ISMS認証取得への道のり：計画から維持まで徹底解説

はじめに：ISMS認証取得の重要性

現代のビジネス環境において、情報は企業活動の根幹をなす重要な資産です。一方で、サイバー攻撃の高度化、内部不正による情報漏洩など、情報セキュリティに関するリスクは日々増大しています。このような状況下で、企業が信頼を維持し、事業を継続していくためには、組織的な情報セキュリティ対策が不可欠です。

そこで注目されるのがISMS（Information Security Management System：情報セキュリティマネジメントシステム）です。ISMSは、組織が情報資産を適切に管理し、その機密性、完全性、可用性を維持するための仕組みを指します。そして、このISMSが国際規格である「ISO/IEC 27001」（日本では「JIS Q 27001」）の要求事項を満たしていることを第三者機関が証明するのがISMS認証です。

ISMS認証を取得することは、単にセキュリティ対策を強化するだけでなく、取引先や顧客からの信頼獲得、従業員のセキュリティ意識向上、さらには企業価値の向上にも繋がります。本記事では、ISMS認証取得を目指す企業担当者の皆様に向けて、そのプロセス、重要なポイント、そして維持・更新について、ステップバイステップで詳しく解説していきます。

ISMS（ISO/IEC 27001）の概要

ISMSとは何か？

ISMSは、特定の問題に対する技術的な対策だけでなく、組織全体のマネジメントシステムとして情報セキュリティに取り組む枠組みです。自組織のリスクアセスメント（リスクの特定、分析、評価）を通じて必要なセキュリティレベルを決定し、計画（Plan）、実施（Do）、点検（Check）、処置（Act）のPDCAサイクルを回しながら、継続的に情報セキュリティを改善していくことを目指します。

ISMSの目的は、リスクマネジメントプロセスを適用することで、情報資産の「機密性」「完全性」「可用性」という3つの要素をバランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者（顧客、取引先、株主、従業員など）に与えることです。

ISO/IEC 27001規格とは？

ISO/IEC 27001は、ISMSを構築・運用するための要求事項を定めた国際規格です。組織が保有する情報資産のリスクを適切に管理し、情報セキュリティを確保・維持するための枠組みを提供します。この規格に基づいてISMSを構築し、第三者認証機関による審査に合格することで、ISMS認証を取得できます。

日本国内では、ISO/IEC 27001を日本語に翻訳し、国内規格としたJIS Q 27001が発行されています。内容はISO/IEC 27001と基本的に同じです。

2022年版（ISO/IEC 27001:2022）の主な変更点

2022年10月25日に、ISO/IEC 27001の改訂版である「ISO/IEC 27001:2022」が発行されました。これは、主に関連規格であるISO/IEC 27002（情報セキュリティ管理策の実践のための規範）の改訂に伴うものです。主な変更点は以下の通りです。

• 規格名称の変更: 「Information security, cybersecurity and privacy protection — Information security management systems — Requirements」（情報セキュリティ、サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項）となり、サイバーセキュリティとプライバシー保護の側面が強調されました。
• 附属書Aの構成変更: 管理策（具体的なセキュリティ対策）の数が114項目から93項目に整理・統合され、以下の4つのテーマに再分類されました。
  • A.5 組織的管理策 (37項目)
  • A.6 人的管理策 (8項目)
  • A.7 物理的管理策 (14項目)
  • A.8 技術的管理策 (34項目)
• 新しい管理策の追加: 時代の変化に対応するため、以下の11の管理策が新たに追加されました。
  1. 脅威インテリジェンス
  2. クラウドサービス利用のための情報セキュリティ
  3. 事業継続のためのICTの準備
  4. 物理的セキュリティの監視
  5. 構成管理
  6. 情報の削除
  7. データマスキング
  8. データ漏えい防止
  9. 監視活動
  10. Webフィルタリング
  11. セキュアコーディング
• 属性の導入: 各管理策に「管理策タイプ」「情報セキュリティ特性」「サイバーセキュリティ概念」「運用能力」「セキュリティドメイン」といった属性が付与され、管理策の目的や特性に応じた分類・選択がしやすくなりました。
• 本文（要求事項）の変更: 軽微な変更が中心ですが、「利害関係者のニーズと期待の変化」をマネジメントレビューのインプットに含める（9.3.2 c) 2)）などの更新があります。

既にISMS認証を取得している組織は、2025年10月31日までに新しい規格（ISO/IEC 27001:2022）への移行を完了する必要があります。これから新規に取得する場合は、基本的に新しい規格での構築・審査となります。

ISMS認証取得のステップ

ISMS認証取得は、一般的に以下のステップで進められます。組織の規模や状況によって期間は異なりますが、準備開始から認証取得まで、平均して6ヶ月～1年半程度かかることが多いです。コンサルティング会社の支援を受けることで、期間を短縮できる場合もあります。

ステップ1：準備フェーズ（約2～3ヶ月）

ISMS構築・認証取得プロジェクトの土台を作る重要なフェーズです。

1. 経営層のコミットメント確保: ISMSの構築・運用には経営層の理解と支援が不可欠です。目的、メリット、必要なリソース（人、モノ、金、時間）を説明し、トップダウンで推進する体制を整えます。
2. ISMS認証取得の宣言（キックオフ）: 組織全体にISMS認証取得を目指すことを宣言し、目的意識を共有します。
3. 推進体制の構築: プロジェクトリーダーや事務局メンバーを選任します。情報システム部門だけでなく、各部門からメンバーを選出すると、現場の実態に合ったISMS構築が進めやすくなります。
4. 適用範囲の決定: ISMSを適用する組織、拠点、事業、情報資産の範囲を明確にします。全社適用だけでなく、特定の部門やサービスに限定することも可能です。適用範囲外との情報のやり取りについても考慮が必要です。
5. 情報セキュリティ基本方針の策定・承認: 組織の情報セキュリティに対する基本的な考え方、目的、方向性を文書化し、経営層が承認します。これはISMS全体の指針となります。
6. ギャップ分析（現状把握）: ISO/IEC 27001の要求事項と、自社の現状の情報セキュリティ対策との差（ギャップ）を洗い出します。これにより、今後取り組むべき課題が明確になります。
7. プロジェクト計画策定: ギャップ分析の結果を踏まえ、具体的なタスク、担当者、スケジュール、予算などを盛り込んだプロジェクト計画を作成します。
8. 審査機関の選定（仮）: 早い段階でいくつかの審査機関にコンタクトを取り、特徴や費用、審査の進め方などを比較検討しておくとスムーズです。（審査機関については後述）

ステップ2：文書化フェーズ（ISMS構築）

ギャップ分析で明らかになった課題に対応するため、ISMSのルールブックとなる各種文書を作成します。

1. 情報資産の洗い出しとリスクアセスメント:
   • 情報資産の特定: 適用範囲内で管理すべき情報資産（書類、データ、ソフトウェア、ハードウェア、インフラ、人など）をリストアップします（情報資産管理台帳の作成）。
   • 脅威と脆弱性の特定: 各情報資産に対する脅威（例：不正アクセス、マルウェア感染、紛失、災害）と、それに対する弱点（脆弱性）（例：パスワードの使い回し、OSが古い、施錠されていない）を特定します。
   • リスク評価: 特定した脅威と脆弱性から、情報資産の機密性・完全性・可用性が損なわれる可能性（発生可能性）とその影響度を評価し、リスクレベルを決定します。
   • リスク対応計画: 評価したリスクに対し、「リスク回避」「リスク低減（管理策の導入）」「リスク共有（保険加入など）」「リスク受容（許容）」のいずれかの対応方針を決定し、具体的な対策計画を立てます。
2. 管理策の選択と適用宣言書（SoA）の作成:
   • リスク対応計画に基づき、ISO/IEC 27001附属書Aの管理策（93項目）の中から、自組織に適用する管理策を選択します。
   • 選択した管理策について、なぜそれが必要なのか（適用理由）、どのように実施するのかを文書化します。
   • 適用しない管理策については、その理由（適用除外理由）を明記します。
   • これらをまとめたものが「適用宣言書（Statement of Applicability: SoA）」であり、ISMS審査における重要な文書となります。
3. 各種規程・手順書の作成・改訂: 選択した管理策を実施するための具体的なルール（規程）や作業手順（手順書）を作成または既存文書を改訂します。これには、情報セキュリティ基本方針の下位文書として、情報資産管理規程、アクセス管理規程、委託先管理規程、インシデント対応手順書、内部監査規程などが含まれます。

ステップ3：運用フェーズ（約3ヶ月以上）

作成したルール（ISMS）を組織内に浸透させ、実際に運用を開始するフェーズです。審査を受けるためには、一般的に最低3ヶ月程度の運用実績が必要とされます。

1. 従業員への教育・訓練: ISMSの目的、情報セキュリティ基本方針、各自が守るべきルール、インシデント発生時の対応などについて、全従業員（適用範囲内）を対象に教育を実施します。eラーニングや集合研修などの方法があり、理解度テストを行うことも有効です。教育記録は必ず保管します。
2. ISMSの運用開始: 策定した規程や手順書に基づき、日々の業務の中でISMSを運用します。アクセス管理、バックアップ、クリアデスク・クリアスクリーン、ソフトウェア管理などを実践します。運用記録（ログなど）も適切に取得・保管します。
3. 内部監査の実施: 自組織内で選任された内部監査員が、ISMSが規格要求事項や組織のルールに適合しているか、そして有効に機能しているかを客観的にチェックします。
   • 内部監査計画: 監査の目的、範囲、基準、スケジュール、監査チームなどを計画します。
   • チェックリスト作成: 監査項目をまとめたチェックリストを作成します。
   • 監査実施: 関係者へのヒアリングや記録の確認などを行います。
   • 不適合・改善点の指摘: ルールからの逸脱（不適合）や改善すべき点があれば指摘します。
   • 是正処置要求: 不適合に対しては、原因究明と是正処置、再発防止策の実施を要求します。
   • 内部監査報告書作成: 監査結果をまとめ、経営層に報告します。
4. マネジメントレビューの実施: 内部監査の結果、前回レビューからのフォローアップ状況、利害関係者からのフィードバック、リスクアセスメントの結果、インシデント発生状況などをインプットとして、経営層がISMS全体の有効性、妥当性、適切性を評価し、継続的な改善のための指示や決定を行います。マネジメントレビューの議事録も必須文書です。

ステップ4：審査フェーズ（約1～3ヶ月）

構築・運用してきたISMSが、ISO/IEC 27001の要求事項に適合しているかを、第三者である認証機関（審査機関）が審査します。審査は通常、第一段階と第二段階の2回に分けて実施されます。

1. 審査機関の決定と契約: 事前に比較検討していた審査機関の中から1社を選定し、審査契約を結びます。
2. 第一段階審査（文書審査）: 主にISMSに関する文書（基本方針、適用宣言書、規程類、リスクアセスメント記録、内部監査報告書、マネジメントレビュー記録など）が、規格要求事項を満たしているか、また、第二段階審査に進む準備ができているかが確認されます。審査員が組織を訪問して行う場合と、リモートで行う場合があります。
3. 第二段階審査（現地審査）: 審査員が実際に組織の拠点（適用範囲内）を訪問し、ISMSが文書通りに、かつ有効に運用されているかを、現場でのヒアリングや記録の確認を通じて審査します。従業員へのインタビューも行われます。
4. 不適合事項への是正処置: 審査で規格要求事項を満たしていない点（不適合）が指摘された場合、その原因を分析し、是正処置と再発防止策を実施し、審査機関に報告します。重大な不適合がある場合は、認証が見送られることもあります。

ステップ5：認証取得と維持・更新

1. 認証取得: 第二段階審査での不適合事項に対する是正処置が承認されると、審査機関内の判定委員会を経て、ISMS認証が正式に発行されます。認証書が授与され、認証マークの使用が可能になります。
2. 維持審査（サーベイランス審査）: ISMS認証の有効期間は通常3年間です。その間、ISMSが継続的に維持・改善されているかを確認するため、原則として年1回（または半年に1回）、維持審査が行われます。審査範囲は限定的ですが、PDCAサイクルが回っているかなどがチェックされます。
3. 更新審査（再認証審査）: 認証の有効期限（3年）を迎える前に、認証を更新するための審査が行われます。第二段階審査と同様に、ISMS全体の運用状況が審査対象となります。

ISMS認証は、取得がゴールではありません。継続的な運用と改善を通じて、情報セキュリティレベルを維持・向上させていくことが最も重要です。

ISMS認証取得のメリット・デメリット

ISMS認証取得には多くのメリットがありますが、一方で考慮すべき点（デメリット）も存在します。

メリット

• 情報セキュリティレベルの向上: 組織全体で情報セキュリティに取り組む仕組みが構築され、リスクに応じた適切な対策が実施されるため、セキュリティレベルが向上します。インシデント発生リスクの低減や、発生時の被害最小化に繋がります。
• 社会的信用の向上・企業イメージアップ: 国際規格に基づく認証を取得することで、情報セキュリティ対策を適切に行っていることの客観的な証明となり、顧客や取引先からの信頼が高まります。これは、新規取引の獲得や入札案件での有利性にも繋がる可能性があります。
• 従業員のセキュリティ意識向上: ISMSの構築・運用プロセスや定期的な教育を通じて、従業員一人ひとりの情報セキュリティに対する意識が高まり、ルール遵守の徹底やインシデントの未然防止に貢献します。
• 業務プロセスの見直し・効率化: 情報資産の洗い出しやリスクアセスメントを通じて、業務プロセスにおける無駄や非効率な点が見直され、結果的に業務効率が向上することがあります。
• 法令遵守（コンプライアンス）体制の強化: ISMSは関連する法令や規制要求事項を考慮することが求められるため、コンプライアンス体制の強化にも繋がります。
• 事業継続性の向上: インシデント発生時の対応計画や復旧手順を整備することで、事業中断リスクを低減し、事業継続性の向上に貢献します（特にISO 22301（事業継続マネジメントシステム）と連携する場合）。
• IPO準備における工数削減: IPO（新規株式公開）を目指す企業にとって、求められる内部統制（IT統制）の一部をISMS構築によって整備できるため、準備にかかる工数を削減できる場合があります。

デメリット

• コスト（費用）がかかる:
  • 審査費用: 認証機関に支払う審査費用（初期審査、維持審査、更新審査）。組織規模や適用範囲により数十万円～数百万円程度。
  • コンサルティング費用: 外部コンサルタントを利用する場合の費用。
  • 内部工数（人件費）: 文書作成、教育、内部監査、審査対応など、社内担当者の人件費（時間的コスト）。
  • 対策費用: 新たなセキュリティツール導入や設備投資が必要な場合の費用。
• 手間と時間がかかる: 文書作成、ルールの周知徹底、教育、内部監査、審査対応など、認証取得と維持のために継続的な手間と時間（リソース）が必要となります。特に専任担当者がいない場合、通常業務との兼務となり負担が大きくなる可能性があります。
• 業務の形式化・柔軟性の低下リスク: ルールを厳格に定めすぎると、業務が形式的になり、かえって非効率になったり、状況に応じた柔軟な対応が難しくなったりする可能性があります。現場の実態に合わせた、バランスの取れたルール作りと運用が重要です。

これらのメリット・デメリットを十分に比較検討し、自社の状況に合わせてISMS認証取得の是非や進め方を判断することが重要です。

まとめ：ISMS認証は継続的な改善へのスタートライン

ISMS認証取得の道のりは、計画策定から始まり、文書化、運用、審査、そして認証取得と、多くのステップと労力を要します。しかし、その過程で得られる情報セキュリティ体制の強化や従業員の意識向上、そして対外的な信頼獲得は、企業にとって大きな価値をもたらします。

重要なのは、ISMS認証取得をゴールと捉えるのではなく、情報セキュリティを継続的に改善していくためのスタートラインと考えることです。脅威や技術、ビジネス環境は常に変化しています。PDCAサイクルを回し続け、リスクを定期的に見直し、ISMSを時代に合わせてアップデートしていくことが、真の情報セキュリティ強化に繋がります。

本記事が、ISMS認証取得を目指す皆様の一助となれば幸いです。自社の状況に合わせて計画を立て、着実にステップを進めていきましょう。