すると、より企業に役立つものになっていくでしょう。

まとめ

情報セキュリティ認証は、Pマーク、ISO27001、ISO27017等複数あります。

横並びにして検討されることも多くありますが、それぞれ特徴があります。
そのため、企業の目的によって認証すべき規格がどれなのかは異なります。

企業としての目的を明確にしたうえで、適切な情報セキュリティ認証を受けていきましょう。