ISMSとは
ISMS(Information Security Management System / 情報セキュリティマネジメントシステム)は、組織が情報資産を適切に保護するための仕組み(マネジメントシステム)です。国際規格ISO/IEC 27001がISMSの要求事項を定めており、第三者認証機関による審査に合格することで「ISMS認証」を取得できます。
ISMSが重視するのは情報セキュリティの3要素(CIA)です。
| 要素 | 英語 | 内容 |
|---|---|---|
| 機密性 | Confidentiality | 認可された者だけが情報にアクセスできること |
| 完全性 | Integrity | 情報が正確で改ざんされていないこと |
| 可用性 | Availability | 必要な時に情報やシステムが利用できること |
日本語版はJIS Q 27001として制定されており、最新版はJIS Q 27001:2023(ISO/IEC 27001:2022対応)です。
2022年改訂の概要
ISO/IEC 27001は2022年10月に約9年ぶりに改訂され、ISO/IEC 27001:2022が発行されました。改訂の背景には、クラウドサービスの普及、テレワークの一般化、サプライチェーン攻撃の増大、サイバー攻撃の高度化があります。
主な変更点
| 変更点 | 旧版(2013年版) | 新版(2022年版) |
|---|---|---|
| 管理策の数 | 114項目 | 93項目(統合・整理) |
| 管理策のカテゴリ | 14カテゴリ | 4カテゴリ |
| 新規管理策 | — | 11項目を新規追加 |
| 本文の変更 | — | 「6.3 変更の計画策定」を追加 |
| 日本語版 | JIS Q 27001:2014 | JIS Q 27001:2023 |
本文(箇条4〜10)の要求事項には大きな変更はなく、最大の変更は附属書A(管理策)の再編です。
93管理策の4カテゴリ
旧版の14カテゴリが以下の4カテゴリに整理されました。この分類は個人情報保護法のガイドラインで採用されている安全管理措置の分類と同じで、日本企業には馴染みやすい構成です。
| カテゴリ | 管理策数 | 主な内容 |
|---|---|---|
| 組織的管理策 | 37 | ポリシー、役割と責任、資産管理、アクセス制御方針、サプライヤー管理、事業継続、コンプライアンス |
| 人的管理策 | 8 | 採用審査、雇用条件、意識向上・教育、懲戒、退職時対応、秘密保持 |
| 物理的管理策 | 14 | 入退室管理、オフィスのセキュリティ、機器の保護、ケーブル配線、メディア管理 |
| 技術的管理策 | 34 | アクセス制御、認証、暗号化、ログ管理、マルウェア対策、脆弱性管理、バックアップ |
新規追加11管理策
2022年版で新たに追加された11の管理策は、現代のセキュリティ課題を反映しています。
| 番号 | 管理策 | カテゴリ | 概要 |
|---|---|---|---|
| 5.7 | 脅威インテリジェンス | 組織的 | 最新の脅威情報を収集・分析し、対策に活用 |
| 5.23 | クラウドサービスのセキュリティ | 組織的 | クラウド利用時の情報セキュリティ要件 |
| 5.30 | 事業継続のためのICTの備え | 組織的 | サイバー攻撃を含むICTの事業継続計画 |
| 7.4 | 物理的セキュリティの監視 | 物理的 | 監視カメラ等による物理的な監視 |
| 8.9 | 構成管理 | 技術的 | ハードウェア・ソフトウェアの構成情報の管理 |
| 8.10 | 情報の削除 | 技術的 | 不要になった情報の安全な削除 |
| 8.11 | データマスキング | 技術的 | テスト環境等での個人情報のマスキング |
| 8.12 | データ漏洩防止(DLP) | 技術的 | データの不正な持ち出し・漏洩の検知・防止 |
| 8.16 | 監視活動 | 技術的 | ネットワーク・システムの異常検知のための監視 |
| 8.23 | Webフィルタリング | 技術的 | 悪意あるWebサイトへのアクセス制限 |
| 8.28 | セキュアコーディング | 技術的 | ソフトウェア開発時の安全なコーディング手法 |
2025年10月の移行期限
旧版(ISO/IEC 27001:2013)からの移行期限は2025年10月31日です。この期日を過ぎると旧版での認証は無効になります。
- 既存認証企業:2025年10月31日までに移行審査を完了する必要がある
- 新規取得企業:2024年5月以降はISO/IEC 27001:2022での審査が必須
- 移行審査:通常の更新審査や維持審査と同時に実施されることが多い(半日〜1日追加)
取得の流れ
| Phase | 期間目安 | アクション |
|---|---|---|
| 1. 準備 | 1〜2ヶ月 | 適用範囲の決定、推進体制の構築、コンサルタント選定 |
| 2. 構築 | 2〜4ヶ月 | リスクアセスメント、適用宣言書作成、規程・手順書の策定 |
| 3. 運用 | 3〜6ヶ月 | 構築したISMSの運用、従業員教育、運用記録の蓄積 |
| 4. 内部監査・レビュー | 1ヶ月 | 内部監査の実施、マネジメントレビュー(経営層レビュー) |
| 5. 認証審査 | 1〜2ヶ月 | ステージ1(文書審査)→ ステージ2(実地審査) |
初回取得の場合、準備開始から認証取得まで通常6〜12ヶ月程度を見込みます。
費用と期間
| 項目 | 中小企業(〜100名) | 中堅企業(100〜300名) |
|---|---|---|
| コンサルティング費用 | 100〜300万円 | 200〜500万円 |
| 審査費用(初回) | 50〜100万円 | 100〜200万円 |
| 維持審査(年次) | 30〜60万円 | 50〜100万円 |
| 更新審査(3年ごと) | 50〜80万円 | 80〜150万円 |
| 取得期間 | 6〜10ヶ月 | 8〜12ヶ月 |
ISMSとPマークの違い
| 項目 | ISMS(ISO 27001) | Pマーク(JIS Q 15001) |
|---|---|---|
| 保護対象 | 情報資産全般(機密情報、技術情報、個人情報等) | 個人情報に特化 |
| 規格 | ISO/IEC 27001(国際規格) | JIS Q 15001(日本国内規格) |
| 適用範囲 | 組織の一部(部門・拠点単位)でも取得可能 | 組織全体が対象 |
| 有効期間 | 3年(毎年の維持審査あり) | 2年(更新審査あり) |
| 国際通用性 | 国際的に通用する | 日本国内のみ |
| 取得企業数 | 約7,000社(日本国内) | 約17,800社 |
| 適した企業 | IT企業、SI、クラウド事業者、製造業、グローバル企業 | BtoC企業、人材業、広告業、サービス業 |
NIST SP 800-53との対応
ISMSの管理策(ISO 27001 附属書A)は、NIST SP 800-53の管理策とのマッピング(対応表)がNISTから提供されています。すでにISMS認証を取得している企業は、このマッピング表を使って自社のセキュリティ対策をNIST基準で評価できます。
まとめ
ISMS(ISO 27001:2022)は93管理策を4カテゴリに整理し、クラウドセキュリティ、脅威インテリジェンス、DLP等の現代的な管理策を追加した最新版です。中小企業はまず適用範囲を絞って取得し、段階的に全社展開していくアプローチが現実的です。