- ISMSとは(ISO27001の概要)
- 取得のメリット(取引先の信頼・入札要件・セキュリティ強化)
- 取得の7ステップ
- リスクアセスメントの方法
- 必要な文書(情報セキュリティ方針・管理策等)
- 内部監査の実施方法
- 審査(Stage1・Stage2)の流れと指摘事項
- 取得後の維持・更新(年次審査)
ISMSとは(ISO27001の概要)
ISMS(Information Security Management System)はISO27001に基づく情報セキュリティのマネジメントシステムです。組織が保有する情報資産のリスクを体系的に管理し、機密性・完全性・可用性を維持するための仕組みを指します。
2022年に改訂されたISO27001:2022では、管理策が114項目から93項目に再編され、クラウドセキュリティやプライバシー保護など現代的な脅威への対応が強化されました。日本では約7,000組織がISMS認証を取得しており、IT企業だけでなく製造業や医療分野にも広がっています。
中小企業にとってもISMS取得は現実的な選択肢です。従業員30名規模の企業であれば、6〜12ヶ月の準備期間で取得が可能です。本記事では、取得に必要な手順・書類・審査対応を体系的に解説します。
取得のメリット(取引先の信頼・入札要件・セキュリティ強化)
ISMS認証を取得する最大のメリットは、取引先からの信頼獲得です。特にIT業界では、大手企業がパートナー選定時にISMS認証を必須条件としているケースが増えています。IPA(情報処理推進機構)の調査によると、委託先選定時にセキュリティ認証を確認する企業は約60%に上ります。
官公庁や自治体の入札案件でも、ISMS認証が参加要件となるケースは年々増加しています。認証を持っていないだけで入札に参加できない=売上機会を逃すことになります。
また、取得プロセス自体が組織のセキュリティレベルを引き上げます。リスクアセスメントを通じて「どこに何のリスクがあるか」を可視化できるため、情報漏洩インシデントの発生率を大幅に下げる効果があります。
取得の7ステップ
ISMS取得は以下の7ステップで進めます。中小企業(30〜50名規模)の場合、全体で6〜12ヶ月が目安です。
- 経営層のコミットメント:情報セキュリティ方針の策定と、責任者(ISMS管理者)の任命。経営会議での承認が必須です
- 適用範囲の決定:全社一括か、特定部門・拠点に限定するかを決定。初回は主要事業部門に絞ると効率的です
- リスクアセスメントの実施:情報資産の洗い出し→脅威と脆弱性の特定→リスク値の算出→対応策の決定
- 管理策の選定と適用宣言書(SoA)の作成:ISO27001 附属書Aの93項目から、自社に適用する管理策を選定
- 文書体系の整備:方針書・手順書・記録様式の作成。テンプレートを活用すれば1〜2ヶ月で完成可能
- 内部監査とマネジメントレビュー:運用開始後、内部監査を実施し、経営層が結果をレビュー
- 認証審査(Stage1・Stage2)の受審:審査機関を選定し、審査を受ける。指摘事項の是正を経て認証取得
リスクアセスメントの方法
リスクアセスメントはISMS構築の核となるプロセスです。以下の手順で進めます。
ステップ1:情報資産の棚卸し
顧客データ、契約書、ソースコード、社員情報など、保護すべき情報資産をすべてリストアップします。部門ごとにヒアリングを行い、「どこに」「どんな形式で」「誰がアクセスできるか」を整理します。
ステップ2:脅威と脆弱性の特定
各情報資産に対する脅威(不正アクセス、紛失、災害等)と脆弱性(パスワード管理の不備、暗号化未対応等)を特定します。
ステップ3:リスク値の算出
「影響度(1〜3)×発生可能性(1〜3)」でリスク値を算出します。リスク値が6以上の項目は優先的に対策を講じます。
ステップ4:リスク対応の決定
リスク低減(管理策の導入)、リスク回避(業務の廃止)、リスク移転(保険・外部委託)、リスク受容(許容範囲として記録)の4つから選択します。
必要な文書(情報セキュリティ方針・管理策等)
ISO27001で必須とされる文書は大きく3階層に分かれます。
第1階層:方針・規程
- 情報セキュリティ方針(経営層の署名入り、全社員に周知)
- ISMS適用範囲の定義書
- リスクアセスメント手順書
第2階層:手順書・ガイドライン
- アクセス制御手順書(誰が何にアクセスできるか)
- インシデント対応手順書(発生時のエスカレーションフロー)
- バックアップ・復旧手順書
- 委託先管理手順書
第3階層:記録・様式
- リスクアセスメント結果一覧
- 適用宣言書(SoA)
- 内部監査報告書
- マネジメントレビュー議事録
- 教育訓練記録
- 是正措置記録
中小企業の場合、文書の総数は20〜30種類が目安です。過剰な文書化は運用の負担となるため、「実際に使う文書」に絞ることが重要です。
内部監査の実施方法
内部監査は、ISMSが計画通りに運用されているかを自社内で確認するプロセスです。認証審査の前に最低1回の実施が必要です。
監査のポイント:
- 監査員の選定:監査対象部門以外のメンバーが担当(客観性の確保)。外部の監査員に依頼するのも有効
- チェックリストの作成:ISO27001の要求事項と自社の手順書に基づいて作成
- 証拠の確認:「手順書通りに運用されているか」を記録・ログで確認(ヒアリングだけでは不十分)
- 指摘事項の分類:「不適合(重大/軽微)」と「改善の機会」に分類
- 是正措置のフォローアップ:指摘事項への対応計画を立て、期限内に是正されたか追跡
審査(Stage1・Stage2)の流れ
認証審査は2段階で実施されます。審査機関の選定から認証取得まで、通常2〜3ヶ月を要します。審査費用は企業規模により異なりますが、中小企業の場合は初回審査で50〜150万円が目安です。
Stage 1審査(文書審査)
| 確認項目 | 内容 |
|---|---|
| 情報セキュリティ方針 | 経営層が承認した方針書 |
| 適用範囲 | ISMSの対象組織・拠点・業務 |
| リスクアセスメント | リスクの特定・分析・評価の方法と結果 |
| 適用宣言書(SoA) | 114の管理策のうち、適用/不適用を宣言 |
| 内部監査報告書 | 監査の実施記録と指摘事項 |
| マネジメントレビュー | 経営層によるISMSのレビュー記録 |
Stage 2審査(現地審査)
- 実際の業務現場を審査員が訪問(2〜3日間)
- 社員へのインタビュー(「この情報をどう管理していますか?」)
- 物理的セキュリティの確認(施錠、入退室管理等)
- ログの確認(アクセスログ、変更管理記録)
審査でよくある指摘事項
| 指摘 | 対策 |
|---|---|
| リスクアセスメントの粒度が粗い | 情報資産を細分化して再評価 |
| 内部監査が形式的 | 監査チェックリストを具体化 |
| 教育記録が不足 | eラーニング+テスト記録の保存 |
| 是正措置の記録がない | PDCAの証拠を文書化 |
取得後の維持・更新(年次審査)
ISMS認証は3年間有効ですが、毎年の維持審査(サーベイランス審査)が必要です。3年目には更新審査を受けて認証を継続します。
年間スケジュールの目安:
- 毎月:セキュリティインシデントの記録・対応
- 四半期ごと:リスクの見直し、管理策の有効性確認
- 年1回:内部監査の実施、マネジメントレビュー、教育訓練
- 年1回:維持審査の受審(費用:30〜80万円)
維持審査では「PDCAサイクルが回っているか」が最大のポイントです。前年の指摘事項への対応状況、リスクの変化への対応、継続的改善の記録が確認されます。
あわせて読みたい
- ISMS・Pマーク取得ガイド|中小企業の情報セキュリティ認証の進め方
- Pマーク(プライバシーマーク)取得ガイド|費用・期間・申請の流れ
- 情報セキュリティ監査の進め方|社内監査のチェックリストと実施手順
- 中小企業のサイバーセキュリティ対策|攻撃事例と実践的な防御策【2026年版】
- クラウドセキュリティの基本|安全にクラウドを使うための対策
まとめ
ISMS(ISO27001)取得は、7つのステップ(経営層のコミット→適用範囲の決定→リスクアセスメント→管理策選定→文書整備→内部監査→認証審査)を計画的に進めることが成功の鍵です。
中小企業でも6〜12ヶ月の準備期間で取得は十分に可能です。まずは適用範囲を絞り、既存業務に沿った文書を整備するところから始めてください。形式的な書類作りではなく、「実際に運用できるセキュリティ体制」を構築することが、審査通過への最短ルートです。
ISMS取得の手順についてのご相談は、お問い合わせからお気軽にどうぞ。FUNBREWでは無料相談を受け付けています。
この記事をシェア