お役立ち資料
Introduction
ISMS(情報セキュリティマネジメントシステム)の認証取得をご検討中でしょうか。ISMSの規格は、読み込みだけでも時間と労力がかかるため、段階的な準備と構築が重要です。取得や更新のための費用についても、前もって検討しておく必要があります。
この記事では、ISMSの概要と認証取得のメリットや流れなどについて詳しく解説します。
目次
ISMS(情報セキュリティマネジメントシステム)とは?
ISMS(情報セキュリティマネジメントシステム)とは、NPO日本ネットワークセキュリティ協会『ISMS適合性評価制度』によると、以下のように定められています。
ISMS(情報セキュリティマネジメントシステム)
情報セキュリティに関わる個別の技術対策とは別に、企業のマネジメントとして、自らのリスク評価により必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用すること
ISMS認証の取得は、企業における総合的な情報セキュリティを確保するために大きく役立ちます。取得済みの企業は、情報およびリスクを適切に管理しているとの信頼を利害関係者に与えられます。
ISMSにおける3つの主要コンセプト
ISMSでは、主要な3つのコンセプトをバランスよく維持・改善することが求められます。ここでは、それぞれのコンセプトを解説します。
①機密性の確保
機密性の高い情報には、製品の開発情報、顧客や社員の個人情報などがあります。機密性の高い情報には、社内でも限られた人しかアクセスできないよう管理することが、機密性の確保です。具体的な方法には、パソコンへのログイン、資料室や特定エリアの入室にIDやパスワード制限を設けるなどがあげられます。
②完全性の確保
サイバー攻撃による情報の改ざんや社内でのデータ管理ミスによって、社内データが不正確になることを防ぐのが、完全性の確保です。上書きの権限を限られた人にしか与えない、アクセス履歴が残る設定にするなどは、データの改ざん防止に役立ちます。また、重要なデータは暗号化しておくと、サイバー攻撃による被害も低減できます。
③可用性の確保
可用性の確保は、必要なときにいつでもデータのアクセスと使用が可能な状態を確保することを指します。システムダウンや大規模災害の発生時には、データの迅速な復旧が求められます。データのバックアップを保持しているだけではなく、即時利用し、業務を継続するための体制が必要です。
ISMS認証、国際規格「ISO/IEC 27001」について
ISMS認証基準は「ISMS適合性評価制度」とも呼ばれています。国際的に整合性のとれた情報システムのセキュリティ管理を実施し、国内の情報セキュリティレベルを向上するために運用されているものです。
NPO日本ネットワークセキュリティ協会の『ISMS適合性評価制度』によると、「ISMS認証基準は2005年10月にISO/IEC 27001:2005として国際規格化され、これと一致した国内規格JIS Q 27001:2006が2006年5月に発行されました。」と記されています。
プライバシーマーク(Pマーク)との違い
ISMSとプライバシーマーク(Pマーク)は、どちらも情報保護に関する認証制度ですが、対象や対外的アピール力などにおいて違う点があります。
ISMSは会社の保有する情報資産全般を対象としているのに対し、Pマークは会社の保有する個人情報のみが対象です。また、ISMSは国際規格に基づいているのに対し、Pマークは日本独自の規格のため、アピール力は国内に留まる点も異なります。
企業がISMS認証を取得するメリット
企業がISMS認証を取得するメリットは、主に以下の4つがあります。ここでは、それぞれの内容を詳しく解説します。
・情報セキュリティレベルを向上させられる
・情報資産管理が効率化される
・社会的信用を獲得できる
・公的機関の入札要件を満たせる
情報セキュリティレベルを向上させられる
ISMSでは、定期的なリスクアセスメントの実施が求められています。リスクアセスメントの実施により、社内の各業務における情報セキュリティリスクを網羅的に把握できるため、改善に役立つのです。1年に1回など、定められた周期でリスクアセスメントとリスク対応を行えば、組織全体の情報セキュリティレベルの向上につながります。
情報資産管理が効率化される
ISMSの取り組みのなかには、クリアデスクやクリアスクリーンも含まれます。社内の情報を整理し、すぐに目的の情報にアクセスできる環境をつくるなら、情報資産管理が効率化されます。また、セキュリティマネジメント体制の構築プロセスのなかで、社員のセキュリティ意識が醸成され、人為的ミスが起こりにくくなるはずです。
社会的信用を獲得できる
ISMSを取得すると、会社の名刺や公式サイトなどにロゴマークの掲載ができます。ISMSを取得している企業として知られると、社会的信用を得やすい点がメリットです。近年では取引の条件として、ISMS取得を加えている企業もあります。取引先との関係維持や新規顧客の開拓の際、ISMS取得企業であることが有利に働く場合があるでしょう。
公的機関の入札要件を満たせる
近年では、公的機関の入札要件として、ISMS取得が提示されるケースが多くなっています。それで、政府や地方自治体からの仕事を受注する目的で、ISMS認証取得の取り組みをする企業も増えています。
企業のISMS認証取得にあたっての注意点
企業にとって多くのメリットがあるISMS認証ですが、取得にあたって注意するべき点もあります。ここでは、以下の2つの点を解説します。
・構築には時間と労力がかかる
・取得や更新・維持に費用がかかる
構築には時間と労力がかかる
ISMS認証の取得までには、さまざまな取り組みが求められます。取り組みの例をあげると、以下のとおりです。
・情報資産の洗い出し
・リスクアセスメント
・リスク対応計画の策定
・必要書類・記録の作成
・従業員教育
・内部監査
ISMSの規格の文言は抽象的な記載となっているため、まず規格内容を読み込み、理解するだけでも時間がかかります。さらに、規格に則った具体的な実施内容を決めるのも、困難なケースがあります。
ISMS認証取得経験のある担当者がいない企業が自社だけで取り組む場合は、ハードルが高く、途中で認証取得自体を諦めてしまう可能性もあるでしょう。時間と労力を節減する施策として、コンサルタントへ支援依頼することを検討するのもおすすめです。
取得や更新・維持に費用がかかる
ISMS認証取得にかかる費用には、主に審査費用とコンサルティング費用があります。審査費用は審査機関によって算出方法が異なりますが、主に以下の要素により費用が決まります。
・事務所の数
・人数
・扱う資産の重要性
・ISMSの複雑さ
・審査機関ごとの審査員派遣料金
数十名規模の企業の場合、初回審査費用は50〜150万円程度が相場になります。
コンサルティング費用は、コンサルタントに取得支援を依頼した場合にかかる費用です。コンサルティング費用は数十万〜数百万円程度が相場です。自社のみで取得を目指せば、この分の費用は削減できます。しかし、社内担当者に多大の負担がかかるため、コンサルト依頼をした方が結果的に低コストになる場合が多いです。
さらに、ISMS認証後も毎年の維持審査と、3年ごとの更新審査でも、数十〜数百万円ほど の費用がかかります。継続的にかかる費用も、予算に含めておくことが必要です。
ISMS認証を取得するまでの流れ
ISMS認証を取得するまでには、以下のステップを踏む必要があります。
1.取得方法の検討
2.ISMSの構築
3.認証申請
4.審査
5.認証・登録
構築開始からISMS認証取得の証書を受けとるまでには、6ヶ月〜1年ほどの 期間がかかるのが一般的です。ここでは、それぞれのステップの概要を解説します。
①取得方法の検討
はじめに、以下の3つからISMS認証取得の方法を選ぶ必要があります。
・自社リソースだけで取得する
・ISMS認証取得ツールを導入する
・コンサルタントに依頼する
②ISMSの構築
取得方法が決まったら、ISMSの構築を開始します。このステップでは、以下の取り組みを行います。
・適用範囲の決定
・文書の作成
・運用を行う社員の育成
③認証申請
構築が完了したら、認証機関を選んで申請します。審査機関から受領する審査計画書には、タイムスケジュールが記載されているため、当日の段取りを事前に把握できます。
④審査
審査は予備審査(第1段階・文書審査とも)、本審査(第2審査・実地審査とも)の2回にわかれます。本審査に合格すると、ISMS認証取得が確定します。
⑤認証・登録
審査に合格すると、はじめにPDFの認証書が届き、その後に原本が届きます。ISMS認証取得後は、日々の運用に移行します。取得後も毎年の維持検査と3年ごとの更新審査があるため、次回の審査に向けて準備を整えておくことが必要です。
まとめ
ISMSとは、企業の情報セキュリティレベルを認証する制度です。取得のプロセスで社内のリスクアセスメントが実施でき、取得後は社会的信用を獲得できる点がメリットです。取得にあたって費用や労力がかかる点は、あらかじめ理解しておく必要があるでしょう。
SHIFTでは、業界標準・ガイドライン準拠性の評価から、対策ロードマップ策定までをサポートします。セキュリティコンサルタントの依頼をご検討中でしたら、お気軽にお問いあわせください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
ブルートフォース攻撃とは?手口や対策までわかりやすく解説
2024.05.20
詳しく見る
-
- セキュリティ
CPSMとは?CASBとの違いや機能、導入するメリットについて解説
2024.05.20
詳しく見る
-
- セキュリティ
EPPとは?機能や脅威検知の仕組み、EDRとの違いについて解説
2024.05.17
詳しく見る
-
- セキュリティ
標的型攻撃とは?主な手法や被害事例、防ぐための対策について解説
2024.04.30
詳しく見る
-
- セキュリティ
CVSSとは?最新CVSS v4.0の評価基準、スコアの計算方法について解説
2024.04.26
詳しく見る
-
- セキュリティ
XDRとは?EDR・NDRとの違いや機能、導入メリットについて解説
2024.04.24
詳しく見る
-
- セキュリティ
FIDO認証とは?パスワード不要の仕組みや安全性、メリット・デメリットを解説
2024.04.23
詳しく見る
-
- セキュリティ
脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方など
2024.04.26
詳しく見る
-
- セキュリティ
PCI DSSとは?認証取得のメリットや目的、最新v4.0での要件について解説
2024.04.18
詳しく見る
-
- セキュリティ
IDaaSとは?機能や導入するメリット・デメリット、比較ポイントを解説
2024.04.16
詳しく見る
