ISMSとは｜仕組み・認証・PDCA

概要

ISMS（Information Security Management System：情報セキュリティマネジメントシステム）とは、組織が情報資産を安全に管理し、適切に守るための仕組み（マネジメントの枠組み）です。個々のセキュリティ製品を導入することではなく、方針・体制・ルール・運用・改善を組織全体で継続的に回していく点が本質です。

ISMSの国際規格がISO/IEC 27001であり、その日本版（国内規格）がJIS Q 27001です。ISMSは情報セキュリティの3要素である機密性・完全性・可用性（CIA）をバランスよく維持・改善することを目的とします。

詳細（CIA・PDCA・規格）

情報セキュリティの3要素（CIA）

要素	意味	例
機密性（Confidentiality）	許可された人だけが情報にアクセスできる	アクセス制御、暗号化
完全性（Integrity）	情報が正確で改ざんされていない	ディジタル署名、ハッシュ
可用性（Availability）	必要なときに情報を利用できる	冗長化、バックアップ

近年はこれに真正性・責任追跡性・否認防止・信頼性を加えた7要素で考えることもあります。

PDCAサイクルによる継続的改善

ISMSはPDCAで運用・改善します。これがISMSの最重要概念です。

Plan（計画）：適用範囲・方針を定め、リスクアセスメントを実施し管理策を選ぶ。
Do（運用）：定めたルール・管理策を実施・運用する。
Check（点検）：内部監査やマネジメントレビューで有効性を評価する。
Act（改善）：問題点を是正し、次の計画へ反映する。

規格	内容
JIS Q 27001（ISO/IEC 27001）	ISMSの要求事項。認証の基準となる。
JIS Q 27002（ISO/IEC 27002）	管理策の実践規範（ガイドライン）。
JIS Q 27000	用語・概要を定義した規格群の入口。

運用・認証取得のポイント

リスクアセスメントの流れ

リスク特定：守るべき情報資産と、それに対する脅威・脆弱性を洗い出す。
リスク分析：発生可能性と影響度からリスクの大きさを見積もる。
リスク評価：リスク基準と照らし、対応の優先度を決める。
リスク対応：低減・回避・移転・受容のいずれかを選び、管理策を適用する。

ISMS認証（適合性評価制度）

第三者の審査機関がJIS Q 27001への適合を審査し、合格するとISMS認証が付与されます。認証は取って終わりではなく、定期的な維持審査・更新審査があり、PDCAの継続が前提です。取引先からの信頼獲得や入札要件への対応にも役立ちます。

よくある誤解は「認証を取れば安全」というもの。ISMSはあくまで継続的に改善する仕組みであり、形だけの文書整備（形骸化）では実効性が伴いません。経営層の関与（トップマネジメントのコミットメント）が成功の鍵です。

運用上の失敗事例

形骸化したISMS

認証取得が目的化し、分厚い規程は整備されているのに現場が守っていない——という「形骸化」はよくある失敗です。ルールが実態に合わず、結果として標的型メールへの対応や持ち出しデータの管理が機能せず、情報漏えいに至るケースがあります。

リスクアセスメントの不備

重要な情報資産を洗い出せていなかったり、クラウド利用や在宅勤務など環境変化を反映していなかったりすると、想定外の経路から事故が起きます。PDCAのCheck・Actを回し、変化に追従することが重要です。

試験での問われ方

「ISMSにおける情報セキュリティの3要素はどれか」→ 機密性・完全性・可用性。
「ISMSのPDCAでリスクアセスメントを行うのはどの段階か」→ Plan。
「JIS Q 27001とJIS Q 27002の違い」→ 要求事項か実践規範か。
「リスク対応の4分類（低減・回避・移転・受容）の具体例の識別」。