ISMSとは?取得のメリットや改訂版について解説
- INDEX
-
ISMS(情報セキュリティマネジメントシステム)は、急速に進化し続けるデジタル環境下にあって、それに付随する形で拡大するさまざまな脅威に対抗するための世界的な取り組み・仕組みを指します。
この記事では、ISMSや国際規格ISO/IEC27001の概要、ISMSを導入するメリット・デメリット、ISO27001:2022の変更点、取得の方法について解説します。
すぐわかる! "AssetView資料セット" はコチラ >>
ISMSとは何か その目的は なぜ企業が導入すべきなのか
ISMSとはInformationSecurityManagementSystemの略称であり、日本語では情報セキュリティマネジメントシステムと呼ばれます。情報セキュリティのためのさまざま対策、その計画や運用といったマネジメントまで含めて監査の対象とする規格のことです。
日本では「JISQ27001」となりますが、ISOでも「ISO/IEC27001」として制定されています。企業などの組織がISMSを確立し、実施・維持・継続的に改善するための要求事項を提供することを目的として作成されています。
ISO、JISについて確認
ISOはInternationalOrganizationforStandardizationの略称であり、国際標準化機構を意味します。JISはJapaneseIndustrialStandardsの略称で、日本における標準的な産業規格を定めている機関です。
ISO及びJISで定められた基準や規程を企業や組織が守ることで、一定水準以上の品質が担保・評価され、消費者との間に信頼性が確保されます。
ISMSは、ISOではISO27001として、JISではJISQ27001として規定されており、一般的には最新版であるISO/IEC27001:2022(JISQ27001)が指標として取り入られています。
ISMSの目的と情報セキュリティの3要素
ISMSは、企業や組織が総合的にセキュリティ管理を行うための運用システムです。
情報セキュリティの3要素とされる「機密性」「完全性」「可用性」を規格に沿って実現することで、組織内のセキュリティ管理を高い水準で維持し、それを第三者に評価されることで、対外的な信頼を得ることにもつながるという仕組みです。
ここでいう機密性とは、顧客データや社員データなど、企業にとって重要度の高い情報を、アクセスする人員を制限するなどの措置によって、漏洩や悪用などのリスクから守ることを意味します。
また完全性とは、サイバー攻撃による情報の改ざん、組織内のデータ管理ミス、天災などによるデータの破損や損失も含めて、企業の継続を脅かすインシデントに目を光らせ、適切な管理でそれを防御することを指します。
可用性は、データを厳重に守るだけでなく、それを適切かつ安全に使うことができる環境を整備することを意味します。仮に不測の事態によりシステムが何らかの影響を被った場合でも、それをいち早く復旧し、使える状態に戻すことなどが重要とされています。
3要素をいかに活かすか
情報セキュリティというと、データの誤送信や資料の紛失、ノートパソコンの盗難などをイメージするのが一般的ですが、不正アクセスによりデータの一部が改ざんされたり、事故や災害で破損したりしても大問題になります。しかし一方で、情報漏洩のリスクを恐れるあまり、厳重に蓋をして情報を閉じ込めてしまっては、データ活用の部分で競合他社に遅れを取り、時代の流れに逆行してしまうことになります。
上記したシンプルな3要素を念頭に、ISMSが推奨するシステムを確立し、社内ルールを浸透・徹底させることで、高度な情報セキュリティを維持しながら、IT技術の恩恵を今後も享受していくことが可能になるのです。
ISMSとPマーク(プライバシーマーク)の違い
ISMSとよく比較される認証制度に「Pマーク(プライバシーマーク)」があります。両者の主な違いは、保護の対象範囲と適用規格にあります。Pマークは個人情報の保護のみを対象とし、日本国内の規格(JIS Q 15001)に基づきますが、ISMSは個人情報を含む情報資産全般を対象とし、国際規格(ISO/IEC 27001)に準拠しています。
取得単位と有効期間の違い
取得単位において、Pマークは「法人単位」での取得が必須ですが、ISMSは「事業所単位」や「部署単位」など、組織の一部のみで取得することが可能です。また、有効期間については、Pマークは2年ごとの更新が必要ですが、ISMSは3年ごとの更新(ただし1年ごとに維持審査あり)となっており、運用サイクルにも違いがあります。
企業や組織がISMSを取得することの4つのメリット
上述したように、ISMSは情報セキュリティ対策やコンプライアンスを強化したい企業によって、導入により大きなメリットが見込めます。ISMS導入の具体的なメリットを以下で解説します。
情報セキュリティのレベルが向上する
情報セキュリティの専任チームが在籍するような大きな企業や組織であれば、自らの指針や方針によって必要なセキュリティ対策を講じて運用することも可能ですが、ISMSは、そうではない多くの企業であっても適用できる、総合的な情報セキリュティマネジメントの仕組みです。指針に従うことで具体的に何をすべきかが理解でき、規格に沿うことで情報セキュリティのレベルを向上させることができます。
先に挙げた情報セキュリティの3要素を脅かすものとして、脅威と脆弱性という、大別して2種類のリスクが存在します。これに対応するため、低減、保有、回避、移転という4つの対応方法が定義されています。
リスクの低減
自社内や情報システムが持っている脆弱性に対して何かしらの対策を実施・導入することにより、その発生頻度を低くする方法です。具体的な方法としては暗号化、従業員の教育、鍵をかけるなどの物理的な対策などが挙げられます。
リスク保有
リスク保有とは、対策を行わずにこれを受け入れるという考え方です。リスクが発生した時の影響が小さく、対策のための費用が大きくかかる場合などに選択される、現状維持というスタンスです。
リスク回避
発生が予測されるリスクを回避するための行動を取るということで、一般的に認知されている情報セキュリティの方法と言えます。たとえば個人情報の漏洩リスクを回避するために、個人情報を受け取らないで済む方法を導入する、といったことがこれにあたります。
リスク移転
リスク移転とは、リスクを別の組織、第三者などに移して、自分たちの責任範囲外にするという方法です。分かりやすい例では、災害時のシステムダウンを防ぐため、サーバーをクラウド環境に移すことなどが挙げられます。
従業員の意識改革 企業文化の改善
ISMSを導入・管理し、ルールを設定することで、従業員の情報セキュリティに対する意識が変わり、ルール遵守の意識が向上します。ルールが明確に定められることでヒューマンエラーの抑止効果や、内部不正の動きを未然に封じる効果が期待できます。
従業員ひとりひとりの意識が変わることで健全な企業文化が形成され、それは情報セキュリティ対策の長期的な成功の礎になります。組織内の全員が潜在的なリスクを認識し、セキュリティ管理が必要な理由を理解するのに役立ちます。
情報セキュリティにおいて、すべてて適合する万能のソリューションはありませんが、ISMSによってビジネスのあらゆる側面をカバーする統合的なアプローチを採用することで、安全な作業環境を維持しながら、各従業員がより効果的に業務を遂行できるようになります。
顧客や取引先からの信頼を得られる
組織がどのような情報セキュリティ対策を実施しているか、外部から詳細を知ることはできません。組織がそのことをアピールしたとしても、期待されるような反応は得られないでしょう。しかし、全世界共通の一貫した基準で情報セキュリティ環境を審査するISMS認証の取得によって、その取り組みが客観的に証明され、顧客や取引先の信頼を獲得することにつながります。
情報セキュリティコストの削減
ISMSを導入することで、セキュリティ対策への支出を論理的かつ合理的に行うことができます。ISMSを導入することで、高価なテクノロジーに投資して未知なる脅威のすべてに対抗しようとするのではなく、リスクの評価と分析が可能になることによって、必要なセキュリティ対策のみ効率的に行うことができるようになります。
情報漏洩などの打撃や莫大な損害を例として持ち出すまでもなく、コストパフォーマンスに優れた方法で潜在的な脅威に対抗できるようになります。
すぐわかる! "AssetView資料セット" はコチラ >>
ISMSを取得するデメリット
運用にかかる工数と業務負担の増加
ISMS認証を取得するためには、情報資産の洗い出しやリスク分析、ルールの策定など、膨大な準備作業が必要になります。また、取得後も決められたルールに従って業務を行う必要があり、定期的な記録や見直しが求められるため、従業員の業務負担が増加する傾向にあります。通常業務と並行して運用するための体制づくりが重要です。
審査や維持更新にかかる費用
認証取得には、コンサルティング費用や審査機関へ支払う審査費用などの金銭的なコストが発生します。費用は組織の規模や拠点数によって異なりますが、初期費用だけでなく、毎年の維持審査や3年ごとの更新審査にも費用がかかるため、長期的な予算計画を立てておく必要があります。
ISMS認証取得までの流れ
ISMS認証を取得するためには、準備から審査、登録まで計画的に進める必要があります。一般的な取得期間は半年から1年程度とされており、自社のリソースだけで行うか、外部のコンサルタントを利用するかによっても期間は変動します。ここでは、認証取得に向けた主なステップを解説します。
適用範囲の決定と体制の構築
まず、組織内のどの範囲(全社、特定部署、特定の事業所など)でISMSを取得するかを決定します。範囲が決まったら、情報セキュリティの責任者や担当者を任命し、推進体制を整えます。経営陣が主体的に関与し、組織全体の方針として情報セキュリティに取り組む姿勢を示すことが成功の鍵となります。
リスクアセスメントの実施と文書化
適用範囲内の情報資産を洗い出し、それぞれの資産に対する脅威や脆弱性を分析する「リスクアセスメント」を実施します。特定されたリスクに対して適切な管理策(対策)を決定し、情報セキュリティ方針や各種手順書などの文書を作成します。作成したルールは従業員に周知し、実際の業務で運用を開始します。
認証機関による審査
運用の実績ができたら、認証機関による審査を受けます。審査は通常2段階で行われます。第1段階審査では主に文書類が規格に適合しているかが確認され、第2段階審査では実際に現場でルール通りに運用されているかがチェックされます。審査で不適合が指摘された場合は、是正処置を行い、改善を報告します。
認証登録と継続的な運用
審査に合格するとISMS認証として登録され、登録証が発行されます。取得後は、PDCAサイクル(計画・実行・点検・処置)を回し続けることが求められます。定期的な「内部監査」や経営層による「マネジメントレビュー」を実施し、システムの有効性を継続的に評価・改善していくことで、3年ごとの更新審査に備えます。
ISMSの最新版、ISO27001:2022の変更点
情報セキュリティ管理システムの要件を定めた国際規格であるISMS(ISO27001)が、2022年10月25日に規格改定されました。ISMS認証では、規格改訂発生時には、一定期間内に新規格に対応した状態で再審査を受ける必要があります。ISMS認証を取得済みの企業は、2022年10月31日から以降3年間、2025年10月31日までに、移行審査の通過が必要です。また、これから新たにISO27001を認証取得する企業も2024年4月30日以降は新規格(ISO27001:2022)の認証取得が必須になります。
カテゴリーの統合と新たに追加された11の管理策
ISMSの新しい規格では、情報セキュリティ管理の全体の項目数が21個減少し、新たに11個が追加されています。また58の管理策が更新され、管理策のカテゴリーが14から4へと統合されています。
4つの管理策のカテゴリーは以下となります。
管理策の詳細については割愛しますが、管理策を少ないカテゴリーに統合したことで、導入障壁が減少したと感じる人が多いのではないでしょうか。
今回追加された11の管理策は以下となります。
組織的管理策
脅威インテリジェンス(脅威に関する情報を収集・分析し、適切な対策を講じる)
クラウドサービス利用における情報セキュリティ(クラウドサービス内の機密情報の保護やセキュリティ要件の整備)
事業継続のためのICTの備え(事業継続のために、必要な情報やシステムを準備)
物理的管理策
物理的セキュリティのモニタリング(オフィスや製造施設などの物理的な場所へのアクセス制限を確保)
技術的管理策
構成管理(セキュリティ確保のためにデバイスの構成を管理し、一貫性を維持)
情報の削除(不要なデータや保存期間が経過したデータを削除)
データマスキング(機微情報の保護のためにデータマスキングを導入し、アクセス制限を適用)
データ漏洩防止(機微情報の不正公開を防止するためにデータ漏洩防止策を適用)
アクティビティモニタリング(異常な行動の監視を行い、インシデントを早期に検知)
Webフィルタリング(ユーザーのWebアクセスに対するセキュリティ対策を管理)
セキュリティに配慮したコーディング(安全なコーディング技術の確立を組織全体で行い、ソフトウェア開発におけるセキュリティ脆弱性を軽減)
ISO270001規格改定で対応すべきこと
ISO/IEC27001の規格改定に対応するために企業が行うべきことは、新規格の内容を理解し、ギャップ分析を実施して現在のISMSとの違いを把握することです。その後、必要なポリシーや手順を更新し、新要件を実装します。従業員に対する教育と専門トレーニングを行い、内部監査とマネジメントレビューを通じてISMSの有効性を確認します。
最後に、認証機関との連携を図り、再認証監査の準備を行います。これにより、企業は新しい規格に適合し、情報セキュリティを強化できます。
まとめ:DXの推進とISMSの運用を並行して行おう
情報セキュリティの重要性がますます高まる中、最新の脅威や情報セキュリティの動向についても注意を払い、意識やシステムを常にアップデートし続けることが、企業や組織を継続的に存続させる鍵になります。
統合型IT運用管理「AssetView」では、新規格(ISO27001:2022)に対応した様々なソリューションを提供しております。クラウドでもオンプレミスと機能差がなくご利用いただけるため、お客様の管理体制に合わせたプランをご提案いたします。また、すぐにご覧いただける「AssetViewISO27001:2022対応表」をご用意いたしましたので、是非ご一読ください。
すぐわかる! "AssetView資料セット" はコチラ >>
