ISMS(情報セキュリティマネジメントシステム)は、急速に進化し続けるデジタル環境下にあって、それに付随する形で拡大するさまざまな脅威に対抗するための世界的な取り組み・仕組みを指します。

この記事では、ISMSや国際規格ISO/IEC27001の概要、ISMSを導入するメリット・デメリット、ISO27001:2022の変更点、取得の方法について解説します。

ISMSとは何か その目的は なぜ企業が導入すべきなのか

ISMSとはInformation Security Management Systemの略称であり、日本語では情報セキュリティマネジメントシステムと呼ばれます。情報セキュリティのためのさまざま対策、その計画や運用といったマネジメントまで含めて監査の対象とする規格のことです。

日本では「JIS Q 27001」となりますが、ISOでも「ISO/IEC 27001」として制定されています。企業などの組織がISMSを確立し、実施・維持・継続的に改善するための要求事項を提供することを目的として作成されています。

ISO、JISについて確認

ISO及びJISで定められた基準や規程を企業や組織が守ることで、一定水準以上の品質が担保・評価され、消費者との間に信頼性が確保されます。

ISMSは、ISOではISO 27001として、JISではJIS Q 27001として規定されており、一般的には最新版であるISO/IEC 27001:2022（JIS Q 27001）が指標として取り入られています。

ISMSの目的と情報セキュリティの3要素

ISMSは、企業や組織が総合的にセキュリティ管理を行うための運用システムです。

情報セキュリティの3要素とされる「機密性」「完全性」「可用性」を規格に沿って実現することで、組織内のセキュリティ管理を高い水準で維持し、それを第三者に評価されることで、対外的な信頼を得ることにもつながるという仕組みです。

ここでいう機密性とは、顧客データや社員データなど、企業にとって重要度の高い情報を、アクセスする人員を制限するなどの措置によって、漏洩や悪用などのリスクから守ることを意味します。

また完全性とは、サイバー攻撃による情報の改ざん、組織内のデータ管理ミス、天災などによるデータの破損や損失も含めて、企業の継続を脅かすインシデントに目を光らせ、適切な管理でそれを防御することを指します。

可用性は、データを厳重に守るだけでなく、それを適切かつ安全に使うことができる環境を整備することを意味します。仮に不測の事態によりシステムが何らかの影響を被った場合でも、それをいち早く復旧し、使える状態に戻すことなどが重要とされています。

3要素をいかに活かすか

情報セキュリティというと、データの誤送信や資料の紛失、ノートパソコンの盗難などをイメージするのが一般的ですが、不正アクセスによりデータの一部が改ざんされたり、事故や災害で破損したりしても大問題になります。しかし一方で、情報漏洩のリスクを恐れるあまり、厳重に蓋をして情報を閉じ込めてしまっては、データ活用の部分で競合他社に遅れを取り、時代の流れに逆行してしまうことになります。

上記したシンプルな3要素を念頭に、ISMSが推奨するシステムを確立し、社内ルールを浸透・徹底させることで、高度な情報セキュリティを維持しながら、IT技術の恩恵を今後も享受していくことが可能になるのです。

企業や組織がISMSを取得することの4つのメリット

上述したように、ISMSは情報セキュリティ対策やコンプライアンスを強化したい企業によって、導入により大きなメリットが見込めます。ISMS導入の具体的なメリットを以下で解説します。

情報セキュリティのレベルが向上する

情報セキュリティの専任チームが在籍するような大きな企業や組織であれば、自らの指針や方針によって必要なセキュリティ対策を講じて運用することも可能ですが、ISMSは、そうではない多くの企業であっても適用できる、総合的な情報セキリュティマネジメントの仕組みです。指針に従うことで具体的に何をすべきかが理解でき、規格に沿うことで情報セキュリティのレベルを向上させることができます。

先に挙げた情報セキュリティの3要素を脅かすものとして、脅威と脆弱性という、大別して2種類のリスクが存在します。これに対応するため、低減、保有、回避、移転という4つの対応方法が定義されています。

リスクの低減

自社内や情報システムが持っている脆弱性に対して何かしらの対策を実施・導入することにより、その発生頻度を低くする方法です。具体的な方法としては暗号化、従業員の教育、鍵をかけるなどの物理的な対策などが挙げられます。

リスク保有

リスク保有とは、対策を行わずにこれを受け入れるという考え方です。リスクが発生した時の影響が小さく、対策のための費用が大きくかかる場合などに選択される、現状維持というスタンスです。

リスク回避

発生が予測されるリスクを回避するための行動を取るということで、一般的に認知されている情報セキュリティの方法と言えます。たとえば個人情報の漏洩リスクを回避するために、個人情報を受け取らないで済む方法を導入する、といったことがこれにあたります。

リスク移転

リスク移転とは、リスクを別の組織、第三者などに移して、自分たちの責任範囲外にするという方法です。分かりやすい例では、災害時のシステムダウンを防ぐため、サーバーをクラウド環境に移すことなどが挙げられます。

従業員の意識改革 企業文化の改善

ISMSを導入・管理し、ルールを設定することで、従業員の情報セキュリティに対する意識が変わり、ルール遵守の意識が向上します。ルールが明確に定められることでヒューマンエラーの抑止効果や、内部不正の動きを未然に封じる効果が期待できます。

従業員ひとりひとりの意識が変わることで健全な企業文化が形成され、それは情報セキュリティ対策の長期的な成功の礎になります。組織内の全員が潜在的なリスクを認識し、セキュリティ管理が必要な理由を理解するのに役立ちます。

情報セキュリティにおいて、すべてて適合する万能のソリューションはありませんが、ISMSによってビジネスのあらゆる側面をカバーする統合的なアプローチを採用することで、安全な作業環境を維持しながら、各従業員がより効果的に業務を遂行できるようになります。

顧客や取引先からの信頼を得られる

組織がどのような情報セキュリティ対策を実施しているか、外部から詳細を知ることはできません。組織がそのことをアピールしたとしても、期待されるような反応は得られないでしょう。しかし、全世界共通の一貫した基準で情報セキュリティ環境を審査するISMS認証の取得によって、その取り組みが客観的に証明され、顧客や取引先の信頼を獲得することにつながります。

情報セキュリティコストの削減

ISMSを導入することで、セキュリティ対策への支出を論理的かつ合理的に行うことができます。ISMSを導入することで、高価なテクノロジーに投資して未知なる脅威のすべてに対抗しようとするのではなく、リスクの評価と分析が可能になることによって、必要なセキュリティ対策のみ効率的に行うことができるようになります。

情報漏洩などの打撃や莫大な損害を例として持ち出すまでもなく、コストパフォーマンスに優れた方法で潜在的な脅威に対抗できるようになります。

ISMSの最新版、ISO27001:2022の変更点

情報セキュリティ管理システムの要件を定めた国際規格であるISMS(ISO27001)が、2022年10月25日に規格改定されました。ISMS認証では、規格改訂発生時には、一定期間内に新規格に対応した状態で再審査を受ける必要があります。ISMS認証を取得済みの企業は、2022年10月31日から以降3年間、2025年10月31日までに、移行審査の通過が必要です。また、これから新たにISO27001を認証取得する企業も2024年4月30日以降は新規格（ISO27001:2022）の認証取得が必須になります。

カテゴリーの統合と新たに追加された11の管理策

ISMSの新しい規格では、情報セキュリティ管理の全体の項目数が21個減少し、新たに11個が追加されています。また58の管理策が更新され、管理策のカテゴリーが14から４へと統合されています。
４つの管理策のカテゴリーは以下となります。

管理策の詳細については割愛しますが、管理策を少ないカテゴリーに統合したことで、導入障壁が減少したと感じる人が多いのではないでしょうか。
今回追加された11の管理策は以下となります。

組織的管理策