ISMSコンサルとは？自社で取得して感じた“サポートの必要性”と概要を解説

ISMSコンサルに相談してISMS認証を取得したいとお考えの方に向けて、コンサルの費用相場や支援内容、選び方を解説。また、ISMSをコンサルなしで取得した弊社の経験談をもとに、大変だと感じたポイントや気づきもお伝えしています。ISMSの取得を検討している方は参考にしてください。

‍

コンサルなしでISMSを取得した弊社の経験談

‍

なぜコンサルなしで挑戦したのか

弊社には、セキュリティ部門出身者が在籍しています。一般的にコンサルなしでISMSを取得する際のデメリットは以下のとおりですが、弊社では社内のリソースでそれが払拭できると考えました。

知識や経験不足により審査で大量に不適合がでてしまう(再審査となってしまう)
情報収集と準備に多くの時間と人的コストがかかる

また、コンサルなしでISMSを取得する事により「自社の実態にあったISMSを構築しやすい」というメリットがあると考えました。

‍

ISMSをコンサルなしで取得した実録レポートはこちらにございます。

https://www.conoris.jp/blog/isms

‍

苦労したポイント、やってみてわかった「コンサル導入の価値」

準備を始めた当初は想定していなかったところで苦労しました。

セキュリティ部門出身者がカバーできなかった領域

エンドポイントセキュリティ製品の選定・設定
ISO 27001では「エンドポイントの保護」「ウイルス対策」「ウェブフィルタリング」等に関する管理策がありますが、そこには青天井にコストがかかります。スタートアップにおいてどこまでコストをかけてどこまで対策をするのか？その線引きに正解がなく判断が難しいです。

NIST SP 800-181というフレームワークにおいて、サイバーセキュリティ人材に必要なスキルが約1150個も定義されています。弊社にはセキュリティ部門出身者が1名いたとは言えどもカバーできない領域は沢山あります。実際にエンドポイントに対して設定をしていくとなると、デバイス管理のシステムであるMDM（Mobile Device Management）を操作する必要があり、情シスやコーポレートITといった領域の知見も必要になってきます。

内部監査の実施
内部監査には独立性が求められますが、エンジニア部門の責任者であるCTOがエンジニア部門を内部監査してしまいました(最低限別部門の担当者が内部監査を行うべきでした)。初歩的な誤りではありますが、こういった観点もコンサルなしでISMSを取得する際に起こりうるリスクです。

‍

幸いISMS審査までに上記の対応を終えることができましたが、コンサルタントによるISMS取得をおこなっていたとしたら安心感という面では桁違いであったように思います。

‍

ISMSコンサルとは？

‍

ISMSコンサルとは、企業がISMSを取得する際に専門家が取得支援・運用設計をサポートするサービスです。ISMSコンサルを活用する企業は中小企業〜大企業まで幅広く、特に社内にノウハウがない企業に需要があります。

‍

ISMSコンサルの支援内容

支援内容は大きく4つに分類されます。

運用支援
ISMSでは、「情報資産洗い出し」「リスク評価」「BCP試験」「教育」「内部監査」「マネジメントレビュー」といった数多くの運用があります。例えばマネジメントレビュー1つとっても、何を報告し何を決定すればいいのか悩んでしまうかと思います。ISMSコンサルはISO 27001の要求事項を満たす運用を的確にサポートしてくれます。

文書整備
ISMSの取得・維持には20以上のセキュリティ関連文書が必要です。ISMSコンサルはその雛形の提供や組織に適した文書の修正をおこなってくれます。

審査立ち合い
ISMSの審査はコンサルタント(社外関係者)の立ち合いが許されています。審査は基本的にISO 27001に沿った事項がヒアリングされるものの、審査会社や審査員によってその言い草や空気感は全く異なります。審査対応に不安がある方は、ISMSコンサル会社の審査立ち合いのオプションを利用することが可能です。

技術支援
前項でご紹介した「エンドポイントの保護」「ウイルス対策」「ウェブフィルタリング」といった管理策は、単に製品をいれたら終わりというだけではなく、各製品の技術的な設定や運用を行う必要があります。組織内に情シスやコーポレートITといった部門がない場合には、コンサルタントから技術支援を受けた方が、より良い投資効果を得られる場合があります。

‍

一般的な費用の目安

各社サービスの比較は比較サイトにお譲りしますが、一般的な費用の目安を示します。ISMS取得コンサルは取得までに30万円〜を見ておくのがよいと考えます。一見数万円でできるように見えても年契約を結び50万円を超えるケースがあったり、支援内容が限られていたりと各社様々なので複数社に話を聞くことをお勧めします。

‍

そもそもISMS（ISO/IEC 27001）とは？

‍

ISMS(Information Security Management System)とは、その名のとおり情報セキュリティを管理する仕組みを指します。組織が情報資産を守るために、情報セキュリティ方針の策定・情報資産の特定・リスク分析・社員教育といった数多くの活動を通して、継続的にPDCAサイクルを回して改善していく枠組みです。また、ISO27001とはISMSを構築・運用・評価・改善するための「要求事項」や「管理策」を定めた国際的な規格です。

そして一般的に言われる「ISMSを取得している」とは、ISO27001の規格に準拠していることが第三者機関による審査で確認され、認証を取得している状態を指します。取得から維持までの流れは以下のとおりです。

ISMSの有効期限は3年間となっており、取得後も毎年審査が必要です。3年目の更新審査は認証取得範囲の全部門を審査し過去3年分の記録を確認しますが、維持審査は審査期間がピックアップした部門の過去一年分の運用記録を確認するという違いがあります。

‍

どんな企業がISMSコンサルを検討すべきか

‍

ISMSコンサルをご活用いただいた方がよいケースを3つピックアップします。

‍

社内にISMSの知見がない場合

社内にISMSの知見がないケースとして、会社規模が小さいことが考えられます。その場合ISMSを経験したことがある人がゼロであったり、いたとしても兼務でISMS取得にあまり時間をかけられないケースがあるかと思います。そういった場合には、ISMSコンサルを活用することで専門知識の補完をおこないつつ最短ルートでのISMS認証取得が可能になります。

‍

短期間で取得を目指したい場合

ISMS取得において短期間で取得したいというニーズを数多く耳にします。大企業の契約を獲得するためにISMS認証が必須であるといった場合や、経営陣が突然今年中にISMSを取ろうと言い出した場合など状況は様々ですが、取得までの期限に余裕があるケースの方が少ないように感じます。

その場合にはISMSコンサルを活用し、文書や運用のテンプレートを活用することで効率化することがベストな選択肢となりえます。ISMS取得は一般的に無理なく取得する場合6ヶ月〜1年程かかりますが、会社規模が小さい場合などは4ヶ月程度で取得可能です。

‍

初めての認証取得で失敗を避けたい場合

ISMS審査やユーザからの苦情によってISO 27001の要求事項や管理策を満たせていない事が発覚した場合には、「不適合」や「改善の機会」といった形で指摘をされます。重大な不適合があった場合には、認証が取得できなかったり是正計画の提出が必要になります。

ISMSコンサルタントを活用することで、そうした失敗リスクの低減や安心感を得ることに繋がります。

‍

ISMSコンサルの選び方｜失敗しない3つのポイント

‍

取得までの期間目安を確認する

目標のISMS取得期限までにスケジュール可能かという点が最重要です。時期やISMSコンサル会社によって最短で取得可能な期間が変わってきます。まずは取得までの目安期間を確認しましょう。

‍

取得率・支援実績を確認する

ISMSコンサル会社によっては、取得率や支援実績を公開しているのでそこから信頼性を確認しましょう。また、クラウドサービスを活用しSaaSを開発しているIT企業と工場を多く持つ製造業とでは、ISMSのあり方(情報資産の洗い出し方やリスク)も大きく変わってくるので、類似業種の支援実績があるかも確認ポイントとなります。

‍

料金体系の透明性（追加費用なしでどこまでサポートしてくれるか）を確認する

基本サービスと追加費用が必要な範囲を確認しましょう。以下の項目に加えてオンサイト対応なのかリモート対応なのかといった区分と、打ち合わせ回数の上限があるかなどを確認してください。

文書提供
文書更新代行
運用支援
内部監査・マネジメントレビュー代行
ISMS審査立ち会い
オンサイト対応費用 (交通費・宿泊費)

‍

ISMSコンサルを導入するメリット・デメリット

‍

コンサルを導入する3つのメリット

メリット1：工数削減──限られたリソースを最大限に活用
ISMS認証の取得には、文書作成、リスクアセスメント、内部監査、マネジメントレビュー、審査対応など、膨大な作業が発生します。これらを自力で進めようとすると、以下のような課題に直面します。

自力で進める場合の工数負担：

規格要求事項の理解と解釈に時間がかかる
どの文書を作成すべきか判断できない
リスクアセスメントの方法がわからず試行錯誤が続く
内部監査のチェックリスト作成に時間を要する
審査対応の準備に不安を感じ、過剰に準備してしまう

‍

コンサルタント導入による工数削減効果：

1. 最短ルートで進められる

コンサルタントは多数の企業のISMS取得を支援してきた経験から、何をいつまでに準備すればよいかを熟知しています。無駄な作業を省き、必要な作業に集中できるため、取得までの期間を大幅に短縮できます。

‍

2. テンプレート・雛形の提供

文書作成をゼロから始める必要がありません。コンサルタントが提供するテンプレートをベースに、自社の状況に合わせてカスタマイズすることで、文書作成工数を50〜70%削減できます。

‍

3. 定期的な進捗管理

「いつまでに何をすべきか」が明確になり、スケジュール管理の負担が軽減されます。コンサルタントが進捗を確認し、遅延リスクを早期に発見してくれるため、プロジェクト管理の工数も削減できます。

‍

4. 日常的な疑問への即答

「この管理策は自社に適用すべきか？」「この文書の記載方法は適切か？」といった疑問が日々発生します。コンサルタントがSlackやメールで随時サポートすることで、調査・検討の時間を大幅に削減できます。

‍

メリット2:取得率アップ──失敗リスクを最小化

ISMS認証審査では、規格要求事項への適合が確認されなければ、認証を取得できません。自力で進めた場合、以下のような理由で審査をとおらないリスクがあります。

‍

審査をとおらない主な理由：

規格要求事項の解釈誤り
必要な文書・記録の不足
リスクアセスメントの方法が不適切
管理策の実施が不十分
内部監査の独立性が保たれていない

‍

不合格になると、是正対応と再審査が必要となり、時間とコストが大幅に増加します。

‍

コンサルタント導入による取得率アップの理由：

1. 規格要求事項の正確な理解

ISO 27001の要求事項は複雑で、解釈が難しい部分もあります。コンサルタントは規格を熟知しており、誤解や見落としを防ぐことができます。

‍

2. 審査機関の傾向を把握

コンサルタントは多数の審査に立ち会ってきた経験から、どのような点が指摘されやすいかを知っています。事前に対策を講じることで、指摘事項を最小限に抑えられます。

‍

3. 審査前の模擬監査

本番の審査前に、コンサルタントが内部監査や模擬審査を実施することで、不備を事前に発見・修正できます。これにより、本番審査での指摘を大幅に減らすことができます。

‍

4. 審査当日の同席サポート

審査員からの質問に対して、どう答えるべきか不安に感じることもあります。コンサルタントが同席することで、的確な回答をサポートし、不要な指摘を防ぐことができます。

‍

メリット3：社内の意識改革──形骸化しないISMSの構築

ISMS認証は取得して終わりではありません。取得後も継続的に運用し、改善していく必要があります。しかし、多くの企業が直面する課題が、 ISMSの形骸化です。

‍

ISMSが形骸化する典型的なパターン：

「情シスだけがやるもの」と他部署は無関心
年に一度の審査のためだけに活動している
文書だけ立派で、実際には運用されていない
トップマネジメントが関与しない

‍

コンサルタント導入による社内の意識改革：

1. 経営層を巻き込む

コンサルタントは、ISMSが経営課題であることを経営層に理解してもらうための支援を行います。善管注意義務やリスクを「経営の言葉」で伝えることで、トップダウンでの推進が可能になります。

‍

2. 現場の負担を最小化

コンサルタントは、現場の業務フローを理解した上で、無理のない運用ルールを設計します。「守れないルール」を作ってしまうと形骸化の原因になりますが、現実的なルールを設計することで、継続的な運用が可能になります。

‍

3. セキュリティ意識の向上

コンサルタントは、リスクアセスメントやインシデント対応を通じて「なぜセキュリティが重要なのか」を組織全体に理解してもらう働きかけを行います。単なる「やらされ仕事」ではなく、自分たちの業務を守るための活動と認識されることで、協力が得やすくなります。

‍

4. 取得後の運用体制の構築

コンサルタントは、取得後も継続的に運用できる体制を設計します。年間スケジュールのテンプレート化、属人化の防止、定期的なレビューの仕組みなど、持続可能なISMSを構築します。

‍

5. 成功体験の共有

「この対策によりインシデントを未然に防げた」といった具体的な成果を可視化することで、組織全体がISMSの価値を実感できます。コンサルタントは、こうした成功体験を引き出し、共有する支援を行います。

‍

依頼前に知っておきたいデメリット

デメリット1：コスト負担──数十万〜数百万円の投資

ISMSコンサルティングは数十万〜数百万円と決して安くありません。それに加えてISMS取得には以下の費用がかかり、トータルで200万円〜500万円程度のコストが必要になる場合もあります。

‍

• 審査費用：100万円前後（従業員50名規模の場合）

• 技術対策費用：数十万円〜（ウイルス対策、ログ監視等）

‍

コストを軽減するために以下を検討することを推奨します。

• 補助金・助成金の活用（港区や江東区など一部自治体でISMS取得に対する補助金制度あり）

• 複数社から見積もりを取り比較検討する

‍

デメリットを補うには「伴走支援型コンサル」がおすすめ

伴走支援型コンサルの最大の特徴は、「教えるだけでなく、一緒に運用を構築する」ことです。

‍

「なぜ」を理解しながら進められる
従来型コンサルでは、「この文書を作成してください」「この管理策を実施してください」と指示されるだけで、なぜそれが必要なのかを理解しないまま進めてしまうことがあります。伴走支援型では、コンサルタントが以下を丁寧に説明します。

この管理策はどのリスクに対応するためのものか
この文書は審査でどう確認されるのか
自社の規模だと、どこまで対応すればよいのか

理解しながら進めることで、取得後も自分たちで判断できるようになります。
‍

自社の実態に合わせてカスタマイズできる
テンプレートをそのまま使うのではなく、自社の業務フローや組織体制に合わせてカスタマイズすることが重要です。伴走支援型では、コンサルタントが以下を一緒に考えます。

この規程は、御社の実態に合っているか？
この運用ルールは、実際に守れそうか？
もっとシンプルにできる方法はないか？

結果として、実際に運用可能なISMS が構築できます。
‍

社内にノウハウが残る
作業を全てやってくれる代行型ではとても楽な一方で、社内にノウハウが残りません。伴走支援型では、以下のプロセスを一緒に経験することで、社内に知識が蓄積されます。

リスクアセスメントの手法
内部監査のチェックポイント
マネジメントレビューの進め方
文書の見直し方

取得後も、自分たちで運用・改善できる体制が整います。
‍

Conorisでは伴走支援型コンサルティングをおこなっており、特に2つの強みがあります。

強み1：技術支援まで含めた実効性のあるサポート
ISMSの管理策には、以下のような技術的な対策が含まれます

マルウェア対策
脅威インテリジェンス活用
ログ監視
アクセス制御
脆弱性管理
セキュアコーディング

これらの技術対策を「自社で実施してください」と言われても、社内に専門知識がなければ、どの製品を選べばよいのか、どう運用すればよいのか分かりません。Conorisにはスタートアップでの情シス経験者が複数在籍しており、以下の技術支援が可能です。
‍

エンドポイントセキュリティ製品の選定・設定
MDM（Mobile Device Management）の導入支援
アンチウイルスソフトの選定・設定
脅威インテリジェンスの活用方法支援
ログ監視の実装支援
脆弱性診断ツールの導入

Conorisでは文書整備だけでなく、実際にセキュリティレベルを向上させるための技術支援を提供します。
‍

強み2:密でスピーディなコミュニケーション
Conorisでは、以下の方法で密でスピーディなコミュニケーションを実現しています。

Slackでの日常的なサポート
- 「この管理策は自社に適用すべきですか？」
- 「この文書の記載方法は適切ですか？」
- 「審査でこう聞かれたらどう答えればいいですか？」

こうした疑問に、数時間〜1営業日以内に回答します。

定期的なWeb会議
- 進捗確認
- リスクアセスメントの実施支援
- 文書レビュー
- 審査対策

密なコミュニケーションにより、疑問や不安をすぐに解消でき、効率的に進められます。

‍

Conoris Technologiesでは、「代行」ではなく「伴走」のスタンスで、取得後も社内で運用できる体制づくりを支援しています。スタートアップでの情シス経験者が、技術面も含めた実効性のある支援を提供し、「認証を取ること」ではなく「セキュリティレベルを実際に上げること」を目的としています。

ISMS取得やセキュリティに関して少しでも気になることがございましたら、お気軽にお問い合わせください。まずは無料相談から、貴社に最適なISMS取得の進め方をご提案します。

お問い合わせ・無料相談はこちらから

‍

ConorisのISMSコンサル導入から認証取得までの流れ

‍

弊社ISMSコンサルサービスを導入された場合の認証取得までの流れをお伝えします。

‍

キックオフ
まず「認証範囲」「体制」「スケジュール」「リソースの確保」などについて、経営陣を含めて組織で総意を形成する必要があります。Conorisではお客様において「目標・方向性の共有」ができるようご支援します。

技術対策
技術対策としてアンチウイルスソフトやデバイス管理のシステムを導入する場合には、契約や設定を含めかなり長いリードタイムを想定する必要があります。Conorisではシステム導入の要否判断や設定の代行などを含め幅広くご支援します。

‍

ドキュメント整備・情報資産洗い出し・リスク分析・対策
ConorisではISMS取得・維持に必要な20以上のドキュメント雛形をご提供しています。ドキュメントには大幅な改定が不要なもの・組織ごとにしっかりと整備が必要なものに分かれます。
後者には、情報資産やリスクの管理台帳などが挙げられますが、Conorisでは文書の管理やその後の運用について徹底的にご支援します。

BCP試験・教育・内部監査・マネジメントレビュー・審査
ISMS取得において、全社員・全部門・経営陣を巻き込んで行う必要のあるイベントが複数あります。トップマネジメントや部門長の予定を予め抑えておくといったスケジューリングを含めて、Conorisでは運用ノウハウを惜しみなくご提供します。

※ 内部監査・マネジメントレビューを完全にConorisに代行する場合やISMS審査の立ち会いはオプションとなります

‍