キヤノンMJ/サイバーセキュリティ情報局
ISMS認証とはなにか? 取得のハードルとメリット・デメリットを解説
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「ISMSとは?認証を取得することのメリットと取得のハードルは? 」を再編集したものです。
自社へのサイバー攻撃が取引先へ悪影響をもたらしかねないサプライチェーン攻撃。こうしたリスクが高まる中で、自社のセキュリティ対策を客観的に評価することが時に求められるが、その際に有効なのがISMS認証の取得だ。この記事では、ISMS認証取得のメリットや取得する際のハードルについて解説する。
ISMSとは
ISMSとは「Information Security Management System」の頭文字からなる言葉で、和訳では「情報セキュリティマネジメントシステム」となる。端的に言えば、情報セキュリティを確保するためのリスクを把握し、適切に管理・運用するためのシステムのことだ。すなわち、情報セキュリティにおける以下の3つの構成要素を網羅し、運用していくための仕組みとなる。
1) 機密性(Confidentiality)
情報に対して適切にアクセス権を設定し、権限を持たないアクセスの遮断を目指す。機密性を高めるためには、情報の暗号化、認証の強化などといった対策を講じることになる。
2) 完全性(Integrity)
情報の改ざん、削除、破壊といった行為を防ぎ、情報が正確かつ完全な状態であることを目指す。完全性を目指すためには、正確なログの取得・記録、情報自体の適切かつ定期的なバックアップを行なうことが有効だ。
3) 可用性(Availability)
必要に応じて、情報へ柔軟かつ確実にアクセスできる状態のこと。可用性を確保するためには、システムやサービスの停止を防ぐことが求められる。そのために、冗長化や負荷分散などをハードウェア、ソフトウェアの両面から対策を講じることが求められる。
これらの3つの要素は、それぞれの頭文字をとり、「情報セキュリティのCIA」と呼ばれる。ISMSは、この情報セキュリティのCIAを組織的に実現するための対策全般だと言えるだろう。
ISMSに関連する規格、評価制度
ISMSに関連して、ISMSにおける要求事項を定めた規格や評価制度が存在する。以下に代表的なものを挙げていく。
・JIS Q 27001(ISO/IEC 27001)
国際規格であるISO27001をもとに、日本工業規格(JIS)として定めたものがJIS Q 27001だ。JIS Q 27001(ISO/IEC 27001)では、ISMSの要求事項が定められている。情報セキュリティのCIAが重視され、組織として講じるべき対策が体系的にまとめられている。組織がISMSを運用していくために、PDCAサイクルを回して改善を図ることを推奨している。また、組織的なセキュリティ対策を実行に移す際の参考書的な位置づけとして参照される。
・JIS Q 27002(ISO/IEC 27002)
国際規格であるISO27002をベースとして定められたものがJIS Q 27002である。組織における情報セキュリティ対策が体系的にまとめられているJIS Q 27001に対し、JIS Q 27002は実践的なガイドラインを提供する。ベストプラクティスの実施要項がまとめられており、個々の管理施策を実行に移す際に参考にできる内容がまとめられている。
・ISMS適合性評価制度
企業の情報セキュリティマネジメントシステムを、JIS Q 27001(ISO/IEC 27001)に基づき評価する制度のことである。第三者機関として組織のISMSを審査する認証機関の審査実施能力を、認定機関であるISMS-AC(情報システムマネジメント認定センター)が審査し、認定を行なう。この認定を得た認証機関が組織のISMSの認証審査を行なう。
・ISMS認証
ISO27001に基づく情報セキュリティ対策が適切に施されているかをISMS-ACが認定した認証機関が評価を行ない、要件を満たすと判断された場合に取得できる認証のこと。ISMS認証を取得できれば、国際基準のセキュリティ強度を満たしていることを証明することができる。
・プライバシーマーク
日本産業規格であるJIS Q 15001に基づき、個人情報の保護体制を第三者が評価し、適合していると判断された場合に使用が認められるマークのこと。企業の情報セキュリティ全般が評価されるISMSに対し、プライバシーマークは個人情報の保護体制に焦点が当てられる。日本の独自規格である点もISMSとは異なる。
ISMS認証を取得するメリットとデメリット
先述のとおり、ISMSの認証を取得することで、第三者である認定機関から「ISO/IEC 27001」に沿って、情報セキュリティを確保するための仕組みを適切に運用していることを客観的な立場から立証することが可能だ。以下、認証を取得することのメリットとデメリットを挙げていく。
1) メリット
・第三者的立場からの証明による、取引先からの信頼
ISMS認証があれば、組織的なセキュリティ対策の実施を対外的に示すことができるため、取引先からの信頼度の向上が期待できる。近年では、サプライチェーン攻撃の激化を背景に、取引条件にISMS取得が加えられる場合もある。また、官公庁の案件で入札条件にISMS取得が義務付けられることもある。取引先との関係性を維持するとともに、新規顧客の開拓の際にもISMS認証の取得はメリットがあるだろう。
・取得プロセスを経て、自社内のセキュリティ意識の醸成
ISMSを取得する過程で、組織内の情報資産を洗い出し、適切なセキュリティ対策を推進していくことになる。さらに、組織的なセキュリティマネジメント体制を構築し、継続的な対応が求められる。こうした過程を経ることで、従業員のセキュリティ意識が醸成され、結果的に人的要因のセキュリティインシデント発生も抑制され得る。情報漏えいの原因として人為的ミスが大きな要因を占めることを踏まえると、セキュリティ意識の醸成は組織にとってプラスに働くはずだ。
1) デメリット
・認証取得のためのコスト、手間の発生
ISMS認証の取得は評価する審査会社や審査される会社の規模によって異なるが、数十万円以上の一定額のコスト負担が必要となる。そして、ISMSの認証を取得した後も継続審査が必要になるため、ランニングコストの発生も考慮しておかねばならない。加えて、認証を取得するためにコンサルティング契約を行なう場合は、さらなる出費も求められる。
・認証以降に生じる審査などによる業務負荷
先述のように、ISMSは認証取得後も継続審査が発生し、関連する業務を担う従業員を配置する必要がある。マニュアルや運用記録などの書類を適切に管理することも求められ、業務に一定の負担が生じることになる。ほかにも、認証取得のためにセキュリティツールを導入するような場合、そのツールの保守・運用管理のための作業やコストも発生することになる。
ISMS認証取得の手順
ISMS認証の取得は以下のような手順で行なう。
1) 適用範囲の決定
ISMSは社内全体を対象とする必要はなく、対象とする部門や地域を絞って取得する方法もある。自社の事業内容や実態に応じて、適用範囲を決定するとよいだろう。
2) プロジェクトメンバーの選出
情報セキュリティマネジメントの責任者を決定し、その配下に所属するプロジェクトメンバーを選出する。場合によっては、部門を横断してのメンバー選出が必要になることもある。
3) マネジメントシステムの構築
情報セキュリティポリシーを策定し、情報セキュリティマネジメントを担う組織体制を構築する。また、ミーティングで決定した内容については、マニュアルやセキュリティ規定といった文書に残しておく。
4) マネジメントシステムの運用
先に決定したマニュアルや規定に沿って実際の運用を行なう。また、並行して従業員教育や内部監査も進め、認証基準を満たす運用を目指して改善を重ねる。運用時の結果は記録に残しておく。
5) 認定された認証機関による審査
認証機関による審査は、一次審査(書類審査)と二次審査(現地審査)の2回に分けて行なわれる。
6) 認証の取得と運用
認証機関による審査で問題がなければ、ISMSの認証を取得することができる。ただし、認証を受けた後も、ISMSは毎年審査を受ける必要がある。継続的なマネジメントシステムの構築が求められる。
ISMS認証制度の課題
対外的な信頼性獲得のツールともなり得るISMSだが、一方で課題も存在する。こうした認証を取得すること自体、海外ではあまり重要視されていないという現実だ。その理由のひとつとして挙げられるのが、現場での運用と国際規格の間に生じるギャップがある。そのため、変化が速く、新しい技術が次々と生み出されるITの世界においては、ISMSの認証を取得することについて、優先度を下げる企業・組織は少なくない。
もちろん、ISMSの認証を取得しないというのはISMSをおろそかにすることと同義でない。サプライチェーン攻撃の激化をはじめ、情報漏えい時のリスクは年々高まっている。その上で、近年注目を集めているのが、各企業のセキュリティマネジメントシステムをスコアリングすることだ。第三者が企業のセキュリティ状況を定量化することで、これらの数値をKPIとしてモニタリングし、活用する。実際の取り組み・成果が可視化されることで、従業員のモチベーションを高めることも期待できる。
重要なことは、ISMSは認証取得が目的にあらず、現場を踏まえた仕組みを継続的に運用していくことにある。いくらISMSの認証を取得できたとしても、業務現場でのセキュリティ管理・運用が適切に機能せず、ずさんでは元も子もないはずだ。ISMS認証の取得はそもそも、情報セキュリティマネジメントシステムが適切に構築され、運用されていることを客観的に立証するためのものだ。その前提を忘れず、実際の運用も心がけたい。
なお、日本国内に限定すれば、こうした認証制度を取得していることで、自社の仕組みの信頼性を可視化できるメリットは少なくない。また、近年のクラウドサービスの普及に応じて、ISMSクラウドセキュリティ認証も規定されている。自社のビジネスに応じて、適切な判断を行なうといいだろう。