「ISMS」とは何か？覚えておくと役立つIT用語の正しい使い方

ISMSとは？IT用語の基礎知識をわかりやすく解説

ISMSとは、「Information Security Management System」を省略したIT用語です。日本では「情報セキュリティマネジメントシステム」とも呼ばれるもので、ITに関連するリスク管理の仕組みを指します。

はじめに、ISMSの基礎知識を簡単に確認しておきましょう。具体的には、言葉の意味や「ISMS認証の取得」とは何か、日本の規格と国際規格、個人情報保護に関連するISMSとPマークに関する情報を解説します。

■意味は「組織における情報セキュリティのリスク管理の仕組み」

ISMSとは、「情報セキュリティに関するリスク管理の仕組み」を指すIT用語です。個別の問題ごとに対策するだけではなく、組織内で必要なセキュリティレベルやリスク管理のプランを決定し、実際にシステムを運用することを指します。

情報資産を適切に管理するISMSの役割は、情報セキュリティのレベルの向上や、利害関係者などに対する信頼性のアピールなどです。

近年、ITシステムやネットワークの重要性が高まっています。それと同時に、情報セキュリティのリスク管理をしっかりとしていないと、情報漏洩などによって深刻な問題を引き起こす可能性が高まっているのも実情です。そのため、ISMSを構築して、自社の情報を守ろうとする企業が増えています。

■ISMS認証の取得とは

ISMSには、認証をおこなう審査機関があります。つまり、ISMS認証の取得とは、ISMSに関して適切な管理ができているのかどうかを第三者機関に審査してもらい、認証を取得することです。ISMS認証の取得によって、リスクに対する適切なセキュリティ対策が実施されていることを第三者から証明してもらえます。

■ISO/IEC 27001とJIS Q 27001

ISMSの規格には、国際規格である「ISO/IEC 27001」と日本の規格である「JIS Q 27001」があります。「ISO/IEC 27001」とは、ISOとIECが合同で策定したISMSに関する規格です。ISOは国際標準化機構、IECは国際電気標準会議を指します。

また、「JIS Q 27001」とは、JISC（日本産業標準調査会）がISO/IEC 27001をベースとして国内向けに策定した規格です。「JIS Q 27001」は国際規格との整合性が保たれたもののため、どちらの規格も大差ない内容です。

■個人情報保護に関連するISMSとPマーク

個人情報保護の管理体制を証明するものには、ISMS認証とPマーク（プライバシーマーク制度）があります。Pマークとは、個人情報を適切に管理・運用する体制を整備している企業にマークを付与する制度です。

ISMS認証とPマークの違いは、規格や保護対象、取得する企業の特徴などがあります。たとえば、Pマークの規格は国内のみで使用される「JIS Q 15001」です。

また、Pマークの保護対象は「企業全体で所有する個人情報」、ISMS認証の保護対象は「企業全体または一部で所有する情報資産全般」です。Pマークを取得するのは、個人との取引が主なBtoCビジネスの企業が多いといわれています。

ISMSが定義する情報セキュリティの3つの要素

ISMSの定義する要素は、「機密性」「完全性」「可用性」です。これら3つの要素を規格に沿って維持することで、組織内のセキュリティを高い水準で管理できます。

これら3つの要素のうち、「機密性」「完全性」はセキュリティを強固にして第三者による不正利用や削除・改ざんを防ぐことを目的とした重要な要素です。一方で、「可用性」は必要なときに利用者が必要な情報にアクセスできるようにするための要素です。

それでは、ISMSが定義する情報セキュリティの3つの要素がどのようなものか、それぞれ確認していきましょう。

■1.機密性

機密性とは、「利用してはいけない人物やプロセスが、情報資産を利用できない状態であること」を指します。具体的には、企業にとって重要度の高い情報資産にアクセスできる人員を制限するなどの措置を取ることです。これにより、漏洩や悪用といったリスクを軽減できます。

具体的には、「各社員の評価」や「給与一覧」などの情報はパスワードを設定したフォルダに格納し、役員や人事部門の社員しか確認できないようにするといった管理体制が、機密性を上げる対策です。

■2.完全性

完全性とは、「正確さ」に関する特性です。情報が正確で、改ざんされない状態になっているかどうかを表します。

たとえば、もともと管理していた情報が正しくても、サイバー攻撃によって情報が改ざんされてしまう恐れがあります。また、組織内のデータ管理ミスや天災によるデータの破損・損失もあり得るでしょう。

これらのようなリスクをなくすよう適切に管理できているかどうかを表す要素なのです。

■3.可用性

可用性とは、「情報の利用を認可された方が適切かつ安全に使用できるかどうか」を指します。情報を管理するうえでセキュリティ対策はもちろん大切ですが、利用すべき方が必要なときに情報にアクセスして速やかに利用できることも重要なポイントです。

具体的には、過去の請求書の定期的なバックアップを取っておくこと、不測の事態によりシステムが使えなくなってもいち早く復旧できる状態にすることなどが、可用性に当てはまります。

ISMS認証取得の4つのメリット

ISMS認証を取得することで期待できる4つのメリットは、以下のとおりです。

• 情報セキュリティのレベルが上がる
• 企業文化が改善される
• 情報セキュリティ対策のコスト削減になる
• 信頼性をアピールでき、事業拡大につながる

また、IPOを目指す企業は、将来的にIT統制にかかる工数の削減につながります。IPOとは、未上場の企業が証券取引所に上場し、誰でも株取引ができるようにすることです。

それでは、これらのメリットを詳しく確認しましょう。

■1.情報セキュリティのレベルが上がる

ISMS認証を取得するために情報セキュリティマネジメントの仕組みを取り入れることで、組織の情報セキュリティのレベルが上がることが最大のメリットです。大きな企業や組織でなくても、指針に従うことで情報セキュリティマネジメントのために何をすべきかを具体的に判断しやすくなります。

「機密性」「完全性」「可用性」という3つの要素を脅かす大きなリスクは、「脅威」と「脆弱性」です。これらのリスクの対応方法には、「リスクの低減」「リスク保有」「リスク回避」「リスク移転」の4つが定義されています。

たとえば、リスクの低減とはセキュリティの脆弱性への対策によって発生頻度を低くする方法です。これらの対応方法により、組織の情報セキュリティのレベルを上げられます。

■2.企業文化が改善される

ISMS認証の取得により、企業文化が改善されることもメリットです。ISMSの導入のためには、情報セキュリティ方針の策定や従業員に対する教育などを実施する必要があります。そのため、セキュリティに対する意識を高められ、意識改革や健全な企業文化の形成につながるのです。

また、情報を整理する必要があるため、オフィスが物理的に整理整頓されることで職場環境の改善にもつながります。

■3.情報セキュリティ対策のコスト削減になる

情報セキュリティ対策のコスト削減になることも、ISMS認証の取得によるメリットです。ISMSの導入のためにリスクの評価と分析をおこなうことで、必要な対策のみを実施できるようになります。

セキュリティのためにすべての脅威に対応しようとしなくてすむため、コストを削減しつつ効果的に対策をおこなうことが可能です。

■4.信頼性をアピールでき、事業拡大につながる

ISMS認証を取得することで、顧客や取引先に対して信頼性をアピールでき、事業拡大につながるメリットもあります。認証取得により、自社が国際基準に準拠したセキュリティ管理体制になっていることを第三者からの評価で証明できます。これにより、顧客や取引先に安心してもらいやすくなるでしょう。

また、ISMS認証の取得により、事業拡大も期待できます。国・自治体・大手企業では、取引先の選定条件のひとつとしてISMS認証が挙げられている場合があります。選定の絶対条件ではなくても加点ポイントが入るケースがあるため、案件の受注率を高めるためにもISMS認証の取得を検討するといいでしょう。