- 作成日 : 2025年7月7日
ISMSの種類とは?ISO27001:2022から関連規格、ISMAPまで初心者向けに徹底解説
情報セキュリティ対策の重要性が増す中、「ISMS」という言葉を耳にする機会も増えたのではないでしょうか?ISMSにはさまざまな種類の規格があり、どれが自社に必要なのか迷うこともあるかもしれません。
この記事では、ISMSの基本的な考え方から、最も代表的な国際規格ISO/IEC 27001:2022、クラウドやプライバシーに関連する規格群、そして日本独自の制度ISMAPまで、それぞれの特徴と選び方を分かりやすく解説します。最適なセキュリティ体制構築への第一歩として、ぜひご一読ください。
目次
ISMS(情報セキュリティマネジメントシステム)とは
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、特定の規格に基づいて、組織が持つ情報資産のリスクを特定・評価し、適切な管理策を計画・実行・点検・改善していくための枠組みです。単なる技術的な対策だけでなく、組織のルール、物理的な対策、人的な管理体制などを含めた総合的なアプローチを取ります。
ISMSの主な目的は以下の3点です。
- 機密性(Confidentiality):認可されていない人やプロセスが情報にアクセスできないようにすること
- 完全性(Integrity):情報が正確であり、改ざんされていない状態を保つこと
- 可用性(Availability):認可された利用者が、必要な時に情報や関連資産にアクセスできる状態を保つこと
これら「情報セキュリティのCIA」と呼ばれる三要素をバランス良く維持・管理することが、ISMSの核となります。
ISMSを構築・運用するメリット
ISMSを導入し、適切に運用することには、主に以下のようなメリットがあります。
- セキュリティレベルの向上
組織全体で統一されたルールに基づき対策を行うため、網羅的かつ効果的なセキュリティ強化が期待できます。 - リスクの低減
情報漏洩やサイバー攻撃などのリスクを事前に特定し、対策を講じることで、インシデント発生の可能性や被害を最小限に抑えられます。 - 社会的信用の獲得
特に後述する「ISMS認証」を取得することで、取引先や顧客に対して、情報セキュリティ体制が整っていることを客観的に証明でき、信頼向上につながります。 - 法令遵守(コンプライアンス)
個人情報保護法など、関連法規への対応がしやすくなります。 - 業務効率の改善
情報管理プロセスが明確化され、従業員のセキュリティ意識も向上するため、結果的に業務効率が改善されることもあります。 - 事業継続性の確保
セキュリティインシデント発生時にも、事業への影響を最小限に抑え、早期復旧を可能にする体制を構築できます。
ISMSの種類
ISMSの種類とは、多くの場合、ISMSを構築・認証するための具体的な規格(スタンダード)を指します。その中でも最も代表的で、国際規格となっているのがISO/IEC 27001です。
ISO/IEC 27001
ISO/IEC 27001は、ISMSの要求事項を定めた国際規格です。組織がISMSを構築し、運用し、維持し、継続的に改善するための具体的な要件(何をすべきか)を定義しています。
この規格に基づいてISMSを構築し、第三者の認証機関による審査に合格すると、「ISMS認証(ISO/IEC 27001認証)」を取得できます。これは、組織の情報セキュリティ管理体制が国際基準を満たしていることの証明となります。
主な特徴は、以下の通りです。
- ISMSの構築・認証に関する要求事項を規定
- 特定の技術や製品に依存しない、汎用的なフレームワークを提供
- リスクアセスメントに基づき、組織の状況に合った管理策を選択・適用するリスクベースアプローチを採用
- Plan(計画)、Do(実行)、Check(点検)、Act(改善)のPDCAサイクルによる継続的な改善を要求
多くの企業が「ISMS認証を取得する」と言う場合、このISO/IEC 27001に基づく認証を指します。
ISO/IEC 27002
ISO/IEC 27001と密接に関連するのがISO/IEC 27002です。これは、ISO/IEC 27001の附属書Aにリストアップされている情報セキュリティ管理策について、それぞれの実施の手引き(ガイドライン)を提供する規格です。
ISO/IEC 27001が「何をすべきか(要求事項)」を定めるのに対し、ISO/IEC 27002は「どのように実施するか(実践的な指針)」を示します。ISO/IEC 27001で要求される管理策を具体的に検討・導入する際に参照されます。ただし、ISO/IEC 27002自体は認証規格ではありません。
ISO 27000ファミリー
ISO/IEC 27001や27002は、「ISO 27000ファミリー」と呼ばれる一連の規格群の一部です。このファミリーには、ISMSの特定の側面や分野に特化した、さまざまな規格が含まれています。これらを広義の「ISMSの種類」と捉えることもできます。
ISO/IEC 27000
ISO 27000ファミリー全体の概要、基本原則、そして重要な用語の定義を提供します。ファミリー規格を理解するための入門書のような位置づけです。
ISO/IEC 27017
クラウドサービスの利用が拡大する中で重要性を増しているのが、ISO/IEC 27017です。これは、クラウドサービスに関する情報セキュリティ管理策のガイドラインを提供する規格です。
ISO/IEC 27002の管理策をベースに、仮想環境の分離、利用者と提供者との責任の分担といったクラウド環境特有のリスクに対応するための追加の管理策や実施の手引きを示しています。クラウドサービス提供者(CSP)と利用者(CSC)双方にとって有用な規格です。
ISO/IEC 27001認証に追加する形で、ISO/IEC 27017に基づく管理策が実施されていることを示す認証(ISMSクラウドセキュリティ認証)もあります。
ISO/IEC 27018
ISO/IEC 27018は、パブリッククラウド環境における個人情報(PII:Personally Identifiable Information)の保護に特化した実践規範です。
クラウドサービス提供者が、顧客(個人情報管理者)から預かった個人情報を処理する際の行動規範を定めています。例えば、同意なしに個人情報を広告目的で利用しないこと、データの所在地の透明性を確保することなどが挙げられます。GDPR(General Data Protection Regulation、一般データ保護規則)など各国のプライバシー法規制への対応を支援する側面もあります。
ISO/IEC 27701
ISO/IEC 27701は、ISMS(ISO/IEC 27001)をプライバシー保護の観点から拡張するための要求事項とガイドラインを定めた規格です。「PIMS(Privacy Information Management System)」とも呼ばれます。
ISO/IEC 27001の枠組みを利用して、PII(Privacy Identifiable Information)の管理体制を構築・運用する方法を示します。GDPRなどのプライバシー法規制への準拠を示す手段としても注目されています。ISO/IEC 27001認証のアドオン(追加)規格として認証を受けることが可能です。
その他の関連規格
上記以外にも、ISO 27000ファミリーには以下のような規格が存在します。
- ISO/IEC 27003:ISMS導入ガイダンス
- ISO/IEC 27004:情報セキュリティ測定
- ISO/IEC 27005:情報セキュリティリスクマネジメントに関連する指針
- ISO/IEC 27035:セキュリティインシデント管理
これらは、ISMSの特定のプロセスや活動をより深く掘り下げて実施する際に役立ちます。
日本独自の制度 ISMAP(イスマップ)
国際規格とは別に、日本政府が定めた制度としてISMAP(イスマップ:Information system Security Management and Assessment Program)があります。これは、政府機関などが利用するクラウドサービスのセキュリティレベルを評価・登録する制度です。
ISMAPとISMS(ISO/IEC 27001)の関係
ISMAPの要求事項は、ISO/IEC 27001やISO/IEC 27017などをベースに、政府機関向けに詳細かつ具体的な管理策を追加・強化した内容となっています。
ISMAPの登録を目指すクラウドサービス事業者は、多くの場合、ISO/IEC 27001やISO/IEC 27017の認証を取得していることが前提、あるいは並行して取得を進めることが一般的です。ISMAPは、ISMSの枠組みを基礎としつつ、より高度で具体的なセキュリティ統制(ガバナンス、マネジメント、管理策)を要求する制度と言えます。
ISMSの種類の選び方
ISMSにはさまざまな規格や制度が存在するため、どれに取り組むべきか迷うかもしれません。選定にあたっては、以下の点を考慮しましょう。
1. 組織の目的とニーズ
- 基本的な情報セキュリティ体制を構築したい、取引先からの要求がある
→ まずはISO/IEC 27001:2022の取得を目指すのが一般的です。 - クラウドサービスを多く利用している、または提供している
→ ISO/IEC 27001に加えて、ISO/IEC 27017(ISMSクラウドセキュリティ認証)の取得を検討します。 - 個人情報を多く取り扱う、プライバシー保護を強化したい
→ ISO/IEC 27001に加えて、ISO/IEC 27701(PIMS)の導入・認証を検討します。クラウド上で個人情報を扱う場合は、ISO/IEC 27018の原則も参考にします。 - 政府機関へのクラウドサービス提供を目指している
→ ISMAPへの登録が必須となります。
2. 事業内容や業界の特性
特定の業界(金融、医療など)では、ISO/IEC 27001に加えて、業界固有のセキュリティガイドラインや規制が存在する場合があります。
3. 予算やリソース
各規格への対応には、体制構築、文書作成、審査費用、運用維持などのコストと人的リソースが必要です。組織の規模や体力に合わせて、段階的に取り組むことも検討しましょう。
まずは中心となるISO/IEC 27001に取り組み、その上で必要に応じて関連規格(27017、 27701など)やISMAPへとステップアップしていくのが現実的な進め方と言えるでしょう。
自社に合ったISMSの種類を選びましょう
本記事では、ISMSの基本から中心となる国際規格ISO 27001、ISO 27000ファミリー(クラウドセキュリティの27017、プライバシー保護の27701など)、そして国内制度ISMAPまで、さまざまなISMSの種類と自社に合った規格の選び方を解説しました。
適切なISMSを構築・運用することは、セキュリティレベルの向上と社会的信用の獲得に不可欠です。一度構築したら終わりではなく、継続的な改善が重要となります。
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
関連当事者取引とは?開示基準や開示項目、取引した場合の対処法について解説
「関連当事者取引」とは、企業がその経営陣、主要株主、親会社、子会社、関連会社などの関連当事者と行う取引を指します。これらの取引は、通常の市場条件と異なる条件で行われることがあり、そのため特に注目され、適切なディスクロージャー(情報開示)が要…
詳しくみる内部統制のモニタリングとは?種類や意味、具体的なチェックポイントを紹介します
内部統制が有効に機能しているかどうかを監視するプロセスをモニタリングと呼びます。内部統制の要素のひとつでもあり、企業経営において欠かせない重要な役割でもあります。内部統制が義務化されている企業もありますが、義務化されていない企業が整備・運用…
詳しくみる内部統制強化で経費精算の不正を防ぐ!監査のポイントを解説
粉飾決算や不正会計のニュースが相次ぎ、上場企業や上場を目指す成長企業は、内部統制の見直しや強化を求められています。 経費の不正利用などは経理・財務などの管理部門が徹底して内部統制をする必要がありますが、監査されるポイントがわかりにくいと感じ…
詳しくみる指名委員会等設置会社とは?各委員会の権限やメリット・デメリットを解説
指名委員会等設置会社とは、指名委員会や監査委員会、および報酬委員会を設置する組織形態です。業務執行と経営監督が分離している点が特徴であり、委員の過半数を社外の取締役とする必要があります。 コーポレートガバナンスの強化につながるというメリット…
詳しくみるISMSの内部監査とは?目的、外部監査との違い、やり方などを徹底解説
ISMS(情報セキュリティマネジメントシステム)の認証取得・維持において、内部監査は避けて通れない重要なプロセスです。しかし、「内部監査って具体的に何をするの?」「何のために必要なの?」「どう進めればいいの?」といった疑問を持つ方も多いので…
詳しくみる内部統制に役立つ資格9選|内部監査との違いや整備が必要な企業を説明
会社の信頼度向上と透明化を実施する内部統制において、担当者個人として資格が必要なわけではありません。もちろん、内部統制を専門にした人材に対して与えられる資格も存在していません。しかし、内部統制を実施するにあたり、持っておくと役に立つ資格があ…
詳しくみる