カミナシブログ

ISO27001とは?情報セキュリティの基礎知識を徹底解説

作成者: カミナシ編集部|2020.09.23

情報セキュリティマネジメントシステムとも呼ばれるISO27001。企業にとって価値のある情報やデータを守る仕組みで、情報漏洩が問題視される現代において無視できない重要なシステムです。

 

ただ、ISO27001の概要があまり分からない人も多いのではないでしょうか。そこで今回は、ISO27001の概要や取得するメリットを解説していきます。

 

ISO27001とは

ISO27001とは、国際標準化機構のISOと国際電気標準会議のIECが共同で制定した、情報セキュリティの管理に関する国際規格です。

 

ISOとは「International Organization for Standardization」の略語で、スイス・ジュネーヴに本部を置く非営利法人のこと。世界におけるさまざまな標準を定める団体として、現在は日本を含む世界162カ国が加盟しています。

 

一方、IECは「International Electrotechnical Commission」の頭文字を取った略語で、ISOでは取り扱いのない電気・電子技術の国際規格の策定を専門に行なっている機関です。2018年時点で、日本を含む世界84カ国がIECに加盟しています。

 

そんな2つの機関により定められた規格がISO27001です。日本では、情報セキュリティマネジメントシステムとも呼ばれています。

 

情報化社会においては情報の漏洩リスクが高まっているため、適切な情報管理や保護をするべく多くの企業で重要視されている規格です。

 

ISO27001・ISMS・Pマークの違い

 

ISO27001やISMS、Pマークの違いを知っていますか?違いを知るためには、まずはそれぞれの概要を理解する必要があります。

 

ISO27001とは、ISOとIECが共同で制定した国際規格のこと。次に、ISMSは「Information Security Management System」の頭文字を取った略語で、日本では情報セキュリティマネジメントシステムと呼ばれています。

 

日本語の名称の通り、ISMSは情報セキュリティを管理するためのシステムです。そして、プライバシーマークと呼ばれるPマークも、ISMSと同じく情報管理のシステムになります。

 

ISO27001の規格に沿ってシステムを構築するとき、ISMSとPマークのどちらを使用しても問題ありません。ただ、ISMSとPマークでは、保護対象と適用範囲に大きな違いが存在します。

 

ISMSの保護対象が個人情報を含む、すべての情報資産になっていることに対して、Pマークは個人情報のみ。適用範囲でいえば、ISMSが企業全体はもちろん、事業や部門ごとに取得可能な一方で、Pマークは企業全体にとどまっています。

 

どちらを使用するかは、企業が取り扱う顧客情報量や機密情報の多さなどにもよるので、しっかり検討することが必要です。

ISMS構築の基本となる3大要素

情報セキュリティの保護において機密性・完全性・可用性の3つの要素を重要視するISMS。ここからは、ISMSを構築する際の基本となる3大要素について詳しく解説していきます。

機密性

まず1つ目が、情報漏洩のリスクを回避・外部からのアクセスを防止する機密性です。基本的には、IDやパスワードを駆使してパソコンへのログインや機密情報・データの管理を行います。

 

ただ、パスワードが安易な数字だったり長期間同じ数字を使用したりする場合は、機密性の効果が薄れてしまうため、パスワードを作成・管理するときには注意が必要です。

完全性

2つ目は、情報を正確に管理する完全性です。ほとんどの場合、個人情報の取得を狙ったサイバー攻撃が多いのですが、中には情報の改ざんを行うケースも存在します。

 

情報を改ざんされてしまうと企業の信用を失うことになるので、信頼性を維持するためにも正確な情報を管理することが大切です。そこで、アクセスの履歴を残すなど利用者をコントロールして、正確な情報を維持する仕組みを作ります。

可用性

最後は、情報やデータをいつでも利用できる状態に整えておく可用性です。突然のシステムダウンや天災など、大規模な災害はいつ起きるか予測することができません。

 

そんな災害に備えて、すぐに利用できる環境を整えておくことが求められます。バックアップシステムを作ったりシステムを二重化したりするなどして、すぐに対応できる状態に備えます。

ISO27001を取得するメリット

ISO27001の取得は義務ではないので、企業の自由意思により取得するかどうかを決めることができます。ただ、現代の情報化社会により需要が高まっていることは間違いありません。

 

そこで、ISO27001を取得することで、どんなメリットを得られるのかを解説していきます。

取引先や顧客からの信頼獲得

ISO27001を取得すれば情報をしっかり守れるという証明になるので、取引先や顧客からの信頼に繋がることも少なくありません。特に、機密情報を多く取り扱う飲食業のビジネスにおいては、情報管理体制を徹底していることが重要視されます。

 

社外に向けたアピールでは一定の効力があるので、今後事業の拡大を視野に入れているなら、ISO27001の取得は企業にとって大きなメリットだといえるでしょう。

社内のセキュリティ制度を向上

ISO27001を取得するにあたっては社内のセキュリティ制度の見直しが必要です。見直す中で問題点も明確に浮かび上がってくるので、社内のセキュリティ制度の向上に役立ちます。

 

長い年月をかけて収集した情報資産は企業の宝です。そんな大事な情報が一度のサイバー攻撃により、奪われる可能性もあります。ISO27001を取得すれば社内のセキュリティが向上することはもちろん、もしもの事態に備えられるでしょう。

ISO27001に関してよくある質問

初めてISO27001を取得する企業は、分からないことも多いでしょう。そこでここからは、ISO27001に関してよくある質問をまとめました。該当する質問があればチェックしてみましょう。

主に取得している業種は?

ISO27001を取得する割合が一番多いのは、大量の情報を管理するウェブ制作やシステム開発などの情報サービス業です。取引先を増やすべく、積極的に取得する企業が増えています。

 

他には、膨大な個人情報を管理する人材派遣業や飲食業、機密情報を抱える広告業、情報を処理・産廃する廃棄物処理業なども、ISO27001の取得を積極的に行っています。

認証の取得は簡単にできる?

ISO27001を取得することは難しい印象がありますが、ISMSの構築・運用がしっかり行われていれば比較的簡単に認証・取得できます。セキュリティ向上の成果を判断されるわけではないので、自社で完結することも可能です。

 

ただ、ISMSの構築は専門的な知識や経験も必要になるので、何から始めればいいか分からない企業は、外部からコンサルティング業者を入れてサポートしてもらうケースも少なくありません。

審査機関はどうやって選ぶの?

ISO27001の審査は、審査機関によって行われます。現在日本には複数の審査機関が存在しますが、その中から自由に決めることが可能です。ただ、審査機関によって大きく料金が異なる場合もあります。

 

コストをおさえたいのであれば、複数の審査機関を比べて決めるのが一番です。また、審査や認証の実績も審査期間を選ぶうえで重要なポイントになります。依頼してから後悔しないためにも、しっかり確認をしておきましょう。

まとめ

企業の価値ある情報やデータの漏洩は、顧客や取引先の信頼を落としかねません。そのため、企業は情報を徹底管理できる環境を整える必要があります。そこで重要になるのが、ISO27001認証の取得です。

 

取得は決して簡単ではありませんが、ISMSの構築や運用が適正に行われていればどんな企業も認証を受けることができます。情報漏洩のリスクを低減させたいなら、ISO27001認証の取得を検討してみましょう。