１．ISMS(ISO27001)認証とは

ISMS（ISO27001）認証は、組織が情報セキュリティを適切に管理し、維持し続けていることを評価・認証する制度です。

認証を取得することで、組織が情報資産を保護し、セキュリティに対する信頼性と法令遵守を確保していることが証明されます。

情報技術の急速な発展とともに情報漏洩やサイバー攻撃が増加し、組織の情報資産の保護が急務となったことからISO27001が策定され、ISMS認証制度が普及していきました。

ISMS認証を取得することで、組織は情報セキュリティの信頼性をアピールできるだけでなく、法令や規制への遵守、情報セキュリティリスクの低減、ビジネスパートナーや顧客からの信頼獲得など、ビジネス上の様々な利点が得られます。
また、顧客へのアピール材料以外にも、認証する過程で会社の情報資産に対するルールを作ることもできます。

そして、ISMS認証においては、機密性・完全性・可用性という情報セキュリティの三つの重要な要素を維持することが求められます。
これらの要素をどのように適切に管理し、保護するかが、認証取得のための重要なポイントとなります。

２．情報セキュリティの３要素　機密性・完全性・可用性

機密性・完全性・可用性は情報セキュリティの基本要素です。これらの要素を適切に保護・管理することが、情報資産を守る上で重要であり、ISMS認証取得に必要な条件となります。
３要素をまとめて「CIA（シーアイエー）」と呼ぶこともあります。

(1)機密性(Confidentiality)

機密性は、情報が許可された者だけがアクセスできる状態を保つことを指します。
機密情報が漏洩するリスクを最小限に抑えるため、アクセス制御や暗号化技術などが活用されます。

(2)完全性(Integrity)

完全性とは、情報が正確で維持され、他者による不正な改ざんや破壊から守られていることを意味します。
情報の変更履歴を追跡する仕組みや、データバックアップ、定期的な監査が完全性維持のために重要です。

(3)可用性(Availability)

可用性は、許可されたユーザーが必要なときに情報やシステムにアクセスできることを保証します。
冗長設計、サーバーの負荷分散、バックアップ電源等の措置が可用性向上のために役立ちます。

これらの要素を保全し、さらに向上させるための取り組みや、情報セキュリティリスク管理を持続的に行うことが、情報資産やシステムを適切に保護するため、そしてISMS認証を取得し維持するためには不可欠となります。

３．ISMS認証制度のしくみ

ISMS認証制度は、組織が情報セキュリティマネジメントシステム（ISMS）を構築し、それが国際標準であるISO27001（JISQ27001）に適合しているかを評価する仕組みです。

この制度においては、以下ような役割が存在します。

• 認定機関：認証機関や要員研修機関を審査し、一定の基準を満たしているかを評価・管理する
• 認証機関：組織のISMSを審査し、ISO27001に適合しているかを判断し、ISMS認証を付与する
• 要員研修機関：審査員に対し、ISMS審査に関する研修を行う
• 審査員：認証機関から第三者として組織のシステムやプロセスを審査する

このシステムにより、組織は信頼性のある第三者機関からISMS認証を受けることができ、情報セキュリティ管理が適切に行われていることを明らかにすることができます。
この仕組みのことを「ISMS適合性評価制度」と言います。

ISMS適合性評価制度についてはこちらの記事を参照してください。
ISMS適合性評価制度とは？概要をわかりやすく解説

４．ISMS認証の審査

ISMS認証の審査基準は、ISO27001に基づいています。

審査では、組織の情報セキュリティマネジメントシステム（ISMS）が、これらの標準に適合しているかどうかを評価します。

審査を受けるには運用記録が必要です。
維持審査は1年分、更新審査は３年間分です。運用記録には情報リスクアセスメント表やリスク対応などがあります。

審査の詳細についてはこちらの記事を参照してください。
ISMSの審査は難しい？流れ、準備物、注意するポイントを解説

(1)審査基準

ISMS認証の審査基準は規格要求を満たすことができているかを基準に審査されます。

簡単に説明すると、ISMSの規格は全世界で共通の規格があるのですが、大手企業のルールと中小企業のルールではやり方も管理方法も違いがでてくるかと思います。
会社のルールを作成し、そのルールが共通の規格要求を満たすことができ、且つ、そのルール通りに仕事ができているかが審査で見られるポイントになります。

(2)審査の種類

新規認証

審査はいくつか種類があり、まず初めに新規認証時の審査では一次審査、二次審査があります。
※呼び方は審査機関によって様々です。

審査内容としてはISMSを認証させて問題ないかを確認する審査です。

一次審査では、文書・帳票類のチェックを中心とした審査で、上記で説明した規格要求を満たした会社のルールができているかを確認する審査になります。

二次審査では作成したルールが機能しているかを確認する審査になります。ルールがあっても現場でできていないと意味がないですよね。

審査の日数などは会社の人数や拠点数によっても様々です。一次審査と二次審査の間はだいたい1か月ぐらいになります。

続いては、認証完了後、翌年からの審査についてです。
維持審査と更新審査の2種類があります。

維持審査

まず、維持審査です。前回の審査からの運用状況を確認する審査です。
目的としてはルールがくずれていないか、現場で引き続きルール通りに仕事ができているかを確認することを目的としています。
イメージとして定期的な確認に近い為、審査工数（審査員の工数）は、新規認証時よりも少ないことが多いです。

更新審査

最後に更新審査があります。3年に1回更新があります。
3年間分の運用状況を確認する審査です。その為、維持審査分の確認も改めて実施します。
目的としてはISO認証の更新に問題はないかを確認し、3年単位での運用を確認することが目的です。
3年間が範囲の為、維持審査より審査工数は多いです。

５．ISMS認証を取得する流れ

認証取得までの期間は企業によって大きく異なりますが、半年から１年の期間を要することが多いです。

ISMSを取得するためには、まず認証範囲を決めることからはじまります。
認証範囲とはISMSを取得する範囲のことです。
ISMSは全社単位だけではなく部署毎に取得することが可能です。例えば、新規事業をはじめる際に新規事業だけでISMSを顧客より求められた場合は、新規事業を行う部署だけで取得することができるのです。

認証範囲を決めた後は社内の体制を整備し準備をしていきます。
そして、審査を受け、合格すれば認証取得という流れとなります。

ISMS認証取得までを大きく４つのステップに分けることができます。

1. 認定範囲を決定する。
2. ISMSの運用ルールや手続きを整備し、社内の情報セキュリティ対策を強化する。
3. 第三者機関による審査を受け、結果に基づいて改善事項があれば対応する。
4. 審査に合格し、認証登録される。

この（１）～（４）のステップを経てISMS認証完了です。

取得までの対応事項についてはこちらの記事を参照してください。
ISMS取得の流れガイド｜審査の内容やPマークとの違いも解説

６．ISMS認証のメリット・デメリット

(1)メリット

1. 業務品質向上：ISMS認証を取得することで、情報セキュリティ管理体制が整備され、組織全体の業務品質が向上します。
2. 信頼性アップ：認証取得により、取引先や顧客からの信頼性も向上し、新たなビジネスチャンスに繋がることが期待できます。
3. 情報漏えいリスク軽減：定期的な審査や遵守項目の徹底により、情報漏えいリスクが軽減されます。
4. 大手企業からのセキュリティ調査の対応力向上: ISMS認証を取得していると、大手企業からのセキュリティ調査の際にも、適切な対応が可能となります。
5. テレワーク導入企業の増加に対応：最近増加しているテレワークやリモートワークにおいても、適切な情報セキュリティ管理を実現できます。

(2)デメリット

1. コストと時間の負担：ISMS認証の取得には、審査費用や維持費用、社内での対応に要する人的リソースが必要です。
2. 過剰なセキュリティ対策：認証取得を目指すあまり、過剰なセキュリティ対策がとられる場合があり、業務効率が低下する可能性もあります。

これらのメリット・デメリットを考慮し、組織のニーズやリソースに応じて、ISMS認証取得の是非を検討することが重要です。

ISMS取得の必要性について迷っている企業様はこちらの記事も参照してください。
ISMS(ISO27001)の必要性は？取得のメリット・デメリットを紹介

７．ISMS認証を取得している企業の特徴

ISMS認証を取得している企業にはどんな共通点があるのでしょうか。
以下３点が考えられます。

1. B to C取引ではなく B to Bで取引を行っている企業
2. IT業界や、システム開発、情報通信業など個人情報の取り扱い量は少ないが、取り扱う情報量が多くセキュリティに配慮しないといけない業界
3. 大手企業等で組織の情報セキュリティ管理体制を強化したい企業

８．ISO27001、Pマークとの違い

(1)ISMSとISO27001の違い

ISMSは、情報セキュリティマネジメントシステムを指し、組織における情報セキュリティを維持・向上させるためのシステム全体を指します。

一方、ISO27001は、国際規格であり、ISMSの設計、実装、運用、監視、維持そして継続的な改善に関する要件を定めたものです。

つまり、ISMSは情報セキュリティ管理のシステムそのものであり、ISO27001はそのシステムを構築・維持するための国際規格です。

ISMS認証は、組織が情報セキュリティ管理に対する国際的な基準であるISO27001に適合していることを示すものです。

(2)ISMS（ISO27001）とプライバシーマーク（Pマーク）の違い

プライバシーマークとISMS（ISO27001）では、保護する対象が異なります。

プライバシーマーク（Pマーク）では個人情報、ISMS（ISO27001）では情報資産すべてが対象になります。
比較すると、ISMS（ISO27001）のほうが保護対象の範囲が広く、マネジメントシステムの構築に時間を要することが多いです。

また、プライバシーマーク（Pマーク）は日本だけの規格なので日本国内でしか通用しません。
ISMS（ISO27001）は国際標準規格ISO27001をもとに運用が行われますので、国際的な認証と言えます。

国際基準での情報セキュリティを認証されるため、国際的なやりとりが必要な企業はISMS（ISO27001）を取得するケースが多いです。

ISMSとPマークの比較について詳細はこちらの記事を参照してください。
【結論】どっちを取得するのがいい！？PマークとISMSの違いを徹底比較！

９.認証にかかる費用の相場

ISMS認証にかかる費用は、企業規模や審査内容により異なりますが、大まかな相場は以下の通りです。
初回認証の審査費用：約50万～130万円
認証維持費用（年間）：約30万～80万円

これら以外にも、認証取得に向けたコンサルティング費用や内部教育費用、などが発生することがあります。具体的な費用は、認証機関やコンサルタントに問い合わせることが望ましいです。

審査費用に関する詳細はこちらの記事を参照してください。
ISMS（ISO27001）新規取得費用いくら見ればいいの？

まとめ

ISMS認証は情報セキュリティ管理の評価・認証制度で、業務品質向上や信頼性アップ、情報漏洩リスク軽減などのメリットがあります。

認証範囲の決定は組織の実情と関係者の意見を考慮し、適切な範囲を設定することが重要です。