ISMSとは何かご存知でしょうか。昨今ではITやセキュリティ関連の用語も増えており、曖昧になっている方もいらっしゃるでしょう。

しかし、2025年の崖問題が迫る中、DXの推進とともにISMSについてもしっかりと考える必要があります。

今回は、ISMSに関する基礎知識、また企業や組織におけるISMSの構築・運用についてご説明します。

ISMSに関する基礎知識

はじめにISMSに関する基礎知識を押さえておきましょう。

ISMS( Information Security Management System )とは

ISMSはInformation Security Management Systemの略称であり、情報セキュリティマネジメントシステムを意味します。ISOやJISでISMSの策定や実施における標準的な仕様等が定められおり、企業や組織として策定した基準や内容に沿ってこれを実施し、内部監査や第三者機関による監査によって評価される仕組みです。評価によっては是正措置や改善を行うことで、より情報セキュリティに関するリスクや脅威を防ぐことが主な目的と言えます。

PDCAを思い浮かべるとわかりやすく、計画・実行・評価・改善という流れで、情報セキュリティに関するアップデートの体制を整える仕組み、と言った方がわかりやすいでしょう。

ISOやJISについておさらい

ISOはInternational Organization for Standardizationの略称であり、国際標準化機構を意味します。JISはJapanese Industrial Standardsの略称で、日本における標準的な産業規格を定めている機関です。

ISO及びJISで定められた基準や規程を守ることで一定水準の品質を保てることから、やみくもにISMSの策定や実施、監査や改善を行うよりも効率的であり、さまざまな企業や組織においてもISO及びJISを基本としています。

ISMSはISOではISO 27001として、JISではJIS Q 27001として規定されており、一般的には最新版であるISO/IEC 27001:2013（JIS Q 27001:2014と同等）が指標として取り入られています。

企業や組織におけるISMSの必要性

ISMSは情報セキュリティリスクやサイバー攻撃への対策、または内部不正や社内や組織内におけるインシデントを防ぐのが目的であり、企業や組織における必要性と言えます。高度に成長したIT技術においては、目視によるチェックや注意喚起だけでは防ぎ切れない課題や問題が発生します。もちろん、目視によるチェックや注意喚起、セキュリティ意識の向上も必須ですが、同時にシステム的な防御、企業や組織として情報セキュリティを管理する仕組みを導入しなくてはなりません。

ISMSを策定し実施すること、監査によって問題点や課題を発見し、改善するという流れを作らなければ、何が問題なのかがわからず、常にセキュリティリスクやサイバー攻撃、または内部不正や社内や組織内におけるインシデント発生のリスクを抱え続けることになります。

ISMSに関連する用語や事柄

次にISMSに関連する用語や事柄についてご説明します。

情報セキュリティリスク

情報セキュリティリスクとは、情報資産及びIT資産、もしくは社内や組織として構築・運営するシステムやサービスに何らかの被害を与えるリスクを指します。情報セキュリティリスクはサイバー攻撃や内部不正、情報漏洩や流出、マルウェア感染、不正アクセス、不正ログインなどIT技術を用いる場合に避けては通れないリスクばかりです。また、OSやソフトウェア、システムやツールの脆弱性なども情報セキュリティリスクであり、対外的なセキュリティ対策を考える必要があります。

セキュリティインシデント

セキュリティインシデントとは、悪意のある第三者によるサイバー攻撃、または従業員や顧客も含めて何らかの予期せぬ行動によって結果的に事件や事故につながってしまうような脅威を指します。サイバー攻撃への対策はもちろんのこと、悪意はなくともネガティブな結果につながってしまうような行動や作業を起こさせないこと、起きた時に対処や改善する仕組みがなければ再発する恐れがあります。

例えば、顧客情報の入ったUSBメモリの置き忘れや盗難といったインシデントにおいて、そもそも持ち運ぶ必要があったのか、暗号化されていなかったのか、内部不正や悪意のある行動でなかったかを検証したり、改善するための措置を取ったりすることが挙げられます。サイバー攻撃への対策においても、システム的な防御に加えて、従業員へのセキュリティインシデントとなる情報の共有や周知徹底など、多角的に対策を取らなくてはなりません。

リスクマネジメント

リスクマネジメントは、リスクの特定や分析、評価や対応を行う仕組みを指しており、ISMSには欠かせない要素と言えます。そもそも、リスクとして扱われていない業務プロセスや作業内容も少なくないため、当たり前に業務を遂行しているつもりが、実はリスクの高い手順の場合もあります。

また、サイバー攻撃においても通常の業務の流れや決まった動き、または担当や個人レベルで攻撃されることもあり、ちょっとした隙間を狙われたばかりに、パソコンやサーバー、システムを乗っ取られてしまうようなことも考えられます。リスクマネジメントによってリスクを特定し、分析、評価、対応することの必要性も、ISMSと併せて理解しておくべきと言えるでしょう。

企業や組織におけるISMSの構築・運用について

次に、企業や組織におけるISMSの構築・運用についてご説明します。

ISMSの方針や計画の策定及び実施

ゼロベースでISMSの方針や計画の策定を行う場合は、ISMS認証を意識することから始めましょう。ガイドラインに沿って定めていくことで、ISMS認証を取得できるレベルの策定が行えるようになるからです。ある程度の枠組みができた時点で実施し、実際にPDCAサイクルが回るかどうかをチェックするのがおすすめです。

ISMS認証を得るための審査によって、問題点や課題が浮き彫りになりますので、それらを改善し、ISMS認証を取得することを目標として取り組みましょう。実際問題としていきなり情報セキュリティマネジメントシステムを導入しようとしても、指標やベースとなるものがなければ、策定や実施する意味がありません。ISOやJISの規定とともにISMS認証を取得することで、対外的にもアピールになりますし、何よりも社内や組織内における具体的かつ実用的なISMSの策定や実施、評価や改善が可能となるでしょう。

内部監査や第三者機関による監査

前述したISMS認証とともに、内部監査や第三者機関による監査についても考えておきましょう。ISMSを策定した人が自分自身で評価や改善すべきではない、ということではありませんが、客観的な評価があることで、見えない部分の問題や課題の発見につながるというメリットがあるためです。

監査や審査と聞くと身構える方もいらっしゃいますが、実際にはリスクを軽減及びゼロにするため、不要な被害やネガティブな結果を避けるために必要なことであると理解しておくべきです。同時にリスクやインシデントによって発生するコストで企業や組織としての利益や売上を目減りさせないため、社会や従業員に還元するために必要であるという意識を持つことが大切です。

IT資産管理及び情報資産管理の導入を

ISMSの基礎的な知識や関連する情報、構築や運用を見てもピンと来ない場合もあるでしょう。もし、セキュリティに関するベースとなるシステムや仕組みが導入されていないのであれば、まずはIT資産管理及び情報資産管理の導入をおすすめします。

当社の提供する「AssetView」であれば、サイバー攻撃対策、内部不正対策に対応している他、物理的なデバイスの管理、蓄積されたデータの保護など、幅広い範囲のリスク対策につながります。ISMSを策定するためのベースとなるシステムとしても役立ちますので、もしお悩みであれば、この機会にご相談、お問い合わせください。

まとめ：DXの推進とISMSの運用を並行して行おう

今回は、ISMSに関する基礎知識や企業や組織におけるISMSの構築・運用についてご説明しました。

DXの推進、すなわちデジタルトランスフォーメーションを進めるためには、並行してISMSの構築や運用は欠かせません。極端なことを言えば、最新のIT技術を導入したのは良いけれど、企業や組織におけるセキュリティリスクや脆弱性を増やすだけの結果になってしまうということも起こり得るからです。

DXの推進を安心・安全に進めるため、もしくは情報資産及びIT資産、企業や組織とその従業員を守るためにも、ISMSの構築や運用、策定や実施を導入することをおすすめします。

もし、ISMSの運用でお困りであれば、前述したように当社の提供する情報資産管理ソフト「AssetView」をISMSの導入の基点として併せてご検討ください。