ISMSとはなんぞや？ - アールスリーインスティテュート

公開日：2025-06-03

こんにちは。ゆーいちです。

今日と明日は、あまり今まで弊社ブログなどでも語られる事がなかったISMS（Information Security Management System:情報セキュリティマネジメントシステム）についてです。

前編の今日(6/3)は、「ISMSとはなんぞや？」です。

はじめに

まずはじめに、弊社のgusuku（グスク）シリーズは2023年より、ISMSの国際規格について、第三者によるISO/IEC認証(ISO/IEC 27001認証)を取得しています。

アールスリー、情報セキュリティマネジメントシステム(ISMS)の国際規格「ISO/IEC 27001:2013」を取得 – アールスリーインスティテュート｜R3 Institute
※規格取得時点ではISO/IEC 27001:2013を取得していましたが、2024年に最新規格であるISO/IEC 27001:2022に対応し、現在はこちらの規格で認証を得ています。

私たちが普段から使っているkintoneや、サイボウズさんが提供されている他のクラウド製品についても、実はISMSの第三者認証が取得されています。

kintone（キントーン）- 安全に使うために重要な７つの対策
 サイボウズのクラウド基盤サイト

様々な会社が情報セキュリティを適切に維持管理するために用いているISMS、またこれに伴う国際規格であるISO/IEC 27001などの規格が存在しますが、これらはどういったものなのでしょうか？

これらの成り立ちを紐解くと、情報セキュリティについての理解が深まりそうですので、今回はそういったところを書いてみます。

まずは言われてみればそうだなと感じるのですが、意外にするっと説明しにくいこの疑問から。

ここ20年ぐらいで急に情報セキュリティって言うようになったよね？

はい。その通りです。
さて、なぜここ20年〜30年ぐらいで情報セキュリティは一般的になったのでしょうか。まずはこの点を紐解いてみましょう。

そもそもの話として、情報に対する攻撃手法というのはもっと昔から存在します。
※例えば情報の機密性という観点でいえば、前の戦時中の暗号文解読などもそうだと言えます。

では、なぜここ20年ぐらいで急に「情報セキュリティ」という言葉が一般化し、急に問われるようになったのか？というと、理由はシンプルで、「インターネットによる常時接続が一般的に行われるようになった」ためです。

というのも、「インターネットによる常時接続」が始まる前の家庭用コンピューターというのは、基本ネットワークにはつながっておらず、単体で動かすものがほとんどでしたが、現在のコンピューター（やスマートフォン）は、基本的に常時、コンピューターがネットワークに接続されています。
※かつてはコンピューターをネットワークにつなぐ場合もコンピューターとコンピューターは１：１で繋がれており、接続先は信頼できるコンピューターである事が一般的でした。

国内でも、セキュリティ人材についての社会的な要請が増えた事により、たとえば経済産業省が主催する情報処理技術者試験では、2001年ごろから情報セキュリティに特化した資格試験が新設され、整備されています。
※具体的には、2001年の情報セキュリティアドミニストレータ試験が最初の試験制度として開始、その後2009年に情報セキュリティスペシャリスト試験として試験制度が再整備されて今の試験制度に近い形となり、現在は情報処理安全確保支援士試験として実施。なお、私も情報セキュリティスペシャリスト試験に合格しており、その後、情報処理安全確保支援士(第000594号)として登録しています。

ISOやIEC、ISO/IEC規格って？

スイスのジュネーブに本部を置く国際標準化機構（International Organization for Standardization）の事を、略称でISOと呼びます。この機関は国際統一規格を策定しており、策定された規格が「ISO規格」と呼ばれるものです。

さて、なぜこういった国際統一規格が必要かといえば、世界中で同じ品質やレベルの製品・サービスが提供される基準として規格を定め、国際取引を円滑にすることを目指すために存在します。
例えば、ネジをなくしたので新たに買いたい時、ねじのピッチが異なって合わなかったりすると困りますよね？

もともと、ISO規格はそういったところから始まった為、製品そのものを対象とした「モノ規格」のイメージが強いのですが、それとは別に組織の活動管理に関する「マネジメントシステム規格」というもう一つの大きなカテゴリがあります。

例えば「モノ規格」の例としては、ネジ（ISO 68）や、カードのサイズ基準（ISO/IEC 7810）、などが挙げられます。

一方、「マネジメントシステム規格」は、組織がマネジメントを適切に行うための仕組みを規定し、例えば品質を対象としたISO 9001や、環境を対象としたISO 14001があり、これらは「マネジメントシステムに関する基準」をISOが規定しているものになります。

IECもISOと同様に「国際電気標準会議（International Electrotechnical Commission）」という電気・電子に関する国際規格および国際統一規格を定める団体になります。

ITに関する規格については、国際的なものでもあり、また電気・電子に関わる領域でもあるため、国際規格としては両方の団体により規格化され、ISO/IEC規格　と呼ばれます（なお余談ですが、歴史的にはIECの方が古いです）。

ISMSに関する国際規格の変遷

情報セキュリティに関するISMS規格については、時代の変化にともなってアップデートされ続けており、次のような変遷をたどって現在のISO/IEC 27001の姿になっています。

年度	規格名・バージョン	概要
1995	BS7799:1995	英国規格協会(BSI)にて規格化
2000	ISO/IEC 17799:2000	「情報技術-情報セキュリティ管理のための実践規範」としてISO/IEC規格に
2005	ISO/IEC 27001:2005	国際規格の統一とともに、規格番号が変更
2013	ISO/IEC 27001:2013	バージョンアップに併せて規格名も「情報技術−セキュリティ技術− 情報セキュリティマネジメントシステム−要求事項」に
2022	ISO/IEC 27001:2022	バージョンアップに併せて規格名も「情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項」に

2022年に最新の規格になって、何が変わったの？

バージョンアップを繰り返し、現在5バージョン目であるISMS規格ですが、何が変わったのでしょうか？

まず大きなポイントとしては、他のISO/IEC規格と2022年時点での整合性が合うようになりました。

ISMSはマネジメントシステムなので、基本的にPDCAなどのサイクルで計画的にマネジメントを回し、運用していく事が求められているのですが、前述のISO9001（品質マネジメントシステム）などの他の規格と相互に運用しやすくするため、「ISO/IEC専門業務用指針附属書SL」というマネジメント規格で準拠しないといけない規格に対してのルールがあり、これに沿ったものとなるよう、バージョンアップ毎に規格に対してのルールに沿うよう改定が入るようになっています。

最新規格の改訂での例を具体的に挙げてみると、ISMSのマネジメントを行う際に、ルールを変更する時のルールが厳しくなりました。

具体的には最新版のISMSでは、ルールを変更する必要性があり、変更を決定した時はその変更を計画的な方法で行う（つまり、変更を計画し、実施し、チェックし、次の改善につなげる）必要があり、それに伴うドキュメントなども残す必要があります。

他には、9年の時を超えてバージョンアップがなされたため、例えば「A.5.23 クラウドサービスの利用における情報セキュリティ」といった管理策（管理をするための項目）が追加されたり、「A.8.10 情報の削除」といった管理策では、不要になった時点で情報を削除しましょうという内容が追加されたり(この追加の理由は他のISO規格と足並みをそろえる為だそう)しています。

おわりに

今回は、ISMSの国際規格であるISO27001について、ご紹介してみました。

こういった情報セキュリティの維持管理については、インフラとしての側面が強い事もあって取り組みはなかなか表に情報が出る事も少ないのですが、例えばサイボウズさんは
サイボウズのセキュリティ室｜note
としてISO27001などのセキュリティ認証取得の取り組みについて、ブログを発信されていたりします。

また、ISO/IEC27000シリーズのいくつかの規格についてはJIS規格としても規格化されており、今回話題にあげた ISO27001:2022 や、そのベストプラクティスをまとめた ISO27002:2023 については、規格内容をJISC(日本産業標準調査会)のHPから無償で閲覧できます(会員登録は必要です）。

JISC 日本産業標準調査会

もし、今回の記事に記載したISMSの国際規格を日本語で読んでみたい場合には、上のページから「JIS Q 27001」、「JIS Q 27002」を閲覧してみると面白いかもしれません。