LASSIC Media らしくメディア

2026.07.02 らしくコラム

ISMS(ISO27001)認証取得の進め方

LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託

情報セキュリティ管理のイメージ

この記事のポイント

  • ISMS(ISO27001)認証は情報システム部門だけの取り組みではなく、取引条件や信頼確保に直結する経営マターです。
  • 2022年改訂で管理策(Annex A)の分類・項目数が変わり、移行対応が必要になっています。
  • スコープ決定からリスクアセスメント、審査までの進め方と、形骸化を避けるための体制のポイントを整理します。

ISMS(ISO27001)とは何か — 経営マターとして扱う理由

ISMS認証の検討・会議のイメージ

ISMS(情報セキュリティマネジメントシステム。Information Security Management System)とは、組織が情報資産を守るための方針・体制・手順を整備し、継続的に運用する仕組みを指します。ISO27001(ISO/IEC 27001)はこの仕組みが満たすべき国際規格であり、第三者機関の審査に合格すると認証を取得できます。ISMS-ACによれば、ISMS適合性評価制度は「国際的に整合性のとれた情報セキュリティマネジメントシステムに対する第三者適合性評価制度」と位置づけられています*1

この認証がなぜ経営マターかといえば、取引先から取得を求められる場面が広がっているためです。官公庁の入札条件、金融機関や大手取引先との契約条件にISMS認証が含まれるケースは珍しくありません。認証の有無が新規取引の可否や契約継続に影響するとすれば、それは情報システム部門の技術課題ではなく、事業機会に関わる経営判断そのものです。

加えて、情報漏えいが発生した場合の損害は、直接的な対応コストだけにとどまりません。取引先からの信用低下、契約打ち切り、ブランドイメージの毀損など、事業継続そのものを揺るがす要因になりかねないでしょう。ISMSは、こうしたリスクを未然に抑えるための管理の枠組みを組織に根づかせる取り組みだと言えます。

経営層が関与すべき理由はもう一つあります。ISMSは情報資産の洗い出しからリスク対応の優先順位づけまで、事業の重要度判断を伴う工程を含んでいるためです。どの業務・どの情報資産を優先的に守るかという判断は、現場だけで完結できるものではなく、経営としての意思決定が欠かせません。

図

ISMS(ISO27001)認証取得の流れ(スコープ決定から認証取得まで)

Pマークとの違い — 対象範囲と評価軸の差

ISMS(ISO27001)と並んでよく比較される制度に、プライバシーマーク(Pマーク)があります。両者は情報を保護するための第三者認証制度という点で似ていますが、対象範囲が異なります。

Pマークは個人情報の保護に特化した制度であり、個人情報保護マネジメントシステムの構築・運用状況を評価します。一方でISMSは、個人情報に限らず顧客情報・技術情報・契約情報など、組織が保有するあらゆる情報資産を対象とする点が特徴です。

取引先が個人情報の取り扱いを重視する業種であればPマークが求められやすく、システム開発・クラウドサービス・IT受託のように機密性の高い技術情報を扱う業種ではISMSが求められやすい傾向があります。両方の取得を求められる場合や、事業内容によってどちらが適切かを判断する場合は、自社が扱う情報資産の性質から検討する必要があります。

2022年改訂のポイント — 管理策4分類93項目への再編

ISO27001は2022年に改訂されており、既に認証を取得している組織・これから取得する組織の双方にとって、改訂内容の把握は欠かせません。JIPDECによれば、改訂の背景にはISO/IEC 27002が2022年2月に改訂されたことがあり、これに対応する形でISO/IEC 27001も2022年10月25日に改訂されています*2

最も大きな変更点は、附属書A(Annex A。ISMSが選択できる管理策の一覧)の再編です。JIPDECによると、旧規格では15分類・114項目だった管理策が、新規格では組織的・人的・物理的・技術的という4分類・93項目に整理されました*2。項目数は減っていますが、内容が削られたわけではなく、類似する管理策の統合や再構成によるものです。

あわせて「データマスキング(個人情報などを判別できない形に加工する技術。匿名化・仮名化)」や「監視活動」など、情報に着目した新しい管理策も追加されています*2。各管理策には「属性(attribute)」という区分も新設され、管理策同士の関連性や位置づけを把握しやすくなりました*2。JIPDECは、本文自体はISO/IEC 27001:2013から「高い連続性を維持」していると説明しており*2、マネジメントシステムの骨格が大きく変わったわけではありません。

既存の認証取得組織にとって重要なのは移行期限です。JIPDECによれば、2022年の改訂にあわせて3年間の移行期間が設定されています*2。旧規格の認証を保有する組織は、この移行期間内に新規格への移行審査を受ける必要があり、期限や自社の審査スケジュールについては認証機関に確認することが欠かせません。

スコープ決定からリスクアセスメントまでの進め方

ISMS(ISO27001)とは、組織が保有する情報資産のリスクを継続的に管理する体制を、規格が定める要求事項に沿って構築・運用することを指します。認証取得の実務は、大きくスコープ決定、リスクアセスメント、規程整備、運用、内部監査、審査という順序で進みます。

最初のステップはスコープ(適用範囲)の決定です。全社を対象にするのか、特定の事業部門・特定のサービスに限定するのかを経営として決めます。取引先からISMS認証を求められている場合は、その取引に関わる部門・サービスを漏れなくスコープへ含める必要があるでしょう。スコープが狭すぎれば取引先の要求を満たせず、広すぎれば構築・運用の負荷が増すため、事業実態に即した線引きが求められます。

次に情報資産の洗い出しを行います。顧客情報・契約書・ソースコード・設計書・従業員の個人情報など、スコープ内で保有する情報資産を台帳化し、それぞれの重要度を評価する工程です。この作業を漏れなく実施できるかどうかが、後続のリスクアセスメントの精度を左右します。

洗い出した情報資産をもとに、リスクアセスメントとリスク対応を行います。各情報資産について、機密性・完全性・可用性が損なわれた場合の影響度と、脅威が発生する可能性を評価し、リスクの大きさを判定する流れです。リスクが許容水準を超える場合は、Annex Aの管理策から必要なものを選択し、リスク低減・移転・回避・保有のいずれかで対応方針を決めます。

この段階でつまずきやすいのが、リスク評価の基準づくりです。評価基準があいまいなまま進めると、担当者ごとに判断がぶれ、審査でも指摘を受けやすくなります。リスク評価の手法・基準は規格が細かく定めているわけではないため、自社の事業規模やリスク許容度に応じて設計する必要があります。

規程整備・運用から審査合格までの進め方

リスクアセスメントと体制づくりのイメージ

リスク対応の方針が固まったら、情報セキュリティ基本方針・各種規程・手順書を整備します。パスワード管理・アクセス権限の付与手順・委託先管理・インシデント対応手順など、選択した管理策を実行するための具体的なルールを文書化する段階です。

規程を整備しただけでは認証の要件を満たせません。整備した規程に沿って実際に運用し、その記録(アクセスログ・教育の実施記録・委託先評価の記録など)を残す必要があるでしょう。審査では規程の存在だけでなく、規程通りに運用されている証跡が確認されます。

運用が一定期間続いたら、内部監査とマネジメントレビューを実施します。内部監査は、自社のISMSが規程通りに運用されているか、規格の要求事項を満たしているかを組織内部で点検する工程です。マネジメントレビューは、内部監査の結果やリスクの状況を経営層が確認し、ISMS全体の有効性を評価し改善の要否を判断する工程にあたります。この2つを経て初めて、外部審査を受ける準備が整います。

外部審査は、ISMS-ACが認定した認証機関に依頼します。ISMS-ACは「ISMS-ACが認定した認証機関による審査を受け、認証基準に適合していると認められることで」認証を取得できるとしています*1。審査は文書審査を中心とする段階と、実際の運用状況を確認する段階の2段階で構成されるのが一般的です。指摘事項が見つかった場合は是正を行い、認証機関の確認を経て認証登録に至ります。認証後も、年1回程度のサーベイランス審査(維持審査)と、数年ごとの更新審査が続く点は事前に押さえておく必要があります。

期間・体制・形骸化を避けるための留意点

ISMS認証の取得には、情報資産の洗い出しから運用実績の蓄積、内部監査までの一連の工程が必要になるため、着手から認証取得までにはある程度のリードタイムを要するでしょう。特に運用実績の記録は一定期間分が求められるため、審査直前に駆け込みで整備することはできません。逆算したスケジュール設計が欠かせない理由がここにあります。

体制面では、情報システム部門だけに丸投げする進め方は避けるべきです。情報資産は営業・人事・経理など全部門にまたがるため、各部門から担当者を出し、経営層が最終的な意思決定を担う横断体制を組む必要があります。専任の事務局を置けない中小規模の組織では、兼務のメンバーで無理なく回せる規程・チェック体制に設計することが現実的な選択肢になります。

ISMS認証で最も避けたいのが、規程だけを整備して実態が伴わない「形骸化」です。審査に通すことだけを目的に規程を作り込んでも、日々の業務で運用されなければ、情報漏えいのリスクは実質的に下がりません。認証取得後にセキュリティ事故が発生すれば、認証を保有していたこと自体が「形だけの取得だったのではないか」という信用低下につながりかねません。

形骸化を避けるには、規程を現場の実務フローに合わせて設計し、無理のない範囲で運用できる仕組みにすることが欠かせません。内部監査を「あら探し」ではなく改善の機会として位置づけ、指摘事項を放置せず着実に是正していく運用サイクルを回すことが、実効性のあるISMSを維持する土台になります。

外部の専門支援を活用する選択肢

ISMS認証の取得を内製だけで進めるには、リスクアセスメントの手法、規格要求事項の解釈、規程設計、内部監査の実施スキルなど、複数の専門知識が必要です。情報システム部門の担当者がこれらを独学で身につけ、通常業務と並行して構築を進めるのは容易ではありません。

専門パートナーに構築支援を依頼する場合との違いは、スコープ決定からリスクアセスメント、規程整備、内部監査の実施方法まで、他社の取得事例に基づく知見をもとに進められる点にあります。内製だけで進める場合、規格解釈の誤りに気づかないまま規程を作り込んでしまい、審査の段階で大きな手戻りが発生する可能性も否定できません。

認証取得後の運用負荷も見落とせない論点です。年1回程度のサーベイランス審査への対応、規程の見直し、内部監査の実施は、認証取得後も継続的に発生します。取得段階の構築支援に加えて、日常の運用保守を外部パートナーと分担できれば、限られた人員体制でもISMSを形骸化させずに維持しやすくなります。

まとめ:ISMS認証取得で経営が握るべき3つの判断軸

本稿では、ISMS(ISO27001)認証取得の進め方を経営視点で整理しました。要点を3つに集約すると次の通りです。第一に、ISMS認証は取引条件や信頼確保に直結する経営マターであり、スコープ決定という最初の一歩から経営の意思決定が求められるでしょう。第二に、2022年改訂で管理策が4分類93項目に再編されており、新規取得・既存認証の移行のいずれでも改訂内容を踏まえた対応が欠かせません。第三に、規程整備と運用実態を一致させ形骸化を避けることが認証の実効性を左右し、専門知見が必要な領域では外部パートナーとの分担も選択肢になります。

LASSICに相談するメリット

LASSICは元請(プライムベンダー)として、システムの保守・運用を受託する体制を整えています。情報資産の管理やアクセス権限の設計、日常の運用保守までを一貫して担ってきた実務知見をもとに、ISMS運用を支える情報システム基盤の整備についてご相談いただけます。情報システム部門が少人数の企業でも、無理のない体制での運用継続を見据えたご提案が可能です。

よくある質問

ISMS認証の取得にはどれくらいの費用がかかりますか。

審査機関への審査費用に加え、規程整備や体制構築にかかる工数、必要に応じたセキュリティ対策の投資が発生します。費用は組織の規模やスコープの範囲によって大きく変わるため、複数の認証機関・支援会社から見積もりを取り、自社のスコープに応じた総額を確認することをおすすめします。

ISMSとISO27001は同じ意味で使ってもよいですか。

実務上はほぼ同じ意味で使われますが、厳密にはISMSが「情報セキュリティマネジメントシステム」という仕組みそのものを指し、ISO27001(ISO/IEC 27001)はその仕組みが満たすべき国際規格を指します。認証名としては「ISMS(ISO/IEC 27001)認証」のように併記されることが多くあります。

認証取得後は何もしなくてもよいのですか。

認証取得後も継続的な運用が必要です。年1回程度のサーベイランス審査(維持審査)を受けるほか、事業内容やシステム構成の変化に応じて規程やリスクアセスメントの見直しを続ける必要があります。運用を止めれば認証の実効性が失われ、更新審査にも影響します。

ISMSとPマークはどちらを先に取得すべきですか。

決まった順序はなく、自社が扱う情報資産の性質と取引先の要求によって判断します。個人情報の取り扱いが中心であればPマーク、顧客の技術情報やシステム開発の機密情報を広く扱う事業であればISMSが優先されやすい傾向にあるでしょう。両方が必要な場合は、共通する管理策を整理しながら並行して整備する進め方も検討できます。

2013年版の認証を持っている場合、新規格への対応はいつまでに必要ですか。

2022年の規格改訂にあわせて3年間の移行期間が設定されています*2。具体的な移行審査の時期は認証機関ごとのスケジュールによって異なるため、契約している認証機関に自社の移行審査時期を確認し、早めに計画を立てることをおすすめします。

著者:テレリモ総研編集部 鈴木 亮佑


ITアウトソーシング・システム開発のご相談はLASSICへ

元請(プライムベンダー)として、貴社の課題に合わせた体制構築・開発支援をご提案します。まずはお気軽にご相談ください。

無料相談はこちら

ご不明な点はお問い合わせフォームからもご連絡いただけます。

  1. *1 出典:ISMS-AC「ISMS適合性評価制度の概要」https://isms.jp/isms/about.html
  2. *2 出典:JIPDEC「ISMS認証基準(ISO/IEC 27001)の改訂」(2022年)https://www.jipdec.or.jp/library/itreport/2022itreport_winter06.html


View