ISMS(情報セキュリティマネジメントシステム)とは、企業や組織が管理する情報を安全に取り扱うための仕組みのことです。
企業や組織は、ISMSを行うことで情報を安全に取り扱えるようになるだけでなく、自社の信頼性の向上や、万が一の事故からの速やかな復旧と回復、DX(デジタルトランスフォーメーション)の加速などが期待できます。また、最近では気候変動による企業活動への深刻な影響が懸念されており、その対策の重要性からもISMSは注目を集めています。
今回は、ISMSの概要や7つのセキュリティ要素、認証取得のメリット、Pマークとの違いも解説していきます。
ISMSとは?情報セキュリティマネジメントシステム
ISMSとは、「Information Security Management System」の略で、日本語では「情報セキュリティマネジメントシステム」と訳します。
近年、ITシステムやネットワークは、社会インフラとしての重要性がますます高まっています。その一方で、企業や組織を標的としたサイバー攻撃や、ランサムウェア(身代金要求型のマルウェア)などによる脅威や被害も増加しています。
こうした情報セキュリティの脅威に対し、適切な対策を講じることがISMS(情報セキュリティマネジメントシステム)です。ISMSでは、以下の要素を含む体系的なセキュリティを構築することが求められます。
機密性(Confidentiality)
機密性とは、情報資産に対するアクセス制限や不正アクセス対策を行って、情報資産が不正に利用されたり盗難されたりすることを防ぐことです。例えば、ID・パスワードの適切な設定と運用、2段階認証や顔認証などの多要素認証の導入、ファイアーウォールの設定などの対策を行い、許可された者だけが情報にアクセスできるように対策する必要があります。
機密性を担保することで、外部からのサイバー攻撃や内部の情報漏洩などのリスクを大幅に低減することができ、情報資産を安全に活用できるようになります。
完全性(Integrity)
完全性とは、データが常に正しい状態を保ち、不正な改ざんや消去などのリスクがないことを担保することです。また、システムの情報処理方法や利用手順も明確化され、操作ミスや意図しない処理結果を防ぐ必要もあります。例えば、最新のITツールやセキュリティ対策を導入し、外部からのサイバー攻撃や内部からの不正利用を防ぎ、データの整合性を常に保つ必要があります。
完全性を担保することで、情報資産の利用者は常にシステムやデータを信頼することができます。情報の取り扱い方法も明確に手順化され、操作ミスによるデータ改ざんリスクも低減する効果が期待できます。
可用性(Availability)
可用性とは、自然災害や停電、サイバー攻撃、機器の故障などのリスクに十分な対策を行い、システムやデータが利用できなくなることを未然に防ぐ対策です。例えば、自家発電設備の導入や、電源やデータベースの冗長化、地震や水害、火災への対策、運用や保守体制の見直しなどが考えられます。
システムやデータの可用性が高まることで、不測の事態による業務停止リスクを低減できます。また、システムやデータが利用できない状態に陥ったとしても、速やかな業務の復旧が期待できるようになります。
機密性、完全性、可用性の3要素は、「情報のCIA」とも呼ばれています。ISMSでは、さらに以下の4つの要素についても含める場合があります。
信頼性(Reliability)
信頼性とは、システムが常に正しく実行され、その処理結果も常に正しい状態を有することを言います。システムの利用者が求める処理が確実に行われ、必ず正しい結果が得られるため、安心して利用することができます。
誤った処理が行われたり、誤った結果が得られたりする可能性がある場合、利用者はシステムを信頼することができません。また、顧客や取引先にも迷惑をかける可能性が高まり、企業や組織の信頼性が失墜することにも繋がります。そのため、情報セキュリティの観点からもシステムやデータの信頼性を担保することはとても重要です。
真正性(Authenticity)
真正性とは、情報資産にアクセスしたシステムや処理、実行者が本当に正しいものであるかを識別できることを言います。機密性が担保されたシステムであっても、本人を偽った利用者が正規の情報を装ってアクセスしてくる可能性があります。
この場合、生体認証やメール認証、デバイス認証などのID・パスワード以外の認証方法も組み合わせることで、本人を偽った利用者を識別することができ、真正性を高めることができます。
責任追跡性(Accountability)
責任追跡性とは、アクセスログや操作履歴を記録・保管することで、後からシステムの処理内容や実行者を追跡できる仕組みを有することです。責任追跡性が担保されることで、万が一の不正アクセスや操作ミス、システムのバグなどが原因で情報資産や処理の実行に問題が発生しても、原因の特定や対策が可能となります。
責任追跡性が担保できていない場合、なぜ事故やミスが起きてしまったのかが特定できないため、有効な対策を行うことができません。そのため、情報セキュリティを高めるためには責任追跡性が担保されることが重要です。また、不正な利用者や誤った操作を特定できる体制を構築することは、サイバー攻撃や内部の不正利用を抑止する効果も期待できます。
否認防止(Non-repudiation)
否認防止とは、システムを操作したり、情報資産にアクセスしたりしたことを、あとで取り消せないようにすることです。電子署名や生体認証などの確実性の高い本人認証と組み合わせることで、原因や実行者の特定に役立てることもでき、速やかで確実な問題解決が期待できます。
否認防止が担保されることで、あとでうそをついたり、ごまかしたりすることができないため、利用者はより慎重にシステムや情報資産を取り扱うようになります。また、システムや情報資産の気密性や完全性、信頼性、責任追跡性も向上が期待できます。
より強固な情報セキュリティマネジメントを行いたい場合は、「情報のCIA」に4要素を追加した「情報セキュリティの7要素」について対策を講じることをご検討ください。
参考:一般財団法人 日本情報経済社会推進協会(JIPDEC)『ISMSユーザーズガイド- JIS Q 27001:2023(ISO/IEC 27001:2022)対応-』
より確実なISMSを行うには?
ISMSは、企業や組織が独自に対策を進めることもできます。しかし、企業や組織が独自に行うISMSには明確な基準がなく、その対策の有用性や信頼性を顧客や取引先が客観的に評価することは難しいです。また、独自のISMSには、重大なセキュリティの見落としや、対策すべき内容の漏れなどが生じる可能性もあります。
そのため、より確実なISMSを行うためには、国際的な標準規格および国内規格に準拠したISMSを構築し、その認証が取得できる「ISMS適合性評価制度(ISMS認証)」の活用がおすすめです。
ISMS認証とは?
ISMS認証とは、国際的な標準規格(ISO/IEC 27001)および国内規格(JIS Q 27001)に準拠した情報セキュリティマネジメント対策を行った企業や組織を認証する制度です。一般社団法人情報マネジメントシステム認定センター(ISMS-AC)が認定機関となり、ISMS-ACの認定を受けた機関が、ISMS認証の申請を行った企業や組織の認証審査を行います。
ISMS認証への適合が認証された企業や組織には、認証文書(JIS Q 27001 登録証)が交付され、「認定シンボル」の使用が許可されます。
参考:一般社団法人情報マネジメントシステム認定センター(ISMS-AC)『ISMS適合性評価制度 JIS Q 27001:2023(ISO/IEC 27001:2022)対応版』
プライバシーマーク(Pマーク)との違い
企業が管理する個人情報を保護する規格として「プライバシーマーク(Pマーク)」という認証制度もあります。個人情報保護に特化したセキュリティ対策を行いたい場合は、プライバシーマークの取得が適している可能性があります。
一方、個人情報だけでなく、企業内のすべての情報資産やその管理方法、セキュリティ対策を行いたい場合は、ISMS認証が適していると考えられます。また、ISMSは国際標準規格に対応しているため、グローバル展開を行う企業にはISMS認証がおすすめです。
ISMS認証を取得するメリット
ISMS認証を取得する主なメリットは以下の5つです。
- セキュリティリスクに対する適切な対策が行える
- 自社の信頼性が向上する
- 内部のセキュリティ意識が高まる
- 事故発生時の被害軽減と迅速な復旧ができる
- 対外的なアピールに活用できる
それぞれを解説します。
①セキュリティリスクに対する適切な対策が行える
1つ目のISMS認証を取得するメリットは、セキュリティリスクに対する適切な対策が行えることです。
ISMS認証を取得するためには、企業が保有する情報資産を洗い出し、それぞれのリスクを評価するとともに管理方法を決定していきます。国際標準規格(ISO/IEC 27001)に基づく抜け漏れのない管理が行えるため、セキュリティリスクに適切に対応することができます。
一方、企業が独自にISMSを行う場合は、情報資産のリストアップやリスク管理に抜け漏れが発生する可能性があります。適切なセキュリティ対策が行われていないと、その脆弱性を攻撃されたり、内部から情報が流出したりする恐れがあるため注意が必要です。
②自社の信頼性が向上する
2つ目のISMS認証を取得するメリットは、自社の信頼性が向上することです。
ISMS認証を取得・維持することによって、情報セキュリティ対策やコンプライアンスを強化できるため、顧客や取引先からの自社への信頼性向上が期待できます。適切なリスク管理と対策を行っていることで、顧客や取引先の安心感にもつながり、売り上げの向上や新たな取引先の開拓に寄与する可能性もあります。
また、国際標準規格と国内規格に適合したISMSを実施していることを証明できるため、企業イメージの向上も期待できます。認定シンボルをホームページや名刺、会社案内、製品やサービスの説明書などに使用すれば、自社のセキュリティ意識の高さをアピールすることができるでしょう。
近年、セキュリティ意識の高い大企業や行政機関によっては、ISMS認証の取得が取引条件の1つになっている場合もあります。また、海外のグローバル企業でも、ISMS認証の取得を求められる場合があります。
ISMS認証を取得し、自社のセキュリティ意識の高さを対外的なアピールに活用していきましょう。
③内部のセキュリティ意識が高まる
3つ目のISMS認証を取得するメリットは、内部のセキュリティ意識が高まることです。
ISMS認証を取得するためには、社内の情報資産の取り扱い方法やシステムの利用手順、事故発生時の対処法などを取り決める必要があります。また、ISMS認証は毎年維持審査が行われるため、決められた管理方法や取り扱い手順が順守されているかをチェックする必要があります。こうした取り組みが継続されることにより、内部のセキュリティ意識を高めることができます。
内部のセキュリティ意識が高まることで、重大な事故を未然に防ぐ効果や情報資産を適切に管理する効果も生まれ、さらなるセキュリティ強化につながります。
④事故発生時の被害軽減と迅速な復旧ができる
4つ目のISMS認証を取得するメリットは、事故発生時の被害軽減と迅速な復旧ができることです。
万が一、セキュリティ事故が発生した場合でも、ISMS認証で適切なリスク管理が行えているため、被害を軽減する効果が期待できます。また、復旧手順も予め決まっていることから、事業に与える影響を最小限に抑え、迅速な復旧が期待できます。
一方、ISMS認証を取得していない場合、初動対応が遅れて被害が拡大する恐れがあります。復旧に時間がかかる場合、事業活動に深刻な影響を及ぼす可能性もあります。なお、顧客や取引先から適切なリスク管理と対策を行っていなかったと評価された場合、企業の信頼性が長期的に毀損する場合もあるため注意が必要です。
⑤DXの加速が期待できる
5つ目のISMS認証を取得するメリットは、DXの加速が期待できることです。
ISMS認証を取得するためには、より安全で効率的な情報資産の管理と強固なセキュリティ対策の実施が求められます。これにより自社のデジタル化や業務効率が進むため、副次的な効果としてDX(デジタルトランスフォーメーション)が加速します。
DXが加速することで、顧客や取引先に新たな価値や体験の提供につながり、自社の競争優位性の確立が期待できます。DXによる企業の持続的な成長維持のためにも、ISMS認証の取得を検討してみてはいかがでしょうか?
ISMS認証のデメリットや注意点
ISMSの主なデメリットは以下の3つです。
- 費用がかかる
- 時間と手間がかかる
- 取得後も更新が必要
それぞれを解説します。
①費用がかかる
1つ目のISMS認証のデメリットや注意点は、費用がかかることです。
ISMS認証を取得するためには、審査を行う認証機関への審査費用の支払いが必要です。審査費用は審査にかかる工数や従業員規模、事業規模、認証機関によっても異なりますが、小規模な申請で数十万円、大規模になると数百万円が必要となります。また、ISMS認証を取得した後も、定期的な維持更新費用が必要です。
ISMS認証を取得するにあたってコンサルティング会社に支援を求める場合は、別途コンサルティング費用が発生します。また、新たなITツールの導入や設備・機器等の見直しが必要な場合は、その費用も追加で発生します。
②時間と手間がかかる
2つ目のISMS認証のデメリットや注意点は、時間と手間がかかることです。
ISMS認証の取得に際しては、自社が扱う情報資産の洗い出しや管理方法の策定、セキュリティ対策の実施など、さまざまな対応が必要になります。そのため、ISMS認証に必要な期間は、半年~1年程度となる場合が多いです。
時間と手間がかかるというデメリットはありますが、国際標準規格に則った情報セキュリティマネジメントが構築できます。ISMS認証で得られるメリットも大きいため、計画的に時間と手間を投入し、より強固なセキュリティ対策を実施していきましょう。
③取得後も更新が必要
3つ目のISMS認証のデメリットや注意点は、取得後も更新が必要なことです。
ISMS認証は取得したらそれで終わりではありません。3年に1回の更新審査と、年1回の維持審査が必要となります。審査の度に、セキュリティ対策が適切に実施されているか、新たなセキュリティ脅威が発生していないか、事故やヒヤリハットに対して適切な対応が実施されているかなどについて、確認や検証を行う必要があります。
ただし、ISMS認証を取得した後も定期的な審査とチェックを行うことで、自社のセキュリティレベルを維持・強化することができます。スムーズに審査をパスできるよう、日頃から情報資産の適切な管理とセキュリティ対策を実施していきましょう。
ISMS認証の気候変動に係る追補版発行について
2024年4月には、ISMS認証の規格に気候変動の課題への考慮を求める記述が追加されました。自社のISMSにおける気候変動の側面とリスクを考慮し、該当する場合は、組織の目標や活動に組み込まれていることを確認する必要があります。
ISMS認証を取得しようとする企業には、気候変動による自然災害や停電などのトラブルに対するBCP(Business Continuity Plan:事業継続性)対策の強化だけでなく、温室効果ガスの排出に対する配慮も求められつつあります。ISMS認証の取得・維持することによって、ペーパーレス化やクラウド化、リモートワーク化などを推進し、より持続可能性の高い事業への見直しも進めていきましょう。
参考:一般社団法人情報マネジメントシステム認定センター(ISMS-AC)『マネジメントシステム規格への気候変動に係る追補版発行について』
ISMS認証を取得するまでの流れ
ISMS認証を取得するまでのおおまかな流れは以下の通りです。
なお、初回審査の後も年に1回以上の中間的な審査(サーベイランス審査)が、そして3年ごとに認証の有効期限を更新するための全面的な審査(再認証審査)が実施されます。定期的な審査を行うことで、組織のISMSが引き続き規格に適合し、有効に維持されていることが確認できます。
参考:一般社団法人情報マネジメントシステム認定センター(ISMS-AC)『ISMS適合性評価制度 JIS Q 27001:2023(ISO/IEC 27001:2022)対応版』
まとめ ISMS(情報セキュリティマネジメント)について
今回は、ISMS(情報セキュリティマネジメント)について解説しました。
ISMSは、企業が独自に行うこともできますが、国際標準規格と国内規格に適合したISMSを構築できるISMS認証がおすすめです。ISMS認証を取得することで、セキュリティレベルを高め、顧客や取引先の信頼性を向上できます。また、内部のセキュリティ意識が高まるとともに、万が一の事故の際の被害軽減や迅速な復旧も期待できます。ISMS認証の認定マークを使用できることで、対外的なアピールに使えることも大きなメリットです。
自社のセキュリティを強化することで、自社のDXを加速させ、ビジネスチャンスを拡大したいとお考えの方は、ISMS認証の取得を検討してみてはいかがでしょうか?
GREEN CROSS PARKのDX
東急不動産が展開する産業まちづくりプロジェクト「GREEN CROSS PARK(グリーンクロスパーク)」は、まち全体に先進的なDX基盤整備を行う構想のある新しい産業団地です。高速通信や自動運転技術の先行整備などにより、ここに集う産業に新たな可能性を広げます。
