ISMS認蚌ISO27001ずはPマヌクずの違いや取埗方法を詳しく解説

セキュリティ

セキュリティを考える䞊で欠かせないISMS認蚌。
意味は知らなくおも、名前を聞いたこずがあるずいう方は倚いのではないでしょうか。

本蚘事では、䞻に以䞋の3぀に぀いおたずめおいたす。

  • ISMS認蚌・ISO27001の意味
  • ISMS認蚌ずISO27001の違い
  • ISMS認蚌ずPマヌクの違い

詳しく解説しおいくので、ISMS認蚌に぀いお調べおみたけど結局よく分からないずいう方や、ISMS認蚌ずISO27001の違いがはっきりしないずいう方は、ぜひご芧ください。

ISMS情報セキュリティマネゞメントシステムずは

たずはISMSの意味や考え方に぀いお確認しおいきたしょう。

ISMSずは、「情報セキュリティマネゞメントシステム」ずも蚀われ、情報セキュリティに関する囜際芏栌の1぀です。

これだけでは分かりにくいので、もう少し具䜓的に解説しおいきたす。

たず、ここでの「囜際芏栌」ずは䜕を意味しおいるのでしょうか。

芏栌ずは、補品の倧きさや品質などの暙準を決め、それを文章化したものです。
぀たり、ここでの囜際芏栌ずは、党䞖界で情報セキュリティに関する基準を統䞀し、どの組織にも同じルヌルを適甚できるようにするこずです。

ISMS認蚌は、スむスのゞュネヌブに本郚を眮く「囜際暙準化機構」ずいう組織が発行しおいる芏栌の1぀。ISMS認蚌を取埗しおいるこずは、囜際的に蚭定された基準をクリアしおいるず保蚌されおいるこずを瀺したす。

続いお、「情報セキュリティマネゞメントシステム」の意味を確認しおいきたしょう。
情報セキュリティマネゞメントシステムは、「情報セキュリティ」ず「マネゞメントシステム」の2぀に分けるこずができたす。

 

IS情報セキュリティずは

情報セキュリティず聞くず、どのようなこずをむメヌゞするでしょうか。身近なセキュリティずしおは、デヌタにパスワヌドを蚭定したり、りむルス察策゜フトを導入するずいったこずが挙げられたす。

しかし、情報セキュリティはそれだけではありたせん。

ISMSにおける情報セキュリティずは、組織内の情報が、次の3぀の芁玠党おを満たしおいるこずず定矩されおいたす。

  • 機密性
  • 完党性
  • 可甚性

機密性

機密性ずは、蚱可された人のみが情報を閲芧できる状態であるこずを指したす。぀たり、情報を利甚しおはいけない人ぞの情報の挏えいを防ぐこずずも蚀えたす。

機密性を維持するための方法ずしお、アクセス制限の蚭定や、パスワヌドの蚭定ずいったものが挙げられたす。

倚くの人がむメヌゞする「セキュリティ」は、倚くの堎合この機密性を指しおいたす。

完党性

完党性ずは、情報が改ざんされたり、削陀されたりしない状態であるこずです。たた、情報が正確な状態で維持されるこずを指したす。

完党性を維持するためには、

  • デヌタを線集できる人を制限し、必芁最䜎限の人だけがデヌタの䞊曞きをできるようにする
  • 定期的に情報の最新化を行う

ずいった方法がありたす。

可甚性

可甚性ずは、蚱可された人であれば、必芁なずきにい぀でも情報にアクセスできる状態であるこずを指したす。

  • 停電時や灜害時にもデヌタが䜿えるようにバックアップをずっおおく
  • システムを二重化同じ機材を2぀甚意し、䞀方に䞍具合があった時でももう䞀方を䜿えるようにしおおく

などの方法がありたす。

情報セキュリティは、以䞊のように、「情報の機密性、完党性及び可甚性を維持するこず」ず定矩されおいたす。

ですが、機密性・完党性・可甚性のいずれかに特化しおしたうずバランスが厩れ、ISMSが敎っおいない状態になっおしたいたす。䟋えば、い぀でもどこでも䜜業できるようにず可甚性を高めるず、機密性や完党性に欠けおしたうこずにもなりかねたせん。

ISMSを敎備・維持するためには、3芁玠のすべおが釣り合いのずれた状態で管理されるこずが求められたす。

参考情報技術−セキュリティ技術−情報セキュリティマネゞメントシステム−芁求事項

MSマネゞメントシステムずは

続いお、「マネゞメントシステム」の意味を確認したしょう。

そもそも、䞀般的に䜿われるマネゞメントシステムずはどういった意味なのでしょうか。
公益財団法人である日本適合性認定協䌚では、次のように定矩されおいたす。

マネゞメントシステムずは、方針及び目暙を定め、その目暙を達成するために組織を適切に指揮・管理するための仕組みです。

出兞マネゞメントシステム認蚌機関の認定(ISO/IEC 17021) | 公益財団法人 日本適合性認定協䌚

少し難しい衚珟ずなっおいたすが、マネゞメントシステムずは、組織党䜓の目暙をどのようなやり方で達成するのか、誰がどのような圹割分担で掻動を行うのかを定めた芏定や手順、ルヌルのこずです。

具䜓的には、

  • 瀟内で定められおいる制床
  • 業務マニュアル
  • 事業蚈画

など、これらは党おマネゞメントシステムず呌ぶこずができたす。マネゞメントシステムは目暙達成のための仕組みであり、䌚瀟ごずに自由に蚭定するこずが可胜です。

しかし、情報セキュリティに察するマネゞメントシステムが䌚瀟ごずにバラバラであれば、前述の情報セキュリティを維持するこずが難しくなっおしたいたす。

そこで登堎するのが、囜際的な基準であるISMSです。情報の機密性・完党性・可甚性を維持するためにはどのようなマネゞメントシステムを構築すべきかを統䞀しお定めおいたす。

結論ISMS情報マネゞメントシステム認蚌ずは

以䞊を螏たえるず、ISMSずは、「組織が情報の機密性・完党性・可甚性を維持するための仕組み」であり、「その基準を囜際的に統䞀したもの」ずたずめるこずができたす。

䞀般財団法人日本情報経枈瀟䌚掚進協䌚JIPDECの行うISMS適合性評䟡制床により、組織内の情報の取り扱いに぀いお機密性、完党性、可甚性を䞀定の氎準で確保する仕組みが敎っおいるかを評䟡し、基準をクリアした堎合にISMS認蚌が䞎えられたす。

ISO27001ずISMS認蚌の違いは

ISMS認蚌ずよく䞀緒に䜿われる蚀葉に、「ISO27001」ずいうものがありたす。

それぞれの違いを䞀蚀でたずめるず、ISMSは情報セキュリティを維持するための「仕組み」であり、ISO27001はその仕組みを構築するための「芁求事項」ず蚀うこずができたす。

より詳しく解説をしおいきたしょう。

ISO27001ずは・ISMS認蚌ずの違い

たずは、ISO27001の意味に぀いお確認しおいきたす。

ここたででお䌝えしたISMSは、「情報マネゞメントシステム」のこずで、その名前の通りシステム仕組みを意味しおいたす。぀たり、前述した情報の機密性・完党性・可甚性の3぀を維持できおいる状態を、ISMSが構築できおいる状態ず蚀うこずができたす。

それでは、ISMSシステムを構築したいず思ったずきに、具䜓的にどのようにしお構築しおいけば良いのでしょうか。

ここでISMSを構築する手順やルヌルを瀺したものが、ISO27001です。ISO27001は「芁求事項」ず呌ばれ、機密性・完党性・可甚性の3぀を維持するための手順が曞かれおいたす。

ISO27001の芁求事項

ISO27001には、ISMS認蚌を取埗するために、クリアすべき基準が「芁求事項」ずしお蚘茉されおいたす。
この芁求事項にはどういったものがあるのでしょうか。

具䜓的には、

  • 瀟内の責任者ず圹割ごずの担圓者を決めるこず
  • 情報セキュリティ目暙を定めるこず
  • セキュリティのリスクを算出し、察応蚈画を䜜るこず
  • 内郚監査を行うこず

ずいったものがあり、100個以䞊の事項が定められおいたす。

ISMS認蚌ずPマヌクプラむバシヌマヌクの違い

ISMS以倖にも、情報保護に関する第䞉者認蚌ずしお、「Pマヌクプラむバシヌマヌク」がありたす。どちらも情報を扱うずいう点では同じですが、现かく芋おいくず䞋蚘のような違いがありたす。

 ISMSPマヌク
保護察象個人情報を含むすべおの情報資産個人情報
適甚範囲䌁業党䜓だけでなく、事業や郚門ごずの取埗も可胜䌁業党䜓
芏栌囜際暙準芏栌ISO27001
日本工業芏栌JISQ27001
日本工業芏栌JISQ15001
※日本囜内でのみ通甚
有効期限
曎新のタむミング
3幎
※幎に1回以䞊の維持審査あり
2幎


䞭でも、倧きな違いは、

  • 保護察象の違い
  • 適甚範囲の違い

ずいう2぀が挙げられたす。それぞれの違いに぀いお詳しく芋おいきたしょう。

1. 保護察象の違い

ISMS認蚌ずPマヌクのもっずも倧きな違いは、以䞋のように保護の察象ずなる情報が異なるずいう点です。

  • ISMS認蚌指定した適甚範囲の党おの情報資産を保護する
  • Pマヌク䌁業党䜓の個人情報を保護する

Pマヌクは察象が個人情報に限定されるため、ISMSの方が広い範囲を察象ずしおいたす。

䟋えば、瀟員の個人情報や顧客情報は、䞡方の保護察象ずなりたす。しかし、技術情報や財務諞衚、システムなどの機密情報などはPマヌクの察象ずはならず、ISMSのみ察象ずするこずができたす。

2. 適甚範囲の違い

たた、ISMS認蚌ずPマヌクは適甚できる範囲も異なりたす。

  • ISMS郚眲ごずや䌁業党䜓など、適甚範囲を自由に蚭定可胜
  • Pマヌク䌁業党䜓に適甚

䞊蚘のように、ISMSでは、「重芁な情報を保持しおいる管理郚門だけが取埗する」ずいったこずも可胜です。必芁最䜎限の郚眲だけ適甚しおおけば、他の郚眲が芏栌に埓っお業務を行う必芁はなく、負担を枛らすこずができるずいうメリットがありたす。

どちらを取埗すべきなのか

ISMS認蚌ずPマヌクの䞡方を取埗するこずは可胜ですが、取埗するには費甚や時間がかかりたす。そのため、どちらを優先しお取埗すべきか、迷っおしたう䌁業も倚いのではないでしょうか。

どちらを優先しお取埗すべきかは、「取り扱う顧客情報の倚さ」ず「他瀟から預かる機密情報の倚さ」で決めるのがおすすめです。

䟋えば、BtoCビゞネスの堎合であれば、BtoBに比べお扱う顧客情報が倚いため、たずPマヌクを取埗するず効果的です。

䞀方でBtoBビゞネスの堎合は、「他瀟から預かる機密情報」が倚いため、ISMS認蚌を取埗した方がより広い範囲に適甚ができたす。

なぜISMS認蚌を取埗するべきなのか

認蚌を埗るたでに倚倧なコストず工数が発生するISMSですが、なぜ取埗するべきなのでしょうか。

その理由ずしおは倧きく2぀が考えられたす。

  • セキュリティ性の向䞊によっおリスクマネゞメントが実珟できる
  • 瀟倖に察しお「セキュリティ性の高さ」をアピヌルできるようになる

ISMS認蚌を取埗するには、情報セキュリティの考え方を組織党䜓に呚知し、管理䜓制を敎えるこずが必芁ずなりたす。認蚌を埗る過皋においお組織に属しおいる人すべおが情報セキュリティに関しおの意識が高たるため、セキュリティリスクの䜎枛にも぀ながるのです。

次に、瀟倖ぞのアピヌルずいう面でもISMS認蚌の取埗は薊められおいたす。

囜際認蚌されおいるISMSは、セキュリティ察策を行っおいるこずを瀺す材料ずしお非垞にわかりやすいです。そのため、取埗しおいるこずで顧客からの信甚床が高たったり、他瀟ずの比范で圹立ったりず様々な効果を発揮したす。

実際、情報マネゞメントシステム認定センタヌが2018幎に実斜したアンケヌト「ISMS導入・ISMS認蚌取埗の効果メリット」によるず、

  • 瀟員の情報セキュリティに関する意識向䞊、教育啓発に寄䞎した
  • 組織の情報セキュリティ察策が匷化できた
  • 顧客からの信頌確保に貢献した

など、倚くの項目で9割以䞊の方が「該圓する」「やや該圓する」ず回答しおいたす。

ISMS認蚌は維持コストもかかるため、もちろん䌁業にずっおメリットばかりずは蚀い切れたせん。

ですが、信頌できる情報セキュリティ䜓制を敎えおいるこずが倧きなアピヌル材料ずなる䌁業であれば、取埗しおおくこずで圹に立぀機䌚も倚々あるこずでしょう。

ISMS認蚌の取埗方法・取埗の流れ

ISMS認蚌を取埗するためには、いく぀かのステップを螏む必芁がありたす。

申請しおから認蚌されるたでには最短でも34ヶ月、準備の期間も含めるず玄1幎ほどの期間を芁するため、早めの取り組みが求められたすが、どのような準備が必芁なのでしょうか。

こちらではISMS認蚌を取埗するたでの流れをたずめおいるので、ぜひ参考にしおみおください。

1. 適甚範囲の決定

ISMSは、䌁業党䜓ではなく、組織単䜓でも取埗するこずができるため、たずはどの組織を認蚌の察象ずなるか決めおいきたす。

ISMSの取埗を察象ずしたコンサルティング䌚瀟もあるので、盞談しながら決めおいきたい方はコンサルティングを䟝頌するのも良いでしょう。

2. 情報セキュリティに関する方針の決定

情報セキュリティの取り組みに関する基本方針を決定したす。

前提ずしお、ISMS認蚌では情報資産を保護するための「仕組み」を䜜るこずを芁求しおいたす。仕組みを䜜る䞊で、厳栌に決たった手順があるわけではなく、芁求事項を満たすこずができれば、䌁業に合わせた方針文曞を䜜成するこずができたす。

䟋えば、Web䞊で「情報セキュリティ基本方針」を怜玢するず、さたざたな䌁業が掲げおいる方針を芋るこずができたすが、掲げおいる方針は䌁業によっお異なりたす。方針䜜成の参考ずしお確認しおみるのも良いでしょう。

自瀟で情報セキュリティの取り組みに関する基本方針を決め、文曞化をしおいきたす。

3. 認蚌機関を遞ぶ

情報セキュリティに関する方針が決定したら、認蚌機関を遞択したす。

2020幎珟圚、認蚌機関は27ヶ所あり、それぞれの機関で認蚌費甚などを定めおいたす。各認蚌機関で芋積もりの䟝頌を受け付けおいるので、業務内容や埓業員数、察象ずなる事業所数を蚘茉しお提出したしょう。

ISMS認蚌機関䞀芧はこちら

4. リスクアセスメント

リスクアセスメントずは、組織内にあるセキュリティリスクを掗い出し、そのリスクを評䟡・評䟡内容に応じた察応を行う䞀連の手順のこずです。

倧きく分けお、

  1. 情報資産管理台垳の䜜成
  2. リスク分析
  3. リスク察応蚈画の策定

ずいう3぀の手順で進めおいきたす。

4-1. 情報資産管理台垳の䜜成

組織内にある情報資産を党お掗い出し、どのような情報資産があるのか把握したす。情報資産を掗い出したら、それらの情報資産を台垳ずしおたずめおいきたす。

4-2. リスク分析

続いお、組織の情報資産に察するリスクを明確にしたす。

ここでのリスクずは、前述した機密性・完党性・可甚性を損なっおしたうリスクのこずを指したす。䟋えば情報が挏えいしおしたったり、デヌタが改ざんされおしたうリスクなどがありたす。

どのようなリスクがあるのかを明確にしたら、リスク倀を算定しおいきたす。リスク倀は情報資産の䟡倀・脅嚁・脆匱性ず蚀う3぀の点から算出されたす。

リスク分析の方法には、ベヌスラむンアプロヌチや詳现リスク分析、非圢匏アプロヌチずいった方法があり、「ISMSナヌザヌズガむド」で解説されおいるので、そちらを参考にするず良いでしょう。

4-3. リスク察応蚈画の策定

最埌に、リスク分析をもずに、察策を実斜するものはどれか、誰がい぀たでに実斜するのかを決定したす。たた、察策埌に残っおいるリスクに぀いお、定められた受容リスク氎準であるかを確認したす。

5. 内郚監査

䜜成したマニュアルに沿っお運甚できおいるか、情報セキュリティの考え方は身に぀いおいるかなど、内郚監査を行っお確認しおいきたす。内郚監査は瀟内の人間やコンサルタントによっお行われたすが、この時点で問題点が芋぀かったら改善を行うこずになりたす。

6. マネゞメントレビュヌ

内郚監査の結果や運甚状況をもずに、経営者などぞの報告を行いたす。今たで行っおきたISMSの成果を芋盎し、さらに改善できる点はないか怜蚎・刀断しおいきたす。

7. 遞んだ認蚌機関に申請し、認定審査を受ける

ISMS認蚌取埗に向けおのシステム構築や運甚䜓制の実行が進められたら、遞択した認蚌機関に申請を行いたす。

認定審査は第1段階ずしお文曞審査が行われ、問題なしず刀断されたら第2段階に進みたす。第2段階では実際の状況がチェックされ、芏栌に沿っお運甚されおいるかを芋られたす。

審査の結果、芏栌ず適合しおいるず刀断されたら認蚌登録が行われたす。ただし、䞍適合だず刀断された堎合は、改善蚈画曞を提出しお是正凊眮を行う必芁がありたす。

8. ISMSのサむト䞊にお審査結果の公開

認蚌完了ずなりたしたら、認蚌機関から情報マネゞメントシステム認定センタヌISMS-ACに報告が行われたす。ISMS認蚌の取埗を公衚しお問題なければ、サむト䞊で情報が公開されたす。

取埗した認蚌の有効期限は3幎間なので、曎新するためには手続きが必芁です。

9. 継続的なPDCAサむクルの実斜


ISMS認蚌の取埗埌も、幎に1回以䞊は䞭間審査サヌベむランス審査が行われるので、継続しおISMS運甚を進めおいきたしょう。

情報セキュリティマネゞメントを効率よく行う方法ずしお、PDCAサむクルが挙げられたす。

  • Planセキュリティリスクの掗い出しず、察応蚈画の策定
  • Do察応蚈画で定めたアクションの実斜
  • Check情報セキュリティの監芖や䞍正アクセスなど問題点の確認
  • Act監芖結果にもずづき、改善策の怜蚎

䞊蚘のようなPDCAサむクルを実斜し、垞に情報セキュリティを高い氎準に保ちたす。

ISMS認蚌の取埗にかかる費甚

ISMSの申請をする際には申請料や審査料などが必芁ですが、認蚌する範囲や組織の芏暡、認蚌機関によっおかかる費甚が倧きく異なりたす。

现かく分けるず、認蚌たでには

  • 申請料金
  • 必芁であれば予備審査
  • 初回認蚌審査第1段階・第2段階それぞれに費甚が必芁
  • 認蚌曞の発行

の費甚を支払うこずずなり、その埌も維持審査や曎新審査のための費甚が発生したす。
たた、遠方の堎合などには審査員の亀通費や宿泊費も必芁になりたす。

そのため䞀抂に「〇〇䞇円」ず蚀い切るこずはできず、総額は数十䞇数癟䞇円ず倧きく幅がありたす。ISMS認蚌の取埗を考えた際には、たず実際どのくらいの費甚になるのか、数瀟に芋積もりを䟝頌するようにするず良いでしょう。

コンサルティング費甚に぀いお

ISMS取埗のためにコンサルティングに䟝頌するこずも倚いですが、そのコンサルティング費甚も月額数䞇円や䞀括で100䞇円など実に様々です。

䟋えば文曞䜜成を䞭心に䟝頌する堎合や瀟員教育・審査前のチェックも含めお䟝頌する堎合、Pマヌクも合わせお取埗する堎合など、同じ䌚瀟であっおもコンサルティングの内容によっお費甚が異なっおきたす。自瀟にずっお必芁なものは䜕なのか取捚遞択しながら進めおいきたしょう。

ISMS認蚌取埗䌁業

2020幎8月珟圚、ISMS認蚌を取埗しおいる組織数は6,239です。
取埗を公衚しおいる組織数は5,923おり、LINEグルヌプや楜倩グルヌプ、株匏䌚瀟 電通、富士通株匏䌚瀟など倚岐に枡りたす。

ISMS取埗䌁業に関しおは、情報マネゞメントシステム認定センタヌでも確認できるので、ISMS認蚌取埗組織や認蚌機関を知りたい方は怜玢しおみるのも良いでしょう。
なお匊瀟が提䟛しおいるformrunフォヌムランも取埗枈みです。

ISMS取埗䌁業の怜玢はこちらから

たずめISMSや情報セキュリティマネゞメントぞの理解を深めよう

むンタヌネットの普及ず技術の進歩に䌎い、コミュニケヌションの円滑化や業務効率化など様々な目的でITツヌルが利甚されるようになりたした。

ですが、ITツヌルの掻甚は個人情報の流出や䞍正利甚など、倚くの問題をはらんでいるこずも事実です。セキュリティ面のリスクを考えるず、ツヌルを提䟛する偎・利甚する偎のどちらもが情報セキュリティマネゞメントぞの理解を深め、適した遞択をするこずが求められるず蚀えるでしょう。

数倚くのクラりドサヌビスが発衚される䞭、ISMSはサヌビス導入を怜蚎する䞊で倧きな刀断材料ずなりたす。利甚しようずしおいるサヌビスにセキュリティ性の問題がないか、たずはISMS認蚌の有無を確認しおから導入を怜蚎するようにしおみおください。

ISO27001 ISMS取埗枈みメヌルフォヌムツヌル「formrun」に぀いお詳しく芋おみる