ISMS（情報セキュリティマネジメントシステム）とは？効果も紹介

ISMS（情報セキュリティマネジメントシステム）とは

ISMSはInformation Security Management Systemの略で、情報セキュリティマネジメントシステムと訳されています。ここでは、「情報セキュリティ」と「マネジメントシステム」に分けて、わかりやすく解説します。

情報セキュリティ：機密性・完全性・可用性の確保

情報セキュリティは以下の３点を確保することだと定義されています。

機密性

その情報資産を利用してはいけない人が利用できない状態

完全性

情報資産が改ざんや削除をされない状態

可用性

情報資産を利用すべき人が速やかにそれを利用できる状態

一般的に情報セキュリティと聞くと、機密性や完全性を思い浮かべる人が多いでしょう。しかし、情報が守られるだけではなく、本来利用すべき人がスムーズに利用できる状態にすることも重要な要素です。

企業が情報を扱う際には上記の３点をバランスよく満たし、維持し続けることが求められます。そして、その活動を支援するシステムが次に解説するマネジメントシステムです。

マネジメントシステム：目標到達に必要な仕組み

マネジメントシステムとは目標を達成するのに用いられる仕組みのことです。

情報セキュリティに関しては、主として以下のものがマネジメントシステムに含まれます。形態はさまざまですが、いずれも目標達成のために用いられます。

• ■セキュリティポリシー
• ■情報の利用や管理に関するマニュアル
• ■社員へのセキュリティ教育
• ■内部監査
• ■セキュリティ関連ソフトの自動アップデート

目標は企業によってさまざまです。したがって、その目標を達成するためのマネジメントシステムも企業によって異なります。

しかし、完全に企業ごとに独立していると、企業間でのコミュニケーションに支障をきたします。そこで登場したのが国際規格です。ISMSの国際規格には「ISO/IEC 27001」があります。また、それを日本工業規格化したものに「JISQ 27001」もあります。

ISMSとPMS・QMSの違い

ISMSと混同されがちなものに、PMSとQMSがあります。PMSはPersonal information protection Management Systemの略で、個人情報保護マネジメントシステムのことです。また、QMSはQuality Management Sytemの略で、品質マネジメントシステムです。

PMSは個人情報保護法に基づく規格「JISQ15001」に則っています。ISMSの対象が企業全体または一部の組織で所有する情報全般であるのに対し、PMSの対象が企業全体で所有する個人情報である点が異なります。

「JISQ15001」によって正しくPMSを構築・運用するとプライバシーマークの使用が認められます。ただし、ISMSには国際規格があるのに対し、「JISQ15001」は国内でしか使われません。

一方、QMSは顧客に提供するサービスや製品の品質に関するマネジメントシステムです。ISMSと違い、管理対象は情報ではなく製品やサービスです。それらの品質を高め、顧客満足度を向上させるのが目的です。国際規格である「ISO 9001」を筆頭にいくつかの規格があります。

ISMSを構築・運用するメリット

ISMSの構築・運用にはどのようなメリットがあるのでしょうか。代表的なものをいくつか紹介します。

情報セキュリティ管理体制が整備

不正アクセスを始めとしたサイバー攻撃を受けるリスクが下がります。

内部統制

社内でセキュリティに関する意識を高めることで、従業員による情報漏洩など、企業に内在するセキュリティリスクが下がります。

職場環境の改善

情報を守るには情報を整理する必要があります。これに伴いオフィスが物理的に整理整頓され、職場環境が改善します。

業務効率化

情報セキュリティにおける可用性を確保することにより情報の利用が円滑化し、業務が効率化します。

問題発生時の原因究明と対策検討

情報を守るには業務に関するさまざまな記録をとる必要があります。これにより、何らかの問題が発生した際に原因を究明しやすくなり、対策へとつなげられます。

ISMSを構築する際のポイント

最後に、ISMSを構築する際の留意点を２つ紹介します。

PDCAを回す

「ISO/IEC 27001」では要求事項が定められています。そして、そのうちの１つにPDCAサイクルを回して継続的に改善することが含まれています。

ISMSにおいては、以下の４つの活動を繰り返します。

Plan

セキュリティポリシーを策定します。さらに、リスクアセスメントを行い、脅威と脆弱性、リスクを洗い出します。その結果を踏まえて、守るべき情報資産と対策を決定し、計画にまとめて明文化します。

Do

「Plan」で定めた方針や計画を実行に移します。計画段階での不足があれば、この段階で補いながら進めていきます。

Check

情報管理ツールのログや内部監査によって計画の実施状況や効果に関する情報を集めます。そして、それらの情報を基に「Do」における良い点と悪い点を洗い出します。

Action

「Check」で得られた知見を行動に移す段階です。良かった点は維持しつつ、悪かった点を改善する対策を講じます。

対策にかかるコストと業務負荷を把握する

適切にISMSを運用していることを対外的に証明する方法としてISMS認証があります。

ISMS認証とは、国際規格の要求事項を満たしてISMSを運用している企業に認証を与えるというものです。セキュリティへの意識が高まりつつある昨今、ISMS認証を取得する企業が増えています。

しかし、ISMSの規格の文言は抽象的です。経験のない担当者が自社のみで取得を目指す場合、内容の理解に多くの労力がかかります。規格をもとに具体的な活動を決めるのも大変です。

さらに、情報資産の洗い出しやルール策定などに無理や無駄が生じることもあります。このように、自社の力のみで取得を目指すと問題が生じ、頓挫する可能性があります。

そこでコンサルティングを利用する手もあります。ただし、これには約200万円が必要です。また、ISMS認証の取得に必須の審査にも50～150万円程度の費用がかかることを把握しておきましょう。

ISMSを構築して自社の情報を守ろう！

ISMSとは情報セキュリティマネジメントシステムのことで、機密性・完全性・可用性を確保するための活動を言います。ISMSを構築・運用することで、さまざまなセキュリティリスクに備えつつ、情報資産の利用を効率化できます。

適切にISMSを構築するポイントは以下のとおりです。

• ■PDCAサイクルを回す
• ■メリットとコストをよく把握する

以上を踏まえてISMSを構築し、適切に情報を管理しましょう。