全2回　いま企業の情報セキュリティに求められる「ISMS（ISO/ IEC27001）認証」とは？《連載:第1回》初めてのISMS認証——最低限知っておきたい基礎と取得の流れ

初めてのISMS認証——最低限知っておきたい基礎と取得の流れ

近年、サイバー攻撃や内部不正の巧妙化・高度化に伴い、情報漏えいやサービス停止といった深刻なセキュリティインシデントに見舞われる企業が後を絶ちません。言うまでもなく、ひとたび被害に遭えば、企業としての信用を大きく損なうだけでなく、場合によっては事業の継続そのものが危ぶまれるリスクもあります。

このような状況の中、情報セキュリティはもはやIT部門だけでなく、企業全体の経営課題として捉える必要があります。特にデジタル化やDX（デジタルトランスフォーメーション）を推進している企業にとっては、経営レベルで情報セキュリティを管理する体制を整備することが欠かせません。こうした背景のもと、現在注目を集めているのが「ISMS」です。

ISMSの特徴

ISMS（Information Security Management System）とは、企業が保有または利用する個人情報・機密情報・知的財産などの情報資産を安全に管理するための仕組みです。セキュリティツールを活用した技術的な対策だけでなく、ルールづくりや体制整備、従業員の意識向上といった、ソフト面の対策も含まれる点が大きな特徴です。

ISMSは、次の「情報セキュリティの3要素」をバランス良く維持・改善することを基本コンセプトとしています。

・機密性（Confidentiality）
認可されたユーザーのみ情報を利用できる状態を保つこと

・完全性（Integrity）
情報及び処理方法の正確性・完全性を保護すること ・可用性（Availability）
認可されたユーザーが必要なときに情報にアクセスできる状態を保つこと

そして、このコンセプトをもとにISMSで求められる取り組みを具体的に示したものが「ISO/IEC 27001」です。

ISO/IEC27001で求められる取り組み

ISO/IEC 27001はISMSに関する国際規格であり、組織が必ず取り組まなければいけない「要求事項」と、リスク低減のための「管理策」が体系的に規定されています。なお、ISOは国際標準化機構、IECは国際電気標準会議の略称です。

要求事項と管理策の正式な内容は、一般財団法人日本規格協会（JSA）のサイトなどで販売されている文書で確認することできます。ここでは、それぞれの主な取り組みを簡単に紹介します。

■要求事項の主な取り組み

・組織の状況
組織の課題や利害関係者の期待・ニーズを明確化したうえで、ISMSを適用する対象（全社・部門・業務・プロダクトなど）を決定する

・リーダーシップ
経営層は、情報セキュリティ方針の策定及び周知、セキュリティ管理体制の整備など、ISMSの構築にコミットしリーダーシップを発揮する

・計画
リスクアセスメント（情報資産に関わるリスクの特定・分析・評価）のプロセスや対応方針、計画を策定する

・支援
教育・訓練を通じて、従業員の情報セキュリティに関する知識・スキルの習得、意識の向上を支援する

・パフォーマンス評価
監視・測定・内部監査などを実施し、ISMSを適切に運用できているか、定期的に評価する

・改善
不適合（要求事項や社内ルール、法令などからの逸脱）が生じた場合、再発防止の処置や継続的改善を図る

■管理策に含まれる主な取り組み

管理策は要求事項とは異なり、組織の状況に合わせて実施する取り組みを選択することができます。なお、ISO/IEC 27001は2022年10月25日に改訂がおこなわれており、新規格ISO/IEC 27001:2022では、次の4つのカテゴリーに分類されています。

・組織的管理策
情報セキュリティ方針や役割の明確化、インシデント対応計画、クラウドサービスや外部委託先のセキュリティ管理など

・人的管理策
社員教育や訓練、リモートワーク時のルール、秘密保持契約・守秘義務契約、インシデント報告など

・物理的管理策
機器やオフィス、施設のセキュリティ、入退室管理、USBメモリーなど記憶媒体の取り扱い、離席・退社時の情報管理（クリアデスク・クリアスクリーン）など

・技術的管理策
マルウェア（悪意のあるソフトウェア）対策、ネットワークセキュリティ、アクセス制御、通信の暗号化、バックアップ、監視、ログ取得など

これらの要求事項と管理策を適切に整備・運用し、認証機関の審査に合格することで、ISMS認証を取得することができます。

ISMS認証取得で得られるメリット

ISMS認証の審査は、社内文書（ISMSに関する規程やルール・手順書など）を確認する「文書審査」と、実際に現場での運用状況を確認する「実地審査」の２段階でおこなわれます。認証の有効期間は3年で、新規認証時の「初回審査」後も、1年後・2年後に「継続審査」、3年後には「更新審査」を受ける必要があります。

ISMS認証取得は企業の義務ではありませんし、コストや時間（通常、構築から取得まで半年～１年程度）もかかります。しかし、手間をかけて取得することで次のようなメリットが期待できます。

・社内におけるメリット
技術面、ソフト面を含めた企業の総合的な情報セキュリティレベルが向上します。また、従業員の意識向上やセキュリティ文化の醸成は、内部不正やヒューマンエラーの防止にもつながります。

・社外におけるメリット
顧客や取引先に対して信頼性をアピールすることができます（認証取得が取引や入札の条件になっているケースもあります）。ブランド価値向上にもつながるため、取得時にプレスリリースで発表する企業も多く見られます。

ただし、認証取得が目的化し、運用が形だけのものになってしまっては、こうした効果は十分に得られません。次回の第2回記事では、ISMSを組織に定着させるために必要な取り組みや、効率化の手法、IT部門に求められる役割などについて解説します。

SmartStage編集部

IT部門がビジネスクリエイティブ集団に生まれ変わるためのヒントやトレンド情報を発信していきます。