ISMS認証を取得し、更に翌年最新規格に対応してみた

公開日：2025-06-04

（更新日：2025-06-03）

こんにちは。ゆーいちです。

昨日と今日は、あまり今までブログなどでも語られる事がなかったISMS（Information Security Management System:情報セキュリティマネジメントシステム）についてです。

後編の今日(6/4)は、「ISMS認証を取得し、更に翌年最新規格に対応してみた」です。
ISMSに関する、用語や概念などについては昨日のブログも併せてご覧ください。
ISMSとはなんぞや？ – アールスリーインスティテュート｜R3 Institute

「ISMSと取ろう！」となった

2022年の暮れに、弊社の金春からgusukuシリーズでISMS認証を取ろう！との指令が下りました。

ISMSを取ろうとなった理由はいくつかあるのですが、私としては大きな点は次の2つだと考えています。

１）「情報セキュリティを担保している」と言うだけでなく、客観的に証明できる形で運用している状態に持っていきたかった

様々な会社さんが、サービスを提供するときには当然「情報セキュリティを担保しています！」と説明しがちですし、社内的にちゃんとセキュリティが担保されている会社さんも多くあると思います。

ただ、自分たちでそれを証明するのと、客観証明がなされているものではやはり信頼度に違いがあるもので、ISMS認証を取得しつつ、併せて社内のセキュリティ運用のレベルもISMSの運用を通じて「客観的に担保されている」レベルに上げたかったのだと考えています。

２）「セキュリティチェックシート」にまつわる点

よく、大きな企業さんが新しいクラウドサービスを導入する時には「セキュリティチェックシート」をサービス提供元に記入してもらう運用となるケースが多いのですが、会社さんによってはサービス提供元がISMS認証などの国際認証を取得していると、この記載を省略したり、チェックシートの記入項目を大幅に減らせるケースがままあります。

導入の指令を貰った当時、ISMS認証を取得できていれば、そういった導入時にお客様の負荷軽減もできるため、そういった理由からもぜひ取りたいね　という話がありました。

またスケジュールとしては、2023年7月の認証取得を目指し、5月に外部監査を受けるという形になりました。

ISMSを取るためには何をする必要があるのか？

ISMSはその名の通り「情報セキュリティマネジメントシステム」なので、ISMS認証を取得するためには、ISOの規格条文に沿った情報セキュリティのマネジメントシステムが社内で確立できている必要があります。

より具体的にいうと、認証取得のためにはISO27001の規格に定義された

規格要求事項
附属書A

というルール群に準拠した形でのISMSの運用に、社内の情報セキュリティ関連の運用がなっている必要があります。
なお「規格要求事項」は必ず守らなければならない項目、「附属書A」は基本的には守る事が推奨される項目（※必須ではないというところがポイント）が記載されています。

【なぜ必須ではない事項があるの？】
なぜ「附属書A」に記載された事項については「必須ではない」物があるのでしょうか？

たとえば、次の条文を例に考えてみましょう。
ISO27001 附属書Aの表題
　2013:A.14.2.1セキュリティに配慮した開発のための方針
　2022:A.8.25 セキュリティに配慮した開発のライフサイクル
ISO27002 実施の手引(2013/2022共に同じ記載)
　セキュリティに配慮したサービス，アーキテクチャ，ソフトウェア及びシステムを構築するには，セキュリティに配慮した開発が必要となる。セキュリティに配慮した開発のための方針には，次の側面を考慮することが望ましい。

例えばこの条文、仮に全てクラウドやパッケージソフトで業務処理しており、内製ソフトウェアが一切ない会社であれば、どうやっても適用する事ができない　という事がわかります。
※なお弊社の場合は、適用できないルールは無かった事から情報セキュリティルールについては、全ての「附属書A」の項目に対応したルールが定義され、運用されています。

またルールを定めるだけではダメで、ここで定義したルールに基づいてPDCAサイクルが最低でも1週回っている必要があります。

これは、ISOのマネジメント規格の共通となる指針である、ISO/IEC専門業務用指針附属書SLの用語を使うと次のようになります（つまり、どのマネジメント規格のISOでも基本的に同様なPDCAサイクルが求められている　という事になります）。

PDCAのP(Plan:計画)に当たるもの

4. Context of the organization（組織の状況）
5. Leadership（リーダーシップ）
6 Planning（計画）
7. Support（支援）

PDCAのD(Do:実行)に当たるもの

8. Operation（運用）

PDCAのC(Check:評価)に当たるもの

9. Performance evaluation（パフォーマンス評価）

PDCAのA(Act:改善)に当たるもの

10. Improvement（改善）

ISMSを取る為にクラウドサービスを使ったりした

実はISMS認証を取得したり、運用を楽にしてくれる専用クラウドサービスというのがあり、こういったものを使うと上記のPDCAサイクルやそれにともなう文書・情報の管理を楽に行う事ができます。弊社も利用してISMSの取得を進めていきました。

ですが、この手のサービスは基本的にどうも「ITを活用する会社」に対してサービス構築されている節があり、前述の「規格要求事項」や「附属書A」について、策定ルールについては全て、「開発を行っている」側の目線でもチェックをする必要がある事がわかりました。
このため附属書Aの全ての項目に対し、「開発を行っている」側の目線でかつ、その条文がISOの条文に記載されたルールの意図と合っているか、整合性を取る必要があり、この作業が非常に大変でした。

ISMSを無事取れた……　のですが次の山が来る！

ここら辺の整合性を合わせ、内部監査を終え、内部監査後のマネジメントレビューを終え、外部監査も2023年の5月に無事におわり、7月にISMS認証(ISO/IEC 27001:2013)を取る事ができました。

アールスリー、情報セキュリティマネジメントシステム(ISMS)の国際規格「ISO/IEC 27001:2013」を取得

さて、ここで問題です。2023年に2013年版のISMS認証(ISO/IEC 27001:2013)を取得すると、どうなると思いますか？

そう、最新のISMS認証(ISO/IEC 27001:2022)が既に出ているので、この最新ISMSへのバージョンアップ(最新の規格への準拠)の対応が必要となります！！！

【ISOのバージョンについて】
ISOは新バージョンが出ると、一定期間以内に被認証組織は新バージョンへの認証移行を完了させる必要があります。ISO/IEC27001だと3年(36ヶ月以内)が期限となっており、ISO/IEC27001:2022 が出たのは2022/10/25 なので
ISO/IEC27001:2013 の賞味期限は2025/10までとなります。

あれ？次バージョンに上げるのに全然時間無くない？（無いです）

ISMSは年に1度外部監査を受ける必要があるのですが、そんな理由で2024年の外部監査では2022年版のISMS認証(ISO/IEC 27001:2022)の更新取得に向けて改めて走る事になったのです(実際に着手したのは2024/1から)。

おわりに

こういったセキュリティの維持管理というのは、あまり表に出るタイプの情報や仕事ではないと私も考えているのですが、今回ご紹介したようなセキュリティ管理システムの国際基準への準拠や、それに伴う積み重ねがgusuku Customineや、gusuku Deploitなど、gusukuシリーズのサービス群を安心して使って頂ける基盤となっていると考えています。

より安心して使って頂けるよう、私も継続的に頑張っていきたいと思います！

投稿者プロフィール

ゆーいち: ドキュメントを書いています。また、たまにISMSと向き合っています。
情報処理安全確保支援士(第000594号)、kintone認定カイゼンマネジメントエキスパート/カスタマイズスペシャリスト

「ISMSと取ろう！」となった