ISMS(情報セキュリティマネジメントシステム) あいえすえむえす
簡単に言うとこんな感じ!
ISMSは「会社の情報をちゃんと守る仕組みが整ってますよ」って証明する国際規格だよ。鍵をかけるだけじゃなく、誰がどの情報にアクセスできるか、リスクをどう管理するかをルール化して、継続的に改善する体制まるごとのことなんだ!
ISMSとは
ISMS(Information Security Management System/情報セキュリティマネジメントシステム) とは、組織が保有する情報資産を守るための方針・ルール・体制・手順を一体的に整備・運用・改善し続ける仕組みのことです。単なるウイルス対策ソフトの導入やパスワード設定にとどまらず、「誰が・どの情報に・どんな条件でアクセスできるか」を組織全体でコントロールするための包括的なフレームワークです。
ISMSの国際規格が ISO/IEC 27001 であり、この規格に基づいて審査機関による認証を受けることを「ISMS認証取得」と呼びます。認証を取得した組織は「情報セキュリティの管理体制が国際水準を満たしている」と対外的に証明でき、取引先や顧客からの信頼獲得、入札要件の充足などに活用されています。
情報セキュリティの核心は 「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」 の3要素(CIA)を維持することです。ISMSはこの3要素を組織のリスク状況に合わせて継続的に守り続けるための管理サイクルを定義しています。
ISMSの3本柱:CIA
| 要素 | 英語 | 意味 | 具体例 |
|---|---|---|---|
| 機密性 | Confidentiality | 許可された人だけが情報にアクセスできる | 顧客データを社員全員が見られない状態にする |
| 完全性 | Integrity | 情報が正確・改ざんされていない状態を保つ | ログの改ざん検知、ハッシュ値検証 |
| 可用性 | Availability | 必要なときに情報を使える状態を維持する | サーバー冗長化、バックアップ体制 |
覚え方:「CIA」で一発!
情報セキュリティの3要素は頭文字をとって 「CIA(シーアイエー)」 と覚えましょう。スパイ映画の諜報機関と同じ略称ですが、情報を「守る・正しく保つ・使える状態にする」という3つの観点から情報セキュリティを考えるための基本枠組みです。
ISMSのPDCAサイクル
ISMSは一度構築して終わりではなく、Plan(計画)→ Do(実施)→ Check(評価)→ Act(改善) のサイクルを回し続けることが求められます。
┌──────────────────────────────────────┐
│ ISMSのPDCAサイクル │
│ │
│ Plan ──→ Do ──→ Check ──→ Act │
│ ↑ │ │
│ └──────────────────────────┘ │
│ │
│ Plan : リスクアセスメント・目標設定 │
│ Do : セキュリティ施策の実施 │
│ Check: 内部監査・マネジメントレビュー │
│ Act : 是正処置・継続的改善 │
└──────────────────────────────────────┘歴史と背景
- 1992年 — 英国政府機関(DTI)が情報セキュリティの実践ガイドラインを策定
- 1995年 — 英国規格「BS 7799」として正式制定。ISMSの原型
- 1999年 — BS 7799 第2版として管理体制(マネジメントシステム)の概念を追加
- 2000年 — ISO/IEC 17799として国際規格化(実践規範パート)
- 2002年 — BS 7799-2として認証取得のための要求事項が整備される
- 2005年 — ISO/IEC 27001 として国際規格化。世界標準のISMS認証規格が誕生
- 2013年 — ISO/IEC 27001:2013に改訂。リスクマネジメントの手法が大幅強化
- 2022年 — ISO/IEC 27001:2022 に改訂。クラウドセキュリティや脅威インテリジェンスなど現代的な管理策を追加
- 日本での普及 — 日本では経済産業省の後押しもあり2000年代から急速に普及。現在、国内の認証取得組織数は世界トップクラス
ISMS認証取得の流れと関連規格
ISO/IEC 27001の認証取得には、審査登録機関による外部審査が必要です。また、ISMSには関連する規格群(ISO/IEC 27000シリーズ)が存在します。
ISMSとPマーク(プライバシーマーク)の違い
ビジネスの現場でよく混同される「Pマーク」との違いを整理しておきましょう。
| 項目 | ISMS(ISO/IEC 27001) | Pマーク(JIS Q 15001) |
|---|---|---|
| 対象 | 情報資産全般(機密情報・システム・業務情報など) | 個人情報の取り扱いに特化 |
| 準拠規格 | 国際規格(ISO/IEC 27001) | 日本独自規格(JIS Q 15001) |
| 認定機関 | JAB・ISMS-AC認定の審査機関 | JIPDEC |
| 対象組織 | 業種・規模を問わない | 日本国内の事業者 |
| スコープ | 組織が定めた範囲(部門単位も可) | 事業者全体 |
| 強み | 国際的に通用する。BtoB取引で有利 | 消費者向けの個人情報保護アピールに有利 |
関連する規格・RFC
| 規格番号 | 内容 |
|---|---|
| ISO/IEC 27001:2022 | ISMSの要求事項を定める主要認証規格 |
| ISO/IEC 27002:2022 | 情報セキュリティ管理策の実践規範(27001の附属書Aに対応) |
| ISO/IEC 27005:2022 | 情報セキュリティリスクマネジメントのガイドライン |
| ISO/IEC 27017:2015 | クラウドサービスにおける情報セキュリティ管理策 |
| ISO/IEC 27701:2019 | プライバシー情報マネジメントシステム(PIMSの拡張規格) |
| JIS Q 27001:2023 | ISO/IEC 27001の日本語版JIS規格 |
関連用語
- ./360-risk-management.md — リスクマネジメント:リスクを特定・評価・対処するための体系的な管理手法
- ./361-pdca.md — PDCAサイクル:Plan→Do→Check→Actを繰り返す継続的改善の手法
- ./362-privacy-mark.md — プライバシーマーク(Pマーク):個人情報保護に特化した日本独自の認定制度
- ./363-iso27002.md — ISO/IEC 27002:ISMSで実施すべき管理策の具体的な実践規範
- ./364-information-security.md — 情報セキュリティ:機密性・完全性・可用性の3要素で情報資産を守る取り組み
- ./365-risk-assessment.md — リスクアセスメント:情報資産へのリスクを特定・分析・評価するISMSの中核プロセス
- ./367-gdpr.md — GDPR:EU一般データ保護規則。個人データ保護に関する国際的な法規制
- ./368-bcm.md — BCM(事業継続管理):災害・障害時にも事業を継続するための計画・体制づくり