CyberFix NoteISMS(ISO/IEC 27001)認証取得の流れと勘所。PDCA・適用宣言書・リスクアセスメント・審査まで
対象の目安: 経営層・情報セキュリティ管理者 / 経営・ガバナンス
取引先から「ISMSは取っていますか」と聞かれた、入札の要件に認証が入っていた、あるいは情報漏えいのニュースを見て自社の管理体制に不安を覚えた。ISMS(情報セキュリティマネジメントシステム)認証の取得を考え始めるきっかけは、たいてい外からやってきます。そして多くの場合、経営層や管理部門が「何から手を付ければよいのか」「どれくらいの期間と費用がかかるのか」「取れば安全になるのか」という、漠然とした問いを抱えたまま検討が始まります。
ISMSは、ひとことで言えば「情報セキュリティを、その場の思いつきや担当者の勘ではなく、組織として継続的に管理する仕組み」です。ISO/IEC 27001は、その仕組みが備えるべき要件を定めた国際規格であり、第三者がその適合性を審査して与えるのがISMS認証です。重要なのは、認証は「強固なファイアウォールを入れた証明」ではなく、「リスクを評価し、対策を決め、運用し、見直す」というマネジメントのサイクルが回っていることの証明だという点です。ここを取り違えると、取得後に「思っていたものと違う」となりがちです。
この記事では、認証取得を検討する経営・管理層に向けて、規格の考え方、PDCAの回し方、適用宣言書とリスクアセスメントという二つの中核成果物、審査の流れと費用感、そして認証を形骸化させないための勘所を、原理から噛み砕いて整理します。技術の細部よりも、組織として何を意思決定する必要があるのかに焦点を当てます。
早見表:認証取得の全体像
まず全体像をつかむために、検討から取得後までの流れと、各段階で発生する主な作業・成果物を一覧にします。期間や費用は組織の規模・適用範囲によって大きく変わるため、ここでの数値はあくまで目安です。
| 段階 | 主な作業 | 主な成果物・確認事項 | 期間の目安 |
|---|---|---|---|
| 1. 方針決定 | 適用範囲・目的の決定、経営層の関与表明 | 適用範囲、情報セキュリティ方針 | 検討開始時 |
| 2. 体制構築 | 推進担当・責任者の任命、教育 | 推進体制、役割分担 | 数週間 |
| 3. リスクアセスメント | 情報資産の洗い出し、リスク分析・評価 | リスクアセスメント結果、リスク対応計画 | 1〜数か月 |
| 4. 文書化・整備 | 管理策の決定、規程・手順の整備 | 適用宣言書(SoA)、各種規程 | 1〜数か月 |
| 5. 運用 | 決めた手順での運用、記録の蓄積 | 運用記録、教育記録 | 数か月以上 |
| 6. 内部監査・マネジメントレビュー | 自己点検、経営層による見直し | 内部監査報告、レビュー議事録 | 取得前に1巡 |
| 7. 認証審査 | 第一段階審査・第二段階審査 | 審査報告、是正処置 | 数週間〜 |
| 8. 維持・更新 | 維持審査(毎年)・更新審査(3年ごと) | 継続的な運用記録 | 認証後ずっと |
メモ
期間は、小規模で適用範囲が限定的な組織なら準備開始から半年程度で審査にたどり着く例もあれば、全社規模では1年以上かかることもあります。費用は審査機関に支払う審査料に加え、コンサルティングを使う場合はその費用、そして何より社内の工数が大きな割合を占めます。具体的な金額は審査機関への見積もりで確認してください。
ISMSとISO/IEC 27001の関係を整理する
用語が紛らわしいので、最初に関係を整理します。ISMS(Information Security Management System)は「情報セキュリティを管理する仕組み」という概念そのものを指します。ISO/IEC 27001は、その仕組みが満たすべき要求事項を定めた国際規格です。日本国内では、これに対応する日本産業規格(JIS)が用意されています。
国内で広く利用されるISMS認証は、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)が運営する「ISMS適合性評価制度」のもとで運用されています。ISMS-ACは認証機関を認定する立場(認定機関)であり、組織が実際に認証を受けるのは、ISMS-ACに認定された認証機関(審査登録機関)です。つまり「ISMS-ACが企業を直接認証する」のではなく、ISMS-ACが審査機関の力量を担保し、その審査機関が各組織を審査する、という二段構えになっています。
規格の版についての補足です。ISO/IEC 27001は2022年に改訂され、附属書A(管理策のリスト)が見直されて、管理策は93項目に再編されました。それ以前の版(2013年版)からの移行には経過措置の期限が設けられていましたが、執筆時点ではその移行期限はすでに経過しています。これから新規取得する組織は、最新版を前提に進めることになります。版の細かな違いを気にするより、まずは「自社が満たすべき要求事項の最新の枠組み」を審査機関と確認する、という姿勢が実務的です。
最初、ISMSは「セキュリティ製品のチェックリストを全部そろえること」だと思っていました。実際に進めてみると、製品の有無より「自社にとって何がリスクで、それにどう対応すると決めたか、その通りに運用しているか」を問われるものだと分かり、考え方を切り替える必要がありました。
ISMSの中核はPDCAという考え方
ISMSの根っこにあるのは、PDCAサイクルという継続的改善の考え方です。Plan(計画)、Do(実行)、Check(点検)、Act(処置)の頭文字で、これを組織として回し続けることがISMSの本体です。規格の章立て自体も、方針の決定、リスクの評価と対応、運用、パフォーマンス評価、改善という流れで、このサイクルに沿った構造になっています。
なぜ「仕組みを回す」ことがそれほど重視されるのか。情報セキュリティのリスクは固定ではないからです。新しいサービスを始めれば守るべき資産が増え、新しい脅威が生まれ、組織変更で責任の所在が変わります。一度きりの対策では、時間とともに実態とずれていきます。だからこそ、定期的に見直して更新し続ける仕組みが必要になる、というのがPDCAの発想です。
具体的には、各段階で次のようなことを行います。
- 1
Plan:リスクを評価し対策を計画する
適用範囲を決め、情報セキュリティ方針を定め、リスクアセスメントで自社のリスクを洗い出します。そのうえで、どのリスクにどう対応するか(低減・受容・回避・移転)を決め、採用する管理策を適用宣言書にまとめます。
- 2
Do:決めた通りに運用する
定めた規程・手順に沿って日々の業務を運用し、教育を実施し、記録を残します。計画と実態がずれないようにするのがこの段階の肝です。
- 3
Check:点検して有効性を確認する
内部監査で「決めた通りに運用できているか」を自己点検し、マネジメントレビューで経営層が全体の有効性を評価します。
- 4
Act:見直して改善する
監査やインシデントで見つかった不備を是正し、必要に応じて方針や管理策を更新します。ここで得た改善を次のPlanに反映し、サイクルを次に回します。
注意したいのは、PlanからActまでが一巡していないと審査に進めないという点です。特に内部監査とマネジメントレビューは、運用記録がある程度たまってから実施する必要があるため、運用期間を見込んだスケジュールを組む必要があります。「文書だけ整えて即審査」はできません。
適用宣言書(SoA)とは何か
ISMSの成果物の中で、初めての人が最もつまずきやすいのが適用宣言書(SoA: Statement of Applicability)です。これは、規格の附属書Aに並ぶ管理策(セキュリティ対策の選択肢)について、「自社はどれを採用し、どれは採用しないか、その理由は何か」を一覧で宣言する文書です。
ここで重要な誤解を一つ解いておきます。附属書Aの管理策は「全部実施しなければならないチェックリスト」ではありません。リスクアセスメントの結果に基づいて、自社に必要なものを選ぶのが原則です。採用しない管理策があってもよく、その場合は「なぜ採用しないのか(自社の状況では該当しない、リスクが小さい、など)」の理由を示せることが求められます。逆に、附属書Aにない独自の対策を追加してもかまいません。
注意
適用宣言書を「テンプレートの全項目に丸を付けて完成」とする進め方は、形だけ整っても運用と乖離しやすく危険です。採用すると宣言した管理策は、実際に運用され記録が残っていなければなりません。審査では「宣言と実態が一致しているか」が見られます。採用を宣言しておきながら運用していない状態は、不適合の典型例です。背伸びして全部採用にするより、自社の実態に合わせて選び、確実に回すほうが健全です。
つまり適用宣言書は、リスクアセスメントの結論と日々の運用とをつなぐ「目次」のような役割を果たします。リスク評価で「これが課題」と判断したものに対して、「この管理策で対応する」と紐づけ、その管理策が実際に運用されている、という一貫性が問われます。
リスクアセスメントの考え方と進め方
適用宣言書の前提になるのがリスクアセスメントです。これはISMSの心臓部であり、ここが雑だと、後続の対策選定も審査も砂上の楼閣になります。リスクアセスメントは、おおまかに「資産を洗い出す」「リスクを特定する」「リスクを分析・評価する」「対応を決める」という流れで進みます。
最初の関門は情報資産の洗い出しです。守るべき情報は何か(顧客情報、技術情報、人事情報など)、それがどこにあるか(サーバー、クラウド、紙、PC、スマートフォン)を棚卸しします。ここで完璧を目指して止まってしまう組織が多いのですが、最初から細部まで網羅しようとせず、重要度の高いものから着手し、サイクルを回しながら精度を上げていくのが現実的です。
次に、各資産に対してどんなリスクがあるかを考えます。機密性(漏れないこと)、完全性(改ざんされないこと)、可用性(使えること)の三つの観点で、脅威(攻撃、災害、ミス)と脆弱性(守りの弱さ)を組み合わせて、起こりうる事態を特定します。そのうえで、「発生したときの影響の大きさ」と「発生のしやすさ」を掛け合わせるなどして、リスクの大きさを見積もり、優先順位を付けます。
ヒント
リスクアセスメントの手法は規格で一つに固定されているわけではありません。影響度と発生頻度を数段階で評価する簡易な方式から、より詳細な手法まで選べます。大切なのは、手法の精緻さより「自社で一貫して適用でき、毎年同じ基準で繰り返せること」です。凝りすぎて続かない方式より、現場で回り続ける方式を選んでください。
評価したリスクには、対応方針を決めます。代表的には、対策を講じて下げる(低減)、現状のリスクを受け入れる(受容)、リスクのある活動自体をやめる(回避)、保険などで移す(移転)の四つです。すべてのリスクをゼロにはできないため、「どこまで下げ、どこから先は受け入れるか」という受容基準を経営として決めておくことが欠かせません。この受容ラインを引くのは技術判断ではなく経営判断であり、ここに経営層の関与が要る理由でもあります。
認証取得後の運用では、認証された範囲の中で具体的な技術対策も問われます。たとえばアカウントの保護一つとっても、多要素認証をどう導入し運用するかは典型的な検討事項です。技術面の判断材料は あわせて読みたい 多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説
審査の流れと、つまずきやすい点
社内の準備(リスクアセスメント、文書整備、運用、内部監査、マネジメントレビュー)が一巡したら、認証機関による審査を受けます。審査は通常、二段階に分かれています。
第一段階審査は、主に文書を中心とした審査です。方針、適用宣言書、リスクアセスメントの結果、各種規程などが規格の要求を満たしているか、そして第二段階に進める準備ができているかが確認されます。ここで重大な不備が見つかれば、第二段階の前に手直しが必要になります。
第二段階審査は、実地での運用審査です。文書に書かれた通りに実際に運用されているか、記録が残っているか、従業員が手順を理解しているかなどを、現場のヒアリングや記録の確認を通じて審査します。ここで不適合(要求を満たしていない点)が指摘された場合は、是正処置を行い、その妥当性が確認されて初めて認証が登録されます。
認証は取って終わりではありません。認証後も、毎年の維持審査(サーベイランス審査)で運用が継続しているかが確認され、おおむね3年ごとの更新審査で改めて全体の適合性が審査されます。つまりISMSは、一度取得したら3年間放置できるものではなく、毎年点検され続ける仕組みだという点を、取得前に経営層が理解しておく必要があります。
つまずきやすいのは次のような点です。一つ目は、文書と実態の乖離です。立派な規程を作っても、現場がその通りに動いていなければ不適合になります。二つ目は、記録の不足です。「やっている」だけでなく「やった記録がある」ことが求められます。三つ目は、内部監査とマネジメントレビューの形骸化です。これらを「審査前の儀式」にしてしまうと、本来の自己点検機能が働かず、結局は外部審査で問題が露見します。
組織のセキュリティ統制は、技術的なWebアプリケーションの守りとも地続きです。たとえば開発を伴う組織であれば、OWASPが示す代表的なリスクへの対策状況も、リスクアセスメントや管理策の検討で参照されます。技術側の整理は あわせて読みたい OWASP Top 10とは。開発者が押さえるべきWebの代表的リスクと対策を一気に理解する
認証を「取る」ことと「効かせる」ことは違う
最後に、最も大切な勘所に触れます。ISMS認証は、それ自体が目的化すると容易に形骸化します。「認証マークが欲しいだけ」で進めると、テンプレートを埋め、審査の日だけ取り繕い、翌日からは元通り、という運用に陥りがちです。それでは費用と工数をかけた割に、肝心の情報セキュリティは強くなりません。
ISMSが本当に価値を生むのは、リスクアセスメントを通じて自社の弱点を経営として把握し、優先順位を付けて対策に投資し、その効果を点検して改善する、という意思決定のサイクルが回るときです。認証は、そのサイクルが回っていることを外部に示す「結果」であって、目的そのものではありません。
経営層に求められるのは、「取得を指示する」ことではなく、「どこまでのリスクを受け入れるかを判断し」「必要な資源を配分し」「マネジメントレビューで自ら見直しに関与する」ことです。ここが他人任せだと、ISMSは現場の事務作業になり下がります。逆に、経営が関与し続ければ、認証は組織の意思決定を規律づける有用な道具になります。
よくある質問
ISMS認証を取れば、情報漏えいは起きなくなりますか?
附属書Aの管理策は全部実施しないといけませんか?
取得までどれくらいの期間がかかりますか?
コンサルタントは必要ですか?
認証は一度取れば終わりですか?
プライバシーやクラウドの認証とは別ですか?
まとめ
ISMS認証取得の勘所チェックリスト
- 認証は『安全の証明』ではなく『リスクを管理する仕組みの証明』だと理解したか
- 適用範囲と情報セキュリティ方針を、経営の意思として決めたか
- リスクアセスメントで自社の重要資産とリスクを洗い出し、受容基準を経営判断で定めたか
- 適用宣言書(SoA)が、リスク評価の結論と実際の運用と一貫しているか
- 内部監査とマネジメントレビューを含むPDCAを一巡させてから審査に臨む計画か
- 取得後の維持審査・更新審査が続くことを経営層が認識しているか
- 認証の取得自体を目的化せず、運用で回り続ける仕組みづくりを優先したか
ISMS(ISO/IEC 27001)認証は、正しく取り組めば、自社のリスクを経営として把握し、限られた資源を効果的に配分するための強力な規律になります。一方で、取得を目的化すれば、費用と工数に見合わない形だけの仕組みにもなりえます。両者を分けるのは、リスクアセスメントの誠実さと、経営層の継続的な関与です。最新の制度・規格の版や審査の詳細は、ISMS-ACや認証機関の一次情報で確認しながら進めてください。
出典・参考
関連する記事
多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説
パスワード漏えい対策の決め手となる多要素認証(MFA)について、認証要素の考え方、方式ごとの強度と使い勝手の違い、フィッシング耐性、組織導入の進め方、運用とリカバリーの設計までを実務目線で網羅的に整理します。
OWASP Top 10とは。開発者が押さえるべきWebの代表的リスクと対策を一気に理解する
Webアプリケーションの代表的なセキュリティリスクをまとめたOWASP Top 10について、その位置づけ、各カテゴリで何が問題になりどう防ぐか、そして開発プロセスへの組み込み方までを、開発者目線で具体例つきに解説します。
クラウドの責任共有モデルとガバナンス。IaaS/PaaS/SaaSで変わる責任範囲と設定ミスの所在
クラウドの責任共有モデルを原理から整理し、IaaS/PaaS/SaaSで利用者の責任がどう変わるかを早見表で示します。設定ミスによる漏えいの責任は誰にあるのか、経営と現場が押さえるべきガバナンスの勘所を解説します。