- 作成日 : 2025年7月7日
ISMSの種類とは?ISO27001:2022から関連規格、ISMAPまで初心者向けに徹底解説
情報セキュリティ対策の重要性が増す中、「ISMS」という言葉を耳にする機会も増えたのではないでしょうか?ISMSにはさまざまな種類の規格があり、どれが自社に必要なのか迷うこともあるかもしれません。
この記事では、ISMSの基本的な考え方から、最も代表的な国際規格ISO/IEC 27001:2022、クラウドやプライバシーに関連する規格群、そして日本独自の制度ISMAPまで、それぞれの特徴と選び方を分かりやすく解説します。最適なセキュリティ体制構築への第一歩として、ぜひご一読ください。
目次
ISMS(情報セキュリティマネジメントシステム)とは
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、特定の規格に基づいて、組織が持つ情報資産のリスクを特定・評価し、適切な管理策を計画・実行・点検・改善していくための枠組みです。単なる技術的な対策だけでなく、組織のルール、物理的な対策、人的な管理体制などを含めた総合的なアプローチを取ります。
ISMSの主な目的は以下の3点です。
- 機密性(Confidentiality):認可されていない人やプロセスが情報にアクセスできないようにすること
- 完全性(Integrity):情報が正確であり、改ざんされていない状態を保つこと
- 可用性(Availability):認可された利用者が、必要な時に情報や関連資産にアクセスできる状態を保つこと
これら「情報セキュリティのCIA」と呼ばれる三要素をバランス良く維持・管理することが、ISMSの核となります。
ISMSを構築・運用するメリット
ISMSを導入し、適切に運用することには、主に以下のようなメリットがあります。
- セキュリティレベルの向上
組織全体で統一されたルールに基づき対策を行うため、網羅的かつ効果的なセキュリティ強化が期待できます。 - リスクの低減
情報漏洩やサイバー攻撃などのリスクを事前に特定し、対策を講じることで、インシデント発生の可能性や被害を最小限に抑えられます。 - 社会的信用の獲得
特に後述する「ISMS認証」を取得することで、取引先や顧客に対して、情報セキュリティ体制が整っていることを客観的に証明でき、信頼向上につながります。 - 法令遵守(コンプライアンス)
個人情報保護法など、関連法規への対応がしやすくなります。 - 業務効率の改善
情報管理プロセスが明確化され、従業員のセキュリティ意識も向上するため、結果的に業務効率が改善されることもあります。 - 事業継続性の確保
セキュリティインシデント発生時にも、事業への影響を最小限に抑え、早期復旧を可能にする体制を構築できます。
ISMSの種類
ISMSの種類とは、多くの場合、ISMSを構築・認証するための具体的な規格(スタンダード)を指します。その中でも最も代表的で、国際規格となっているのがISO/IEC 27001です。
ISO/IEC 27001
ISO/IEC 27001は、ISMSの要求事項を定めた国際規格です。組織がISMSを構築し、運用し、維持し、継続的に改善するための具体的な要件(何をすべきか)を定義しています。
この規格に基づいてISMSを構築し、第三者の認証機関による審査に合格すると、「ISMS認証(ISO/IEC 27001認証)」を取得できます。これは、組織の情報セキュリティ管理体制が国際基準を満たしていることの証明となります。
主な特徴は、以下の通りです。
- ISMSの構築・認証に関する要求事項を規定
- 特定の技術や製品に依存しない、汎用的なフレームワークを提供
- リスクアセスメントに基づき、組織の状況に合った管理策を選択・適用するリスクベースアプローチを採用
- Plan(計画)、Do(実行)、Check(点検)、Act(改善)のPDCAサイクルによる継続的な改善を要求
多くの企業が「ISMS認証を取得する」と言う場合、このISO/IEC 27001に基づく認証を指します。
ISO/IEC 27002
ISO/IEC 27001と密接に関連するのがISO/IEC 27002です。これは、ISO/IEC 27001の附属書Aにリストアップされている情報セキュリティ管理策について、それぞれの実施の手引き(ガイドライン)を提供する規格です。
ISO/IEC 27001が「何をすべきか(要求事項)」を定めるのに対し、ISO/IEC 27002は「どのように実施するか(実践的な指針)」を示します。ISO/IEC 27001で要求される管理策を具体的に検討・導入する際に参照されます。ただし、ISO/IEC 27002自体は認証規格ではありません。
ISO 27000ファミリー
ISO/IEC 27001や27002は、「ISO 27000ファミリー」と呼ばれる一連の規格群の一部です。このファミリーには、ISMSの特定の側面や分野に特化した、さまざまな規格が含まれています。これらを広義の「ISMSの種類」と捉えることもできます。
ISO/IEC 27000
ISO 27000ファミリー全体の概要、基本原則、そして重要な用語の定義を提供します。ファミリー規格を理解するための入門書のような位置づけです。
ISO/IEC 27017
クラウドサービスの利用が拡大する中で重要性を増しているのが、ISO/IEC 27017です。これは、クラウドサービスに関する情報セキュリティ管理策のガイドラインを提供する規格です。
ISO/IEC 27002の管理策をベースに、仮想環境の分離、利用者と提供者との責任の分担といったクラウド環境特有のリスクに対応するための追加の管理策や実施の手引きを示しています。クラウドサービス提供者(CSP)と利用者(CSC)双方にとって有用な規格です。
ISO/IEC 27001認証に追加する形で、ISO/IEC 27017に基づく管理策が実施されていることを示す認証(ISMSクラウドセキュリティ認証)もあります。
ISO/IEC 27018
ISO/IEC 27018は、パブリッククラウド環境における個人情報(PII:Personally Identifiable Information)の保護に特化した実践規範です。
クラウドサービス提供者が、顧客(個人情報管理者)から預かった個人情報を処理する際の行動規範を定めています。例えば、同意なしに個人情報を広告目的で利用しないこと、データの所在地の透明性を確保することなどが挙げられます。GDPR(General Data Protection Regulation、一般データ保護規則)など各国のプライバシー法規制への対応を支援する側面もあります。
ISO/IEC 27701
ISO/IEC 27701は、ISMS(ISO/IEC 27001)をプライバシー保護の観点から拡張するための要求事項とガイドラインを定めた規格です。「PIMS(Privacy Information Management System)」とも呼ばれます。
ISO/IEC 27001の枠組みを利用して、PII(Privacy Identifiable Information)の管理体制を構築・運用する方法を示します。GDPRなどのプライバシー法規制への準拠を示す手段としても注目されています。ISO/IEC 27001認証のアドオン(追加)規格として認証を受けることが可能です。
その他の関連規格
上記以外にも、ISO 27000ファミリーには以下のような規格が存在します。
- ISO/IEC 27003:ISMS導入ガイダンス
- ISO/IEC 27004:情報セキュリティ測定
- ISO/IEC 27005:情報セキュリティリスクマネジメントに関連する指針
- ISO/IEC 27035:セキュリティインシデント管理
これらは、ISMSの特定のプロセスや活動をより深く掘り下げて実施する際に役立ちます。
日本独自の制度 ISMAP(イスマップ)
国際規格とは別に、日本政府が定めた制度としてISMAP(イスマップ:Information system Security Management and Assessment Program)があります。これは、政府機関などが利用するクラウドサービスのセキュリティレベルを評価・登録する制度です。
ISMAPとISMS(ISO/IEC 27001)の関係
ISMAPの要求事項は、ISO/IEC 27001やISO/IEC 27017などをベースに、政府機関向けに詳細かつ具体的な管理策を追加・強化した内容となっています。
ISMAPの登録を目指すクラウドサービス事業者は、多くの場合、ISO/IEC 27001やISO/IEC 27017の認証を取得していることが前提、あるいは並行して取得を進めることが一般的です。ISMAPは、ISMSの枠組みを基礎としつつ、より高度で具体的なセキュリティ統制(ガバナンス、マネジメント、管理策)を要求する制度と言えます。
ISMSの種類の選び方
ISMSにはさまざまな規格や制度が存在するため、どれに取り組むべきか迷うかもしれません。選定にあたっては、以下の点を考慮しましょう。
1. 組織の目的とニーズ
- 基本的な情報セキュリティ体制を構築したい、取引先からの要求がある
→ まずはISO/IEC 27001:2022の取得を目指すのが一般的です。 - クラウドサービスを多く利用している、または提供している
→ ISO/IEC 27001に加えて、ISO/IEC 27017(ISMSクラウドセキュリティ認証)の取得を検討します。 - 個人情報を多く取り扱う、プライバシー保護を強化したい
→ ISO/IEC 27001に加えて、ISO/IEC 27701(PIMS)の導入・認証を検討します。クラウド上で個人情報を扱う場合は、ISO/IEC 27018の原則も参考にします。 - 政府機関へのクラウドサービス提供を目指している
→ ISMAPへの登録が必須となります。
2. 事業内容や業界の特性
特定の業界(金融、医療など)では、ISO/IEC 27001に加えて、業界固有のセキュリティガイドラインや規制が存在する場合があります。
3. 予算やリソース
各規格への対応には、体制構築、文書作成、審査費用、運用維持などのコストと人的リソースが必要です。組織の規模や体力に合わせて、段階的に取り組むことも検討しましょう。
まずは中心となるISO/IEC 27001に取り組み、その上で必要に応じて関連規格(27017、 27701など)やISMAPへとステップアップしていくのが現実的な進め方と言えるでしょう。
自社に合ったISMSの種類を選びましょう
本記事では、ISMSの基本から中心となる国際規格ISO 27001、ISO 27000ファミリー(クラウドセキュリティの27017、プライバシー保護の27701など)、そして国内制度ISMAPまで、さまざまなISMSの種類と自社に合った規格の選び方を解説しました。
適切なISMSを構築・運用することは、セキュリティレベルの向上と社会的信用の獲得に不可欠です。一度構築したら終わりではなく、継続的な改善が重要となります。
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
内部統制監査とは?内部監査との違いや実施手順・確認ポイントを解説
金融商品取引法上の規制のひとつに内部統制監査があります。金融庁に対して、有価証券報告書とともに提出する内部統制報告書を作成する目的で行われる必要な業務であり、重要な意味を持つ体制のことです。 本記事では、内部統制監査の種類と目的、内部統制監…
詳しくみる内部統制におけるロールフォワードとは?必要性や実施手順を説明
上場を目指す場合、内部統制報告書の提出は重要なプロセスです。しかし、「内部統制の評価・改善がうまくいかない」「期末日までに準備できるか不安」などの悩みを持つ方もいるのではないでしょうか。そういったときはロールフォワード評価を利用すれば、期末…
詳しくみる徹底解説!コーポレートガバナンスと内部統制の違いとは?
コーポレートガバナンスと内部統制は混同されやすく、違いを明確に説明できる人は多くありません。両者の違いは以下の通りです。 コーポレートガバナンス:主に経営者の不正を防ぐための仕組み 内部統制:主に経営者が従業員などの不正を防ぐための仕組み …
詳しくみる内部通報制度に弁護士を起用するメリットとは?費用や選定のポイントを解説
内部通報制度(社内通報制度)において、弁護士を外部の相談・通報窓口として活用する企業が増えています。IPOを目指す企業やコンプライアンス意識の高い企業では、改正公益通報者保護法(2022年施行)への対応も踏まえ、弁護士の活用による内部通報制…
詳しくみる内部統制で業務マニュアルを作成すべき?メリットやデメリットを解説
内部統制では業務の適正化を図るため、業務内容のマニュアル化が求められます。では、業務マニュアルとは一体どのようなマニュアルなのでしょうか。この記事では、業務マニュアルとは何か、作成するメリットとデメリットを紹介します。さらに、内部統制に必要…
詳しくみるISMSの管理策とは?要求事項との違いやISO 27001:2022附属書A 93項目を解説
情報セキュリティ対策の重要性が叫ばれる中、ISMS認証取得を目指す企業が増えています。その核となるのが、リスクに対応するための具体的な方策「管理策」です。 とはいえ、「要求事項と何が違うの?」「たくさんあるけど、どう選べばいい?」と戸惑う方…
詳しくみる