IoTやICT、DX推進など、一般家庭から企業にまで、ITネットワークの普及はどんどんと進んでいます。そこで大切になってくるのが、ネットワークセキュリティです。本記事では、情報セキュリティマネジメントシステムと訳される「ISMS(Information Security Management System)」の基本や取得するメリット、取得方法、費用相場などについてまとめています。
目次
新規案件開拓の課題は「発注ナビ」で解決!システム開発に特化したビジネスマッチング
・コンシェルジュが依頼内容をヒアリング
・対応したい案件を選べるエントリー制
・エントリー時の見積作成は不要
・発注者の95%がエンドユーザー
ISMSとは?情報セキュリティと関係があるの?
ISMSは、IS(Information Security)と呼ばれるセキュリティ部分と、MS(Management System)の2つの要素から成り立っています。簡単にいえば、情報セキュリティを管理する仕組みという意味です。
情報を管理、といえばデータや書類を適切に管理・保管・処分することだと想像がつくかと思いますが、「情報セキュリティ」が何かといわれるとピンと来ない方もいらっしゃるかもしれません。では、以下で情報セキュリティとはどういったものを指すのかを解説します。
情報セキュリティの定義は3つの要素で成り立つ
情報セキュリティを構成するのは、以下の3つの要素です。
情報セキュリティは「情報の機密性、完全性及び可用性を維持」を定義しており、ISMSを解説するうえで重要です。しっかりと理解しておきましょう。
●機密性
機密性とは、許可された方にのみ情報の使用や開示を行えるようにしておくこと。つまり、認可・許可されていないものには触れられないようにしておくことをいいます。
情報漏洩や不正アクセスといった事態が起こらないように対策することが、機密性を守ることにつながります。機密性を守る例として、開発したツールやソフトの仕様書、コードが外部に漏れないように対策することなどが該当します。
●完全性
完全性は、保持している情報が言葉通り完全な状態、つまり正確かつ最新であることを意味しています。情報は、形が変わってしまうと価値を失うリスクが高いものです。例えば、自社のWebサイトが乗っ取られてコンテンツが消えてしまうと、そのWebサイトの存在意義が失われてしまいます。
完全性が喪失する要因には、悪意のあるなしに限らず、情報の改ざんや削除があります。完全性を保てるよう、機密性と合わせた対策が必要です。
●可用性
可用性は、簡単にいえば「適切に使用できること」「いつでも情報にアクセスできること」をいいます。認可された方やエンティティ(オブジェクトやインスタンスなど)の要求に対して、必要な情報をいつでも使える状態にしておくことです。
「使用できるかどうか」が重要なポイントとなるため、適切にバックアップを取っておくこと・災害時を想定して情報が喪失しないよう対策しておくことも、可用性の範囲に含まれます。
運用基準「JIS Q 27001」(ISO/IEC 27001)について
「JIS Q 27001」(ISO/IEC 27001)は、ISMSに取り組む時の要求事項を定めた規格です。これまでは、企業や組織が独自の判断で情報セキュリティマネジメントを行っており、明確な基準がなかったために設けられました。現在ISMSを行う時には、規格に則って構築することが求められています。
JIS Q 27001とISO/IEC 27001はほとんど同じものです。ISO/IECは国際規格で、JISはISO/IECを日本語に訳したものとなっています。そのため、内容に差はありません。
ISMSとPマークはそれぞれ違う
ISMSとPマークは情報を守り、適切に運用することが求められるため混同されがちな両者ですが、対象や規格が異なるものとなっています。
Pマークとは、プライバシーマークの略で、個人情報保護の観点から設けられた認定制度です。一方、ISMSの規格であるJIS Q 27001(ISO/IEC 27001)の対象は企業・組織が保有する情報資産全般です。ISMSと同様に、情報セキュリティの観点を持つのは共通していますが、対象となるのは企業が保有する従業員や顧客、消費者の個人情報です。
ISMS取得したほうが良い理由3選
ここまでISMSについて解説してきましたが、取得したほうが良い理由が3つあります。
ISMSには「ISMS(情報セキュリティマネジメントシステム)適合性評価制度」が設けられています。取得するまでに時間はかかりますが、その分得られるメリットは大きいです。
●セキュリティの高さを社外にアピールできる
ISMSを取得すると、セキュリティ意識の高い企業だということを、取引先や消費者に対してアピールできます。単にISMSに取り組むだけでは、本当に情報セキュリティを守っているかどうかは不透明です。しかし、評価制度によって認定されることで、ISMSに則って情報資産を守り、組織として継続的な対策を立てていることの証明になります。
自社が開発するソフトウェアやツールなどはISMSを守っていると公言でき、取引先や顧客の信頼につながります。
●従業員の意識向上に役立つ
次に、情報資産やセキュリティリスクについて学ぶ機会が増えるため、従業員の情報セキュリティに関する意識が高まります。
ISMSでは従業員の教育を求めており、他社の事故事例やセキュリティトラブル、従業員が意識すべきことなどを学習します。学習を通じてセキュリティに対する意識を向上させ、ミスやトラブルを減らせるのです。
●情報セキュリティリスクの低減につながる
そして、リスクアセスメントを通じて、情報セキュリティリスクの低減につながります。ここでリスクアセスメントとは、業務上で起こりうるリスクを洗い出し、対策を立ててリスクを抑える・消すことです。
リスクアセスメントを定期的に実施することで、セキュリティリスクの把握ができ、かつリスクを抑える取り組みや計画を立てることで、情報漏洩や改ざんといった重大なインシデントが起こりにくくなります。
【解説】ISMS取得までの道のり
ISMS適合性評価制度の流れについて解説します。ISMSを取得するには、以下のような過程を踏みます。
取得を目指している・視野に入れている方は流れを把握して、計画的にISMS取得を進めましょう。
●ISMSの適用範囲を定める
ISMSは、全社取得のみではなく部署や支店など、会社の一部のみを適用範囲にできます。
一律に全社取得としていないのは、ISMSでは情報資産を対象としているためです。事業内容によっては、情報資産をさほど扱わない部署や組織もあります。その場合、ISMSを運用するコストに見合ったメリットを享受できません。事業規模や事業内容、社内や顧客のニーズなどから、適用範囲を決めましょう。
●情報セキュリティ方針(ポリシー)を決定する
適用範囲を決めたら、「基本方針」「対策基準」「実施手順」といったISMSに関する方針(ポリシー)を作成します。情報セキュリティポリシーは社内でISMSを周知徹底する時はもちろん、顧客や消費者、関連会社などの利害関係者へ示す目的もあります。
情報セキュリティ方針には、考え方や行動指針、どういった取り組みをしていくかといった内容を盛り込みます。作成するためには、自社が保有している情報資産の種類や取り扱いに関する課題、実施に必要となるリソースやコストなど、様々な情報を集めましょう。
また、取り組みについてチェックの手順を増やせばセキュリティリスクは減らせますが、その分時間的なコストが発生し、人的リソースも消費します。コア業務を行えない従業員が増えれば、組織の生産性が落ちてしまうため、何にどれだけ注力するかといったバランスも必要です。
●ISMSの実施体制を確立する
適用範囲を決め、情報セキュリティの方針を策定したら、ISMSを運用するための社内体制を構築します。社内体制の確立の時は、取り組みを推進するISMS管理チームと、ISMSが正しく機能しているかをチェックする監査チームの2つを立ち上げます。それぞれのチームには責任者を起き、情報セキュリティ方針に沿った運用をするようにしましょう。
推進する管理チームは、ISMSの構築や継続的な運用を行い、実施体制をまとめて監査へ報告します。監査チームは、運用体制や実施内容に問題がないかを確認し、上がってきた報告内容が適切かをチェック。問題があれば是正するように指示をします。
●ISMS文書(宣言やマニュアル)を作成する
ISMSに関する適用宣言書や目的、実施マニュアルなどの文書を作成します。規格内容を満たす内容にするのは大切ですが、従業員が見てもわかりやすい内容になっているかも重要です。
ISMS取得は、適切な管理体制が敷かれているだけでなく、きちんと運用されていなくては認定をもらえません。そのためには、適用範囲にいる従業員一人ひとりが情報セキュリティを理解している必要があります。わかりやすい文章を使う・図解するなど、工夫して作成しましょう。
また、社内体制や業務内容の変化に合わせて、柔軟にマニュアルを更新できるようにしておくことも、適切なISMSの取り組みがしやすくなるコツです。
●情報セキュリティリスクアセスメントを実施する
リスクアセスメントを実施し、情報資産の管理や活用の時に起こりうるリスクを、まずは大小を問わずに洗い出しましょう。経営者や役職者だけで考えるのではなく、現場にいる従業員から意見をもらうようにしてください。過去に起きたインシデントのほか、ヒヤリハットを従業員から集めるのもやり方の1つです。
リスクが集まったら評価し、影響が著しいものから対策を立てます。体制を整える、社員教育を行う、機器類の買い替えや入れ替えをするなど、リスクに適した対策を立てましょう。
●ISMSの導入教育を実施する
作成したマニュアルやリスクアセスメントの結果をもとに、適用範囲へISMSの導入教育を実施します。導入の目的や効果、メリットといった面はもちろん、日々の業務での注意点やインシデントが起こった時の対処法などについて周知徹底するようにしましょう。
周知徹底や教育、実業務での運用の仕方などが、ISMSのMS(マネジメントシステム)にあたります。システム(仕組み)を活かせるように、定期的な研修の実施や新入社員に対する教育体制も整えておきましょう。
●内部監査を実施する
従業員へISMSの教育を行ったら、実際に運用が始まります。運用後は、内部監査を実施して、マニュアルで決めたことが守られているか・ISMSの知識があるかなどをチェックしましょう。チェックの結果、問題が見つかった場合は是正の指示をして、結果を報告してもらいます。
内部監査を行うのは、社内に作られた監査担当者のいるチームかつ、ほかの部門の社員。同部門の場合、人間関係や力関係などが影響して、正しい判断ができない可能性があるためです。また、社外のコンサルタントに監査を依頼するケースもあります。社内の人間が実施するか、コンサルティングサービスを利用するかは、自社の状況に合わせて判断して構いません。
●マネジメントレビュー(経営陣レビュー)を行う
マネジメントレビューとは、実施したマネジメントの成果について話し合う経営管理活動です。監査を実施したら、結果をまとめて経営陣に報告します。
ISMSを導入して得られた成果や享受できたメリットのほか、新たに見つかった課題やインシデントなどが報告の対象です。結果を受けて、今後の改善策を話し合います。ISMSを実施した結果、コストに見合わないなら取り組みを辞める判断がされる場合もあるでしょう。いずれにしても、総合的に振り返りを行って、ISMS取得に向けたブラッシュアップをしていくことが大切です。
●審査を受ける
マネジメントレビューを終えてようやく、ISMS取得に向けた審査が受けられます。審査は、第一段階審査(書類審査)と第二段階審査(現地審査)の2回実施されるのが特徴です。
書類審査では、規格にある要求項目に沿った内容となっているかが見られ、現地審査では適用範囲で適切にISMSが運用されているかがチェックされます。審査に問題がなければ、晴れて認証取得です。
ISMS認証を取得することで、セキュリティ意識の高い企業であることがアピールできます。既存顧客の信頼度向上はもちろん、新規顧客の獲得にも役立つでしょう。より案件の獲得を目指すなら、ぜひ企業とのマッチングサービス「発注ナビ」をご活用ください。対応したい案件を選ぶエントリー制。そのうえ、法人と直接取引が95%!2次請けの依頼ではないため、利益率向上や、継続的な取引も見込めます。
まずはこちらの「システム開発案件に特化したビジネスマッチング【発注ナビ】」をご参照ください。
ISMSの取得にはどのようなコストがかかるの?
ISMSを新たに取得する時には、以下のような費用がかかります。
決して安くない費用ですので、取得する場合は費用に余裕があるかを、確認しなければなりません。
●審査費用
審査費用には、ISMSの第一次審査・第二次審査といった審査そのものにかかる費用に加えて、登録料や審査員の移動宿泊費などもかかります。取得全般にかかるイニシャルコストと考えると良いでしょう。
第一次・二次審査の時に審査期間に支払う相場を調べました。下記には審査員の交通費などは含まれていないため、ご注意ください。また、あくまで平均相場となっているので、下記金額に当てはまらないケースもあります。
| 従業員数 | 初回審査費用の合計 |
|---|---|
| 1~10名 | 約50万円 |
| 11~25名 | 約60万円 |
| 26~45名 | 約90万円 |
| 46~65名 | 約100万円 |
| 66~85名 | 約110万円 |
| 86~125名 | 約120万円 |
ISMS取得をすべて自社内で行う場合は、コンサルティング料はかかりません。従業員のリソースが足りている場合は、社内で対応することでコストを抑えたISMS取得が行えます。
●コンサルティング費用
コンサルティング費用は、ISMS取得の時に、外部のコンサルティングサービスを利用する場合にかかる費用です。コンサルティング費用の相場は年間数十万円から数百万円かかります。
コンサルティング費用は、コンサルティング会社によって大きく開きがあります。支払える金額やコンサルタントに対応してもらいたい範囲、コンサルティング会社の評判などから、自社にあった会社を選びましょう。
●ランニングコスト
ISMSは認定取得後も、毎年維持のための審査があります。また、認定更新は3年毎に行われ、その時には維持審査よりも費用がかかります。
| 2・3年目 | 4年目 | |
|---|---|---|
| 従業員数 | 維持審査費用 | 更新審査費用 |
| 1~10名 | 約20万円 | 約40万円 |
| 11~25名 | 約30万円 | 約50万円 |
| 26~45名 | 約35万円 | 約60万円 |
| 46~65名 | 約45万円 | 約70万円 |
| 66~85名 | 約45万円 | 約80万円 |
| 86~125名 | 約50万円 | 約85万円 |
時代の流れに合わせて適切な情報セキュリティマネジメントを行うことは、ネットワークを必要とする企業にとって重要な経営課題です。ISMS取得は、自社内にあるリスクを潰せるだけでなく、顧客や案件を獲得するのにも活用できる認定制度です。ISMSがきちんと運用されている会社が開発したソフトやツールであれば、信頼度も高くなります。もし、ISMS取得を考えているなら、合わせて新規案件の獲得にも動き出してみませんか。
新規案件の獲得ならシステム開発・発注のマッチングサービス「発注ナビ」をご利用ください。対応したい案件を選ぶエントリー制。そのうえ、法人と直接取引が95%!2次請けの依頼ではないため、利益率向上や、継続的な取引も見込めます。
まずはこちらの「システム開発案件に特化したビジネスマッチング【発注ナビ】」をご参照ください。
新規案件開拓の課題は「発注ナビ」で解決!システム開発に特化したビジネスマッチング
・コンシェルジュが依頼内容をヒアリング
・対応したい案件を選べるエントリー制
・エントリー時の見積作成は不要
・発注者の95%がエンドユーザー
■受託案件の獲得に成功した企業インタビュー
