１．ISMS（ISO/IEC27001）の目的とは

（１）ISMS（ISO/IEC27001）とは

ISMSとは情報セキュリティの管理・運用を組織全体で行うための仕組みのことです。

Information Security Management Systemの略称で、日本語では「情報セキュリティマネジメントシステム」といいます。

情報の機密性・完全性・可用性を維持し、絶えず改善を行うことが求められています。

組織が持つ情報の外部流出を防ぐとともに、情報を利用しやすい状態かつ保護するための仕組みです。

（２）ISMSができた経緯・背景

ISMSができた経緯や背景としては2つあります。

1つ目は、情報社会の進展です。

情報社会の進展とともに、企業の情報資産が重要な経営資源となりその保護が急務となったからです。

2つ目は、情報漏洩の頻発です。

企業の情報漏洩などセキュリティインシデントが頻発し、企業の信頼性やブランドイメージに大きな影響を及ぼすようになったことが影響しています。

特にインターネットの普及により情報の流通が容易になった一方で、情報漏洩のリスクも増大しました。

このようなリスクに対応するために、情報セキュリティ対策を組織全体で統一的に管理・運用する必要性が認識され、ISMSが生まれました。

（３）ISO/IEC27001要求事項の概要

ISOは国際標準化機構という意味、IECは国際電気標準会議という意味です。

つまりISO/IEC27001はISO（国際標準化機構）とIEC（国際電気標準会議）が合同で策定した規格です。

一言でいうと、ISMSの要求事項を定めた規格のことです。

要求事項とはISMSの取得・維持・運用において守るべきルールのことです。

ISMSに基づいてセキュリティ環境を構築するには規格を守る必要があります。

（４）情報セキュリティ目的との違い

情報セキュリティ目的とは情報セキュリティの観点から、特に軽減させたいリスクあるいは向上させていきたい取組みについて目標を掲げ達成するための仕組みです。

ISMS（ISO/IEC27001）の目的は、世界で増加しているサイバー攻撃（例えば、ランサムウェアやその他のコンピュータウイルス等）から生じる機密情報の流出やシステムの停止を防ぐことにあります。これは企業が情報セキュリティを全面的に確保し、維持し、管理することを通じて達成されます。

ISMS（ISO/IEC27001）にも情報セキュリティ目的に関する要求事項がありますが、根本的な意味の違いを理解しておきましょう。

２．そもそも「リスク」とは

リスクと聞くと「危険」なものをイメージしますが、実はリスク自体に問題があるわけではありません。

リスクとは要素として、「脅威」と「脆弱性」によって発生するものです。

「脅威」はリスクの原因となるもの、情報資産に対する潜在的な危険を指します。

例えばハッキング・ウイルス、物理的な破壊、人為的なミス、自然災害など、情報資産を損なう可能性のあるあらゆる要素を含みます。

これらの脅威は、情報の機密性、完全性、可用性を損なう可能性があります。

「脆弱性」は脅威によってむき出しとなる問題点であるもの、情報システムがセキュリティ上の脅威に対して持つ弱点のことを指します。

これは、システムの設計、実装、または運用における欠陥や不備により生じます。

脆弱性が存在すると、攻撃者がそれを利用して不正アクセスを行ったり、データを改ざん・削除したり、システムをダウンさせたりする可能性があります。

「脅威」と「脆弱性」は密接な関係にあるため、ISMSでは脅威を特定、評価、管理することにより、情報資産を適切に保護し、脆弱性の特定と対策を行うことが重要とされています。

３．ISMSを認証取得する企業の目的・メリットとは

（１）ISMSを取得する目的・メリット

ISMSを取得する目的・メリットは企業によって様々ですが、ISMSの取得が仕事に影響する可能性が高いため取得される企業が多いです。

例えば、取引先からの要求のため、入札条件を満たすためというような「マーケティング視点」の目的が多いです。

他にも、ISMSの規格要求を満たすことによって得られる効果もあります。

大きく分けて3つです。

1つ目は、従業員の情報セキュリティに対する意識が向上することです。

ISMSでは従業員への定期的な情報セキュリティ教育が必須となります。他社の情報漏洩事故の事例や起こりうる情報セキュリティ事故、情報管理における意識を学ぶことで従業員ひとりひとりの情報セキュリティ意識が高まり、事故を減らすことができます。

2つ目は、適切な情報セキュリティ管理でリスクを避けられることです。

リスクを把握できていれば、そのリスクに対する対応計画を立てることができます。

リスクアセスメント＋リスク対応計画を年に1回など定期的に行うことで、常に情報セキュリティリスクに対する事前準備ができるようになり、組織全体で適切な情報セキュリティ管理ができている状態を保つことができます。

3つ目は、情報の活用・業務効率の向上です。

ISO27001（ISMS）では情報を整理整頓し、必要なときに必要な情報にいつでもアクセスできるようにすることが求められています。

つまり、ISMSを取得するということは無駄な時間や手間をかけずに情報へアクセスできる状態が保たれる＝業務効率がアップする、と考えることができます。

このように組織におけるマネジメント観点からも大きなメリットがあります。

上記を理解し、ISMS取得の目的として掲げることができれば、ISMS取得後もより実用的でメリットの多い運用が可能となります。

（２）ISMS認証取得が多い業種や企業の特徴

IT業界や金融業界、製造業など業種は多岐にわたります。

特に、情報セキュリティが重要とされるIT業界や金融業界では、顧客情報や企業秘密を守るためにISMS認証の取得が求められることが多いです。

また、公共機関や教育機関などでも、個人情報の保護や情報漏洩防止のためにISMS認証を取得しているところがあります。

（３）ISMSの必要性が高い企業と低い企業

ISMSの必要性が低い企業もあると思いますが、上記の目的やメリットから考えると、取得・維持しないメリットはないです。

マーケティング視点だけでなく組織のマネジメントにも良い影響を与えることができます。

また業種業界を問わず、個人情報の保護や情報漏洩の防止は業務上必要不可欠です。

情報セキュリティ管理は、全ての企業が向き合うべき課題なのです。

いま一度、自社でISMSの必要性を考え、社内体制やルールを見直すことが重要です。

４．ISMSとPマークの違い

ISMSとPマークは、どちらも情報セキュリティに関する認証という部分では似ているところがあります。

しかし、実際には目的や適用範囲、認定条件に違いがあることを認識しておきましょう。

イメージとしてはISMSは組織に特化したもの、プライバシーマークは個人情報に特化したものです。

５．ISMSクラウドセキュリティ認証について

国際規格 ISO/IEC 27017に基づいた「クラウドサービスに関するセキュリティ対策・管理策」が適切に導入、実施されていることを認証する仕組みです。

■対象としている事業者

• クラウド系のサービスを提供している事業者
• クラウド系のサービスを利用している事業者
• クラウド系サービスを利用して自社サービスを提供している事業者

認証されるにはISMS認証を受けていることが前提で、さらにISO/IEC 27017に沿った対策の実施を要求している「JIS-ISMS517」への適合が必要となります。

６．ISMSを認証するまでの大まかな流れ

ISMS認証までの大まかな流れは以下の通りです。

キックオフから取得完了まで早くて6か月、長くて1年程度かかります。

1. 取得までの計画を立てる
   ①取得時の目的を再確認
   ②社内責任者の選定
   ③取得期日を決める
   ④自社だけで取得を目指すか、コンサルを利用するかの意思決定
   ⑤予算決め
   ⑥審査機関の選定
   ⑦スケジュールを立てる
2. 情報セキュリティマネジメントシステムを構築する
3. ISMSを運用する
4. 社内チェック（内部監査）とトップへの報告（マネジメントレビュー）
5. 審査を受ける（一次審査）
6. 審査を受ける（二次審査）
7. 認証取得完了

７．ISMSを認証するにあたっての失敗しない方法

ISMSを認証するにあたっての失敗しない方法として3つポイントがあります。

目的を見失わず行動し続けることが重要です。

（1）自社分析を怠らず継続すること

自社分析とは、情報セキュリティに関わる環境を正しく見極めていくプロセスです。

自社の情報セキュリティにおける脆弱性の特定と対策が重要な要素となります。

ISMSを認証するにあたって自社分析を行うことで、リスク管理の情報を把握しておく必要があります。

また、同じレベルで取引先から問われている内容の把握も重要です。

外部からの信頼向上という点で、ISMSの内容が取引先の期待に沿うものでなければ、認証後の自社への評価が大きく変わらない可能性があるからです。

取引先の望んだ管理体制でないことが発覚した際には、厳しい批判にさらされる可能性が生じるため注意が必要です。

（2）ルールを煩雑化させないこと

情報セキュリティだけに注目してISMS認証をしてしまうと、ルールが煩雑化する可能性があります。

もちろん情報セキュリティレベルを上げて、きめ細やかなルールを決めることも重要です。

しかしルールを覚えるのに必死で作業の効率が落ちてしまうと、企業の生産性に悪影響を及ぼす可能性があります。

また従業員への繰り返し教育を怠ってしまうと、従業員の情報セキュリティへの理解不足が原因で事故が発生するリスクも高くなります。ヒューマンエラーを起こさないための教育も重要です。

ISMSは従業員が受け入れやすい内容やルールにすることが大前提です。

すべてのルールを見直しするのではなく、企業のルールの中で問題点を明確にして、ポイントを絞った上で改善に向けた取組みを進めることが理想的です。

（3）効率的な社内教育を行うこと

ISMSを社内に浸透させていくには教育の精度を高めることが重要です。

1つのやり方（例えば集合教育など）にこだわって効率を下げてしまっている企業も少なくありません。

もちろん集合教育も1つの教育方法として効果的ではありますが、実際、コロナの影響を受けてやり方や頻度を見直している企業も多いです。

大勢に向かって同じ内容を伝えることも大切ですが、企業によって適切な実施の仕方・頻度は違います。

自社に合わせて、eラーニングやテキスト・Googleフォームなど、柔軟なやり方で対応していきましょう。

また教育は実施して終わりではなく、効果測定まで行うと良いです。

定期的に、従業員の理解度を測るテストを行う方法が一般的ですが、その他、従業員にあえて不審なメールを送って開封率を見る方法など、創意工夫を凝らしている企業もあります。

測定結果が芳しくなかった場合、教育テストやテキストなどを修正・改善していきましょう。

８．まとめ

ISMSの取得目的は企業によってさまざまですが、取得することで多くのメリットが得られます。

社外へのアピールになる、顧客要求を満たせる他、マネジメントの観点では、社内体制の見直しや自社分析を行うことで情報セキュリティに関するリスクを洗い出すことができます。

マネジメントの観点からもISMS取得の必要性を考え、取得後もより実用的でメリットの多い運用を行える体制を整えていきましょう。

情報セキュリティ管理は全ての企業が向き合うべき課題です。

いま一度、自社の情報セキュリティについて考え、社内体制やルールを見直してみてください。

ISO・Pマークについてのお悩みはありませんか？

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン
  相談予約

ISO・Pマークについてのお悩みはありませんか?

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン相談予約