ISMS(ISO27001)とは?情シス担当者が知っておくべき基本の「き」
ISMS・ISO27001とは?
ISMS(Information Security Management System)とは、その名のとおり情報セキュリティを管理する仕組みを指します。組織が情報資産を守るために、情報セキュリティ方針の策定・情報資産の特定・リスク分析・社員教育といった数多くの活動を通して、継続的にPDCAサイクルを回して改善していく枠組みです。
また、ISO27001とはISMSを構築・運用・評価・改善するための「要求事項」や「管理策」を定めた国際的な規格です。ISOのホームページを参照すると、ISO27001は”the world's best-known standard for information security management systems (ISMS)”との記載があり、正にセキュリティの基本の「き」であると言えます。
そして一般的に言われる「ISMSを取得している」とは、ISO27001の規格に準拠していることが第三者機関による審査で確認され、認証を取得している状態を指します。
【ここが一番の疑問】Pマークとの決定的な違いと、どちらを選ぶべきか
Pマーク(プライバシーマーク)とは、「個人情報を適切に管理している」と評価された事業者が使用できるマークです。前項で「ISMS」と「ISO27001」をご説明しましたが、Pマークの制度においては「PMS(Privacy Management System)」と「JIS Q 15001」に置き変わります。PMS(Privacy Management System)は組織が個人情報を守るための枠組み、JIS Q 15001はPMSの要求事項を定めた日本の規格です。
ISMSとPマークについて比較すると以下の表のとおりです。上位3つの「国際規格/日本の規格」「認証単位」「対象とする情報の範囲」が大きな違いとなるので、組織の業種や業態に鑑み取得を検討する必要があります。
ISMSとPマーク取得について、どちらを選ぶべきか両方とるべきかという問いに一律の答えはありません。BtoBやグローバル向けにサービス提供している法人であればISMSから取得した方が望ましいかもしれませんし、BtoCや日本向けにサービスを提供している法人であればPマークから取得した方が望ましいかもしれません。悩む場合はぜひお気軽に弊社にご相談ください。
大型契約を目指すなら必須!ISMS取得の3大メリット
行政・自治体など大型案件への挑戦権
公共調達情報ポータルサイトを訪れ、検索キーワードで「ISMS」と入力すると6,000件以上(2025年10月)の公募が表示されます。この結果からISMS取得による挑戦権の大きさを十二分に感じられるかと思います。
なぜ、ISMS取得が要件として求められているのでしょうか。それは委託先・サプライチェーンにおけるリスクが重要視されているからに他なりません。まずアメリカにおいては委託先から軍事情報が漏洩した事などを受け、2016年にNIST SP 800-171というガイドラインが制定され、連邦政府機関の委託先に対するセキュリティ基準が定められました。日本国内に目を向けると、情報処理推進機構が毎年出している情報セキュリティ10大脅威2025において7年連続で「サプライチェーンや委託先を狙った攻撃」があげられており、経済産業省はサプライチェーン強化に向けたセキュリティ対策評価制度構築を2026年の制度開始を目指し進めています。こうした流れの中で2005年に初版が発行されたISO27001は一つの選定基準として位置付けられ続けています。
取引先からの信頼獲得、そして案件獲得率の向上:なぜISMS認証が審査基準になるのか
ISMSを取得しているということは、ISO27001(2022年版)の要求事項10項・管理策93個に準拠していることと同義であり、非常に強力な信頼性をもたらしてくれます。
※ ここで詳細は割愛しますが、管理策は組織の状況に応じて適用外とすることも可能です。
ISMSを取得していると、エンタープライズ企業との契約がスムーズに進むことが多々あります。極端な例だと、ISMSを取得していた場合には10問程度のセキュリティチェックの質問を受けるだけで済む一方で、ISMSを取得していなかった場合には100問を超える質問を受ける場合があるかもしれません。
ISMS取得により、未取得の企業に対して大きな競争優位性が得られるといっても過言ではありません。
社内のリスク低減と業務効率化(マニュアル整備、内部監査など取得者の声)
ISMS取得の結果として数多くの「文書」「運用」「技術対策」が整備されることで、リスク低減や業務効率化にとどまらず、様々な副次的な効果があると考えます。一例を以下の表で示します。
特にスタートアップ企業がISMSを取得する際には、そこで初めてセキュリティ体制や監査体制が整備されるので、会社としての大幅な成長が体感できるのではないかと思います。
未経験でも迷わない!取得のロードマップと期間・費用
【全体像】ISMS取得の主な流れと、各ステップで必要な作業
主な流れを以下に示します。
キックオフ
キックオフには「決起」や「目標・方向性の共有」というニュアンスが含まれるためこの言葉を使いました。このステップでは以下の項目を実施することになります。
- 経営陣を含め会社全体での目標・スケジュール・リソースの確保等について大枠の総意をつくる
ISMSの取得には多くの社内リソースが必要です。審査日や内部監査ではトップマネジメントや部門担当者の予定を確保する必要がでてくるため、事前に全体スケジュールを共有し、人員やコストについて認識合わせをしておく必要があります。
- ISMS体制
トップマネジメント・ISMS責任者・ISMS事務局担当・内部監査責任者といった役割に人員のアサインが必要です。
- 認証範囲の決定
ISMSを全社で取得するのか、部門や特定サービスに限って取得するのかを決定する必要があります。
- 審査機関の選定・審査日の調整
情報マネジメントシステム認定センターが提供している認証機関一覧(この他にも数多くの認証機関がございます)等から、審査機関を選定し、見積もりの依頼や審査日程の調整をおこないます。
- ISMS取得コンサル活用の要否を判断
もし組織内にISMS取得・維持の経験者がいなかったり、上記の表をブレイクダウンし準備を進めるイメージがわかない場合にはISMS取得コンサルを活用した方が良いと思われます。
技術対策
ISO 27001では例えば以下の管理策が求められます。文書や運用の準備だけでは事足りず、場合によってはアンチウイルスソフトなど新しくサービスを導入した方が良い場合があります。契約や導入のリードタイムを想定するとISMS取得の初期段階から検討を進める必要があります。
- 脅威インテリジェンスの活用
- リモートワーク
- 物理的入退室の管理
- PC等エンドポイント機器の保護
- マルウェア対策
- 技術的な脆弱性管理
- データマスキング
- Webフィルタリング
- ネットワーク分離
ドキュメント整備
詳細は「 ISMS認証審査で「失敗しない」ために必要な準備と必要書類」でご説明しますが、20以上のドキュメントを整備する必要があります。
情報資産洗い出し / リスク分析・対策
情報資産洗い出しはその名のとおり、組織で利用している情報資産(紙・電子問わず)を洗い出す作業になります。また、洗い出された情報資産に対しどんなリスクが発生しうるか分析を行い、対策を検討していきます。どちらの作業もISMS取得の担当者だけでは実施できず、取得対象となる部門の協力が不可欠になります。そのため、余裕を持って開始する必要があります。
BCP試験・社員教育
ISMS認証範囲対象(部門・プロジェクト)全員参加が必要なステップになります。災害やセキュリティインシデントが起こった際どう対応するか、またその際のルールはどうなっているか等、訓練・教育を行います。
内部監査 / マネジメントレビュー
内部監査では、ここまでに準備したドキュメントや運用が適切にまわっているか監査します。監査結果をうけ、マネジメントレビューではトップマネジメントに以下をレポートし承認をえます。
- 内部監査の結果(指摘事項対応状況など)
- 組織のリスク・対応状況・課題など
- インシデントの発生状況
- セキュリティ年間計画(今後1年の対応計画)
取得にかかる期間:最短4ヶ月で取得するには?
前項の表は余裕をもって6ヶ月で実現するためのスケジュールであり、第一段階審査から第二段階審査・是正対応にかかる2ヶ月は定数、その他を変数と捉えていただければと思います。したがって、キックオフからマネジメントレビューの期間をいかに縮めるかが、4ヶ月で取得するための肝になります。
ただ、認証取得範囲で取り扱う情報資産が多かったり、BCP試験や教育に携わる社員が多かったりする場合において期間を無理に縮めると、適切な運用には至らずリスクが高まるため、余裕を持った取得をお勧めします。
取得の費用:コンサルティングの有無や会社の規模による費用の目安
取得の料金は取得対象の社員数に応じて変動します。社員数が50名の場合の費用のイメージを示します。
審査費用
審査機関・社員数・拠点数などに応じ大きく変動します。複数の審査機関から見積もりを取得してください。
コンサルティング費用
簡易なものであれば30万円、文書作成や密な運用支援がついているものであれば100万円を超える場合があります。
技術対策費用
ウイルス対策やログ監視などの対策に費用がかかることを想定しておく必要があります。既存の対策状況により大きく費用が変動し、青天井とも言えます。社内に専門家が不在の場合には業務委託や社員採用などによる人件費も考慮する必要があります。
用をなさない情報ではありますが、私が社員数が50名でISMS取得をする場合には、余裕をみて250万円で稟議をだします。
また、港区や江東区などにおいてISMS取得に対して補助金がでる制度があります。登記されている住所において補助金制度があるか・補助金の申請要件を満たしているか等ご確認いただくことをお勧めします。
ISMS認証審査で「失敗しない」ために必要な準備と必要書類
審査で問われること、最新の審査傾向と対策
審査で問われることは、不変なものとしては規格への適合状況を問うものです。ISO27001の要求を満たす文書維持がなされているか、またその文書に沿った運用がなされているかが問われます。あくまで一例ですが審査は以下の流れで進みます。
- 部署や担当業務の説明
- 組織の人数構成や業務委託状況
- 今年1年での変化
- 規格への適合状況の確認
- 計画に基づき文書の見直しがなされているか
- 情報資産の目録が適切に更新されているか(最近契約したSaaSやそこで取扱われている情報が目録に追加されているか)
- インシデントが発生していたら、文書化された手順に沿って報告・対応が適切になされていたか
- 今年退職者が発生していたとしたら、そのアカウントは適切に削除・停止しているか
- まとめ
また傾向としてあげられるものとしては、直近だとISO27001に追補という形で気候変動への対策が求められました。この追補に対しては、例えば以下の想定問答が考えられるかと思います。
Q. 気候変動は組織にどういった影響がありますか。組織の課題となりうるものでしょうか。影響や課題がある場合はどういった対策をおこなっていますか。
A. 弊社はフルリモートでSaaSを提供しているので、製造業などと比較するとサプライチェーンなどの観点で影響は軽微だと考えます。一方で、昨今局所的な水害が増加していることに鑑み、社員の安全確保などが課題と考えます。したがって今年度は災害情報収集と安否確認の仕組みを強化し訓練をおこないました。
審査前にどんな質問をされるかご不安になる気持ちをよく理解できますが、以下を意識するだけでかなりの不安が払拭されるのではないかと考えます。
- 取り繕わず、正直に審査に臨めば良いと考えること(たとえ審査で指摘をされたとしても改善の機会でしかありません)
- 内部監査をとおし場に慣れておくこと
- 弊社のようなISMS取得コンサル会社に相談いただき疑問点を解消しておくこと
- 規格を一読しISO27001で要求されることを理解しておくこと
必須となるドキュメント
ISO27001で明確にドキュメント名や数が定められている訳ではないので、ISMSを取得する上での必須となるドキュメントは、組織の状況や適用する管理策に応じて準備する必要があります。弊社とご契約いただいたお客様には必須となるドキュメント雛形やドキュメント修正のご支援サービスを提供させていただいていますが、一例として以下があげられます。組織により20〜70程度のファイル数にのぼります。
また、既に多くの組織において、「雇用契約書」「業務委託契約書」「懲戒規定」といったドキュメントが用意されているかと思いますが、ここに対して「秘密保持」「インシデント報告義務」「罰則」に関する追記が必要な場合があります。
内部監査を外部コンサルタントに任せた方が良いのか
ISMSを取得維持する上で必要不可欠なイベントの一つとして内部監査があげられます。内部監査は年1回以上の実施が必要で、その内容は本コラム4.ISMS認証審査で「失敗しない」ために必要な準備と必要書類の「審査で問われること、最新の審査傾向と対策」と大きく変わりません。
成熟した企業では、内部監査室が部門として設けられ自社で内部監査のプロセスを回すことができますが、多くの企業にとってそれは難しいことだと思います。
全てはコストとの兼ね合いになりますが、内部監査を外部コンサルタントに任せることをご検討いただくのが良いかと思います。
- 内部監査はISO27001の追補を含めた最新の要求事項・管理策に従い実施する必要がありキャッチアップするのは難易度が高い
- 上記キャッチアップを含めた内部人件費と外部委託費用を比較したときのギャップは大きくないとも考えられる
- 外部に委託することで内部監査の独立性や専門性が担保できる
【経験者が語る】ISMS取得で情シス担当者が直面しやすい「壁」
「楽に取れる」の落とし穴:形骸化させないための心構えと、苦労しても良い仕組みを作る重要性
ISMSの本質は組織が自らリスクを評価し、継続的に改善するサイクルを回すことにあります。ドキュメント作成やリスク評価などをコンサルタントや一時的な業務委託に任せた場合、ISMS認証取得自体は楽にできるかもしれませんが、そこに残るのは形骸化した運用です。ISMSの活動をリスク低減に繋げるためには一定の苦労が必要であると考えます。
社内協力の引き出し方、そして取得後の運用:経営層や他部署の意識をどう変えるか、そして属人化させずに体制を維持する秘訣
「ISMSって情シスがやってくれるものでしょ?」こういった認識を変えることも壁になることがあります。しかしISMSを組織に根付かせる鍵は、情シス担当者の頑張りだけではなく、 経営層の理解と関与にあります。
経営層を巻き込む──善管注意義務とリスク把握の責任
まず押さえておきたいのは、経営者には 善管注意義務 があるということです。会社法上、取締役は「善良な管理者の注意義務」を負っており、情報セキュリティリスクを放置することは、この義務違反に該当する可能性があります。実際に、情報漏洩やセキュリティインシデントが発生した際、経営者個人が株主代表訴訟の対象になった事例も存在します。つまり、情報セキュリティは「情シスに任せておけばいい」という話ではなく、 経営者自身が責任を負うべき経営課題 なのです。この前提を経営層と共有することが、ISMS活動の第一歩です。
マネジメントレビューという「対話の場」を活用する
ISMSには「マネジメントレビュー」のプロセスがあります。前述しましたが、年に1回以上経営層(トップマネジメント)が情報セキュリティの状況について報告を受け、承認する場です。形式的に済ませてしまう組織もありますが、ここを密なコミュニケーションの場として活用することで、経営層がリスクを正しく把握できるようになります。
経営層の理解が得られたら、次は トップダウンでISMS活動を各部門に展開 します。
他部署を巻き込む──トップダウンと年間スケジュールの共有
「情シスからのお願い」ではなく、「経営層の方針として、全社でセキュリティに取り組む」というメッセージを出してもらうことで、他部署の協力が格段に得やすくなります。
事前の年間スケジュール共有で、負担感を減らす
他部署の協力を得る上で重要なのは、 「いきなり降ってくる仕事」にしないこと です。ISMSの活動には、以下のような全社協力が必要なイベントがあります。
- 情報資産の洗い出し/リスク分析
- セキュリティ教育
- BCP訓練
- 内部監査
これらを年間スケジュールに落とし込み、年度初めに共有しておくことで、各部署も予定を確保しやすくなります。「来月内部監査があるので対応してください」ではなく、「4月、10月に内部監査があります。それぞれ2時間程度の時間確保をお願いします」と事前に伝えることで、協力のハードルが下がります。
インシデント対応を通じて、関係性を深める
最後に、意外と見落とされがちなのが、 日常的なインシデント対応を通じた協力関係の構築 です。例えば以下のような小さな協力を積み重ねることで、「情シスは味方だ」という関係性が生まれます。
- 営業部門で不審なメールを受信した際、情シスに相談してもらう
- 開発部門で脆弱性が見つかった際、一緒に対策を検討する
そして、インシデント対応を通じて各部署も「セキュリティは自分たちにも関係がある」と実感するようになります。
協力は「頼む」ものではなく「設計」するものです。ここまでの流れを意識することで、ISMS活動は「情シスだけの孤独な戦い」ではなく、「組織全体で取り組むプロジェクト」に変わります。
「もう一人で悩まない」最短で信頼性を高めるための次のステップ
取得企業リストから見る、企業のISMS活用事例
ISMS認証の取得企業は、一般社団法人情報マネジメントシステム認定センターが提供しているISMS認証取得組織検索 などから確認できます。
ISMS認証取得後は、以下を実施しISMS取得による信頼性向上を幅広く知らせることが一般的です。PR TIMES社のページを確認すると直近で毎月10件程度のISMS取得に関するリリースが確認できます。
- ホームページ・営業資料・名刺などにISMS認証を取得している旨を記載する
- メールマガジンやPR TIMES等の配信サービスを活用し幅広く広報する
ISMS取得を自力で進めるのか、専門家のサポートを利用するべきか
最後に、多くの担当者が悩むこの問題について率直にお伝えします。
自力で進めるのに向いているケース:
- 社内にセキュリティの知識を持つ人材がいる
- 時間的余裕がある(1年以上)
- 認証取得に失敗しても許容できる
- 予算が非常に限られている
専門家のサポートを検討すべきケース:
- 初めての認証取得で、何から始めればいいかわからない
- 通常業務と並行して進める必要がある
- 確実に、そして、短期間で取得したい
- 技術的な対策(マルウェア対策、脅威インテリジェンス活用など)の実装支援も必要
また専門家の選択において重要なのは、「丸投げ」ではなく「伴走」の関係を築けるパートナーを選ぶことです。そのためには以下3点が重要であると考えます。
- 貴社の業務実態をヒアリングし、それに合わせた提案をする
- 取得後の運用まで視野に入れて支援する
- 文書作成だけでなく、技術的な実装支援もできる
【Conoris Technologiesの紹介】
ConorisのISMS認証取得・運用支援サービスでは、スタートアップでの情シス経験者が、技術面も含めた実効性のある支援を提供しています。「認証を取ること」ではなく「セキュリティレベルを実際に上げること」を目的に、伴走型のサポートを行っています。
ISMS取得やセキュリティに関して少しでも気になることがございましたら、お気軽にお問い合わせください
.png)
