ナレッジ
一覧

ISMSとは何か?ISO/IEC 27001やPマークとの違いも交えて簡単&わかりやすく解説

2023年09月29日
著者:

INDEX

はじめに

近年、「情報セキュリティ対策」は企業の経営責任のひとつとして当たり前のものとなりました。適切な情報セキュリティ対策を講じることは、顧客や取引先、社会からの信用に応えるだけにとどまらず、企業の存続や従業員が安心して働ける環境作りにもつながることから、ISMS認証を取得する企業が増えています。

この記事では、ISMSとはそもそも何か、ISO/IEC 27001やプライバシーマーク(Pマーク)などと何がどう違うのかなどを解説するとともに、企業がISMS認証を取得するメリットもお伝えします。さらに、自社におけるISMS認証の取得に役立てられるシステムも紹介しますので、ぜひご参照ください。

関連記事 この記事を読んだ方へおすすめ

プライバシーマークとISMSの違いとは?対象や取得方法を比較

ISMSとは?

まずはISMSという言葉の意味や目的について、簡単に解説します。

ISMSは何の略?

ISMSとは「Information Security Management System」の略語で、日本語では「情報セキュリティマネジメントシステム」という意味です。

ISMSの意義・目的

ISMSとは、自社で取り扱う情報セキュリティのリスクを、正しく管理することを目的とした仕組みのことです。

近年、企業のIT化が進展していく一方で、サイバー攻撃や情報漏えい(漏洩)などのリスクが高まっています。そのため企業は、保管している情報の外部流出を防ぐことはもちろん、情報の取り扱いを許可された従業員が、必要なときにその情報にアクセスして利用できる状態にあるなど、適切に情報が管理されているかつ情報を必要な時に適切に取り扱える状態を構築し、維持する仕組みのことをいいます。

企業がISMSに適した事業環境を構築することは、顧客や取引先、社会からの信用に影響を与えるだけでなく、企業の存続や従業員が安心して働ける環境作りにもつながります。

ISMS認証とは

第三者機関の審査を受けてISMS認証に必要な要件を満たすと判断された場合に取得できる認証のことです。ISMS認証を取得すれば、自社のセキュリティ体制が適切に整備されていることの証明になるため、顧客や取引先から信用が得られやすくなります。

但し、ISMS認証を取得した後も、セキュリティシステムのアップデートなど、継続して運用/改善を行い、適切な状態を維持しなければなりません。

ISMS認証の取得後の翌年から1年ごとに「維持審査」、そして3年ごとに「更新審査」を受けて合格する必要もあります。ISMS認証を取得する詳しい流れは、後述の「ISMS認証を取得する流れと費用、期間について」を参考にしてください。

  Akerun入退室管理(アケルン)ダウンロード

ISMSの3大要素

ISMSを構築する上で(認証を取得する上で)欠かせないのが、以下の3大要素です。

機密性 情報の利用を許された人だけが情報にアクセス・利用できる状態であること
完全性 情報が正確であり、改ざん・削除などをされない状態であること
可用性 情報へのアクセス・利用を許された人が必要な時に情報にアクセス・利用できる状態であること

機密性

機密性とは、企業が保有する情報の利用を許可された人だけが、その情報にアクセス・利用できる状態であることを指します。第三者やアクセス・利用が許可されていない人による情報の不正な持ち出しなど、情報漏えい(漏洩)を防ぐために欠かせない要素です。具体的な取り組みとしては、個人情報や機密情報などはパスワードをかけたり、特定の人のみにファイルの閲覧権限を付与することなどが挙げられます。

完全性

完全性とは、企業が保有する情報が正確であり、かつ改ざん・削除などをされない状態にあることを指します。第三者やアクセス・利用が許可されていない人による情報の改ざん・削除などを防ぐために必要となります。具体的な取り組みとしては、社外の人に送るデータはファイルを編集できないようにするなど改ざんできない状態にして送ったり、誰がアクセスしたのか把握できる状態にすることなどが挙げられます。

可用性

可用性とは、情報の利用を許された人が必要な時に情報にアクセス・利用できる状態であることを指します。具体的な取り組みとしては、システムをクラウド化したり、停電にも対応できる環境を整備することなどが挙げられます。 ISMSでは、この3つの要素を確保・維持することが求められています。

関連記事 この記事を読んだ方へおすすめ

サイバーセキュリティ経営ガイドラインを解説。企業に必要なセキュリティ対策とは

【ISMS】と【ISO/IEC 27001】【JIS Q 27001】の違い

「ISMS」について調べていると「ISO/IEC 27001」「JIS Q 27001」「Pマーク」なども目にすることもあると思います。それぞれどのような違いがあるのか、正しく理解しておくことも大切です。 ISMSの構築・運用方法を定めた国際規格に「ISO/IEC 27001」があります。ISMSは自社で構築・運用する情報マネジメントシステムそのものを指しており、「ISO/IEC 27001」は、そのISMSに必要な情報セキュリティ体制の要求事項(ルール)を定めたものです。つまり企業は、「ISO/IEC 27001」の要求事項(ルール)を満たすことで、自社にISMSを構築できます。

またISMSの要求事項(ルール)を定めた規格には、「ISO/IEC 27001」の他に、「JIS Q 27001」がありますが、「JIS Q 27001」は国際規格である「ISO//IEC 27001」を日本語日本訳したもので、ほぼ同義といえるでしょう。

「ISMS」と「プライバシーマーク(Pマーク)」との違い

  • ISMS
    対象:企業全体もしくは一部の組織(部署)などで保有する情報
    規格:ISO/IEC 27001、JIS Q 27001
  • プライバシーマーク(Pマーク) 対象:企業全体で保有する個人情報
    規格:JISQ15001

ISMSとプライバシーマーク(Pマーク)は、対象となる情報の範囲が異なります。ISMSはその認証範囲を、企業全体/部署ごと/拠点ごとなどに分けて取得できるのに対して、プライバシーマーク(Pマーク)の場合は、企業全体で取得する必要があります。

また、ISMSが認証を取得した企業全体や部署、拠点における(個人情報を含む)情報資産全体の保護を目的としているのに対して、プライバシーマーク(Pマーク)は主に個人情報の保護を目的としている点も異なります。

プライバシーマーク(Pマーク)は個人情報が適切に管理・運用されていることを証明するマークとなり、一般消費者(個人など)が対象のビジネスを展開している企業で、個人情報を取り扱う企業はプライバシーマーク(Pマーク)の取得が推奨されています。また、ISMSは国際規格である一方で、プライバシーマーク(Pマーク)の規格である「JISQ15001」は国内のみでしか使用できないなどの違いもあります。

  Akerun入退室管理(アケルン)ダウンロード

ISMS認証を取得するメリット

顧客や取引先を始めとした社会的信用の向上

企業がISMS認証を取得することにより、顧客や取引先、社会からの信用が向上します。ほかにも、新たな顧客を獲得する際に自社で適切なセキュリティ体制が構築されていることをアピールできたり、入札や取引の条件にISMS認証が提示された場合にも対応できるなど新規顧客の開拓にも繋げることができます。

サイバー攻撃や情報漏えい(漏洩)などのリスクを防止

ISMSの3大要素である機密性と完全性が構築されているということは、サイバー攻撃や情報漏えい(漏洩)などの脅威やリスクに対する対策が適切に講じられていることを意味します。その結果、サイバー攻撃や情報漏えい(漏洩)などのリスクを防止し、企業の情報資産を保護しながら最大限活用できるでしょう。

業務の効率化や職場環境の改善

可用性を確保して情報を適切に取り扱うためには、物理的に整理整頓された職場環境が必要です。何がどこにあるのかわからないような環境では、情報を適切に管理できないためです。また情報そのものも整理することで円滑に業務を取り扱うことができるため、業務の効率化が図れるという効果も期待できます。

万が一問題が発生した際の迅速な対応

ISMSが適切に構築されていることにより、万が一情報漏えい(漏洩)などの問題が発生した場合でも、速やかな原因究明やその後の改善にもつながります。問題が発生した際の迅速な対応は、顧客や取引先だけでなく社会的信用の低下も最小限に抑えることができるため大切です。

関連記事 この記事を読んだ方へおすすめ

ISMS認証の取得方法とは?取得までのフローやコンサルに依頼するメリット

ISMS認証を取得する流れと費用、期間について

ISMS認証は、ISMSの規格(要求事項(ルール))を適切に満たした上で第三者機関の審査を受けて、合格すれば取得できます。

1.「ISMS」「JIS Q 27001」「ISO/IEC 27001」を理解する まずは、この記事でも解説したISMSとは何か、ISMSの必要性や規格の違い、ISMSを取得するメリットなどを正しく理解する必要があります。
2.ISMSの規格(要求事項(ルール))をもとに自社内でマニュアル(ISMS文書)を作成する ISMSの規格(要求事項(ルール))を満たすためにどうすべきか、企業の方針を決めてマニュアルを作成します。
3.リスクアセスメントを実施する 実際にどのようなリスクが考えられるかを洗い出し、要求事項(ルール)を満たすための改善策を講じます。
4.従業員への教育を行うとともに、内部監査も実施する 講じた対策を従業員が正しく実施できるように教育を行います。同時に、第三者機関に審査を依頼する前の内部監査を実施し、問題を洗い出して改善策を講じます。
5.第三者機関による審査を受ける 経営陣に対し、現状の把握と課題、改善点を協議するマネジメントレビューを行い、問題がなければ認証機関に審査を依頼します。 審査は「文書審査」「運用審査」の二段階にわかれています。
16.ISMS認証の取得後も引き続き運用・改善を続ける ISMS認証の取得後も、現状の運用体制に問題はないか、日々のチェックと改善を図りながら運用しましょう。

ISMS認証を取得するための手順は、おおまかにこのような流れになります。自社だけでISMSを構築するのが難しい場合は、外部のコンサルタントに依頼することも検討しましょう。

ISMS認証の取得までの期間/有効期間

  • ISMS認証を取得するまでの期間:平均で半年〜1年程度
  • ISMS認証の有効期間:3年間(但し、毎年維持審査を受ける必要がある)

ISMS認証を取得するまでの期間は、平均すると半年〜1年程度と記載しましたが、対象範囲や企業規模などにより企業ごとに大きく異なります。またISMS認証は、有効期間が3年間となるため、「更新審査」を3年ごとに、また資格を維持するための「維持審査」を毎年受けなければ、ISMS認証が失効してしまいます。

ISMS認証を取得するための費用

ISMS認証を取得するための審査費用は、審査期間や従業員数、拠点数、業種などによっても変わるため一概にはいえませんが、一般的に数十万〜100万円前後かかります。審査員の交通費・宿泊費などが別途必要になることもあります。また、外部のコンサルタントに依頼をする場合は、コンサルティング料もかかります。

ISMS取得後の運用

ISMS認証は、取得後もサイバー攻撃や情報漏えい(漏洩)などの手口が日々進化しているように、セキュリティシステムのアップデートや社内の運用体制の改善も日々行う必要があります。認証を維持することは顧客や取引先、社会からの信用の維持にもつながるため、常に運用体制を整え、改善を重ねていくことが大切です。

  Akerun入退室管理(アケルン)ダウンロード

Akerun入退室管理システムはISMS取得に役立てることができます!

Akerun入退室管理システム(以下、Akerun)は、累計7,000社以上の導入実績を持つ入退室管理システムです。 オフィスや店舗/施設などの入退室を記録・管理するシステムで、今お使いのドアに工事不要で簡単に後付けできます。解錠方法もスマホや社員証、交通系ICカードなど幅広く、規模・業種・業態を問わず様々な企業が導入しています。 ここからは、Akerunを導入してどのようなメリットがあり、ISMS認証の取得に役立てられるのか解説していきます。

入退室履歴をリアルタイムに取得・確認できる

Akerunを導入することにより、入退室履歴をいつでもリアルタイムかつ正確に取得して確認できます。複数拠点の企業や店舗/施設を運営している場合でも鍵の管理を一元管理できます。また管理者側で簡単にワンタイムパスを発行できるため、来訪者にもスムーズな入退室が可能です。

ISMS認証の取得には、必須条件として入退室管理システムが挙げられているわけではありませんが、ISMSではリスクに対応するために「物理的な入退室の管理」が求められています。そのため、Akerunを導入すれば、各エリアや部屋への入退室記録や解錠権限を付与した来訪者の入退室記録など、ISMS認証の取得に役立てられるでしょう。

オフィスや店舗/施設のセキュリティ強化に適している

Akerunを導入することで、解錠権限を許可された従業員や関係者しか特定のエリアに入退室できません。 また解錠権限は、入室できる場所・入室できる人・入室できる日時(曜日や時間帯)を細かく設定して制限できるため、オフィスや店舗/施設のセキュリティを強化できます。

「いつ」「誰が」「どこに」入退室したかの履歴/ログを正確にクラウド上に記録して把握もできるため、万が一不法侵入など問題が発生した場合でも入退室履歴を活用して速やかに対応できます。 ISMS認証を取得するためには、情報セキュリティだけでなく物理的なセキュリテイを強化し、不法侵入や内部からの情報漏えい(漏洩)を防止することも重要です。

クラウド環境は金融機関並みのセキュリティを実現している

入退室履歴などの記録を管理するクラウド環境が脆弱では、ISMSの構築に大きな不安が残ります。 Akerunは、複数の第三者機関によるハッキング対策をはじめとした厳しい審査をクリアしたクラウド環境を備え、金融機関並みの高度なセキュリティを実現しています。

また、機能の追加やシステムの更新などはインターネットを通じて自動アップデートされるため、専門知識がない方でも手軽に運用でき、さらに社会情勢や事業環境などに合わせた機能追加やアップデートによりISMSに求められる継続的な改善にも活用できます。

外部システムとの連携で業務を効率化できる

Akerunでは、公開しているAPIを使って外部システムとの連携が可能となります。例えば、勤怠管理システムと連携すれば、入退室履歴を活用して従業員の勤怠管理もスムーズになるため、セキュリティの強化や入退室を記録だけでなく、労務関連の業務を大幅に効率化できます。

実際にISMS取得を実現した事例を紹介!

Akerunを導入して、ISMS認証の取得を実現した事例もあります。ぜひ参考にしてみてください。

導入事例 導入頂いた企業様からの嬉しい声

スタッフの契約形態毎に解錠権限を設定し入退室履歴を記録。ISMSの取得を実現

関連記事 この記事を読んだ方へおすすめ

入退室記録の必要性とは?記録の取り方やおすすめのシステムも紹介!

まとめ

近年では、個人情報のさらなる保護に向けた流れや、企業などにおける情報資産の重要性の高まり、そしてサイバー攻撃などの外部からの脅威の高度化などを受けて、ISMS認証の取得は、多くの企業にとって欠かせないものとなっています。ISMS認証の取得を検討している企業は、をISMS認証の取得にAkerunを活用することもぜひご検討ください。 以下に資料をダウンロードしていただき、ぜひお気軽にお問い合わせください。



関連記事 この記事を読んだ方へおすすめ

セキュリティゲートとは?種類と利用シーン!セキュリティを強化できる他のシステムも

入退館管理システムのメリット・デメリットは?選ぶポイントやおすすめの製品についても解説

スマートキーとは?電池切れした時の対処法やメリット・デメリットも解説
#オフィス #コワーキングスペース #ジム #プライバシーマーク / Pマーク #レンタルオフィス #業務改善 #病院
一覧に戻る
akerun入退室管理システム ダウンロード資料バナー

カテゴリ一覧

セキュリティ 働き方改革 入退室管理 労務管理 勤怠管理 経営・戦略

タグ一覧

#IPO #オフィス #コワーキング #コワーキングスペース #サテライトオフィス #ジム #スポーツジム #スマートロック #セキュリティ #フィットネスジム #プライバシーマーク / Pマーク #フリーアドレス #フレックス制 #レンタルオフィス #レンタルスペース #入退室管理 #時間指定 #業務効率化 / DX #業務改善 #無人運営 / 省人化 #病院 #経費削減 #裁量労働制

著者一覧

国木ゆうこ 星野邦敏 衛藤海 西村幸

人気記事

akerun(アケルン)入退室管理システム ナレッジ記事「カードキーとは?メリットや防犯性、注意点などを徹底解説」

カードキーとは?メリットや防犯性、注意点などを徹底解説!

2023年01月18日
akerun(アケルン)入退室管理システム ナレッジ記事「スマートロックって鍵でも開く!?」

スマートロックっていつも使っている鍵でも開けられるの!?導入後のトラブル対策も解説

2023年03月30日
akerun(アケルン)入退室管理システム ナレッジ記事「 会社の鍵の管理方法とは?鍵当番をなくし、紛失や閉め忘れを防ぐ」

会社の鍵の管理方法とは・・・鍵当番をなくし、紛失や閉め忘れを防ぐ

2019年09月24日
akerun(アケルン)入退室管理システム ナレッジ記事「入退室管理システムとは?導入ポイントやメリット・活用例を解説」

入退室管理システムとは?導入ポイントやメリット・活用例を解説

2021年02月18日
「akerun(アケルン)入退室管理システム」に関する資料

資料ダウンロード

「Akerun入退室管理システム」導入を検討されているお客様に
製品・サービスの特長をご紹介します。

3分でわかる!
資料ダウンロード