ISMS(ISO27001)取得に必要なセキュリティ対策とは

ISMSとは? 必要なセキュリティ対策

現代のビジネスにおいて、情報セキュリティの重要性はますます高まっています。企業が情報漏洩やサイバー攻撃から守るためには、適切なセキュリティ対策を講じることが不可欠です。

本記事では、情報セキュリティ管理の国際的な基準として、多くの企業に採用されているISMS(ISO27001)の基本的な概要、そして具体的なセキュリティ対策について詳しく解説します。ISMS(ISO27001)を導入し、企業のセキュリティを強化したいと考えている方は、ぜひご覧ください。

ISMS(ISO27001)とは

 ISMS(Information Security Management System/情報セキュリティマネジメントシステム)とは、情報セキュリティを体系的に管理するための仕組み(マネジメントシステムそのもの)のことです。

ISO27001はISMSの国際標準規格のことで、「どのようにISMSを構築・運用したら機能するのか」を示したガイドラインをさします。ISMSは「仕組み」、ISO27001は「規格」をさすため、そもそも比較するものではありません。「ISO27001に定められた要求事項に従い、ISMSを構築する」と考えるとわかりやすいでしょう。

ISMS(ISO27001)の狙い

ISO27001の主な目的は、組織の情報セキュリティリスクを管理し、情報の機密性、完全性、可用性を確保することです。具体的には、情報漏洩や不正アクセスを防ぐための対策を講じ、情報資産を保護します。

また、規格を導入することにより、法令遵守やビジネスパートナーへの信頼性の向上を図ります。

情報セキュリティに重要な3要素

ISO27001における情報セキュリティの基本要素は、「機密性」「完全性」「可用性」の3つです。

「機密性」は、情報が許可された者だけにアクセスされることを保証するものです。「完全性」は、情報が正確で改ざんされていない状態を維持することを意味します。「可用性」は、必要なときに情報にアクセスできる状態を確保することを意味します。

これらの要素をバランスよく管理することで、組織の情報セキュリティを強化することが可能です。

ISMS(ISO27001)で求められるセキュリティ対策について

ISO27001では、情報セキュリティの確保のために、技術的、物理的、人的な対策が求められます。これにより、組織の情報資産を保護し、リスクを最小限に抑えることが可能です。

技術的対策と具体例

技術的対策は、システムやネットワークのセキュリティを強化するための施策です。ファイアウォールや暗号化、アクセス制御、マルウェア対策などが含まれ、技術的対策を適切に実施することで、外部からの攻撃や内部からの情報漏洩を防ぎます。

技術的対策の具体例には、定期的なセキュリティパッチの適用や、強力なパスワードポリシーの導入があげられます。 

物理的対策と具体例

物理的対策は、情報資産が実際に保管されている場所に対する保護策です。セキュリティカードや鍵によるアクセス制御、監視カメラの設置、物理的な障壁の設置などが含まれます。これらの対策を行うことにより、情報資産への不正アクセスや盗難を防げるようになります。

物理的対策の具体例には、データセンターへの入退室管理や、重要書類の施錠管理があげられます

人的対策と具体例

人的対策は、従業員や関係者による情報セキュリティの確保を目的としています。教育や訓練、役割分担の明確化、セキュリティポリシーの遵守を促進する施策が含まれ、人的対策によりヒューマンエラーや内部からの情報漏洩リスクを軽減することが可能です。

人的対策の具体例には、定期的なセキュリティ研修や、セキュリティポリシーの周知徹底などがあげられます

ISMS(ISO27001)の審査とは

ISMS(ISO27001)の審査には、新規認証取得時の審査・認証の更新時の審査・維持のための審査の3種類があり、これらの審査を通じて情報セキュリティ管理の適切な運用が確認されます。

新規認証取得時の審査

新規認証取得時の審査では、組織がISO27001の要求事項を満たしているかどうかを、一次審査(第一段階審査)、二次審査(第二段階審査)の2段階によって評価されます

一次審査は文書フォーマットの審査です。ISMSの関連文書が適切に管理されているかが確認されます。

二次審査は実際の運用状況の審査です。現場での実施状況を確認するため現地審査が行われます。実際の運用が計画と一致しているか、従業員がポリシーを遵守しているかが調査され、組織がISMSを効果的に運用できているかどうかを確認する重要な部分とされます。 

更新を行う際の審査

認証の更新審査は、認証の有効期限が切れる前に実施される定期的な審査です(定期審査やサーベイランス審査と呼ばれることもあります)。

この審査では、前回の審査からの改善状況や、新たに発生したリスクに対する対策が確認されます。主には、組織が引き続きISO27001の要求事項を遵守しているか、セキュリティ管理の有効性が維持されているかが評価事項です。

変更があった場合は、それらが適切に管理されているかもチェックされます。

運用状況を確認する再認証審査

再認証審査は、ISO27001の認証を有効とするために、通常3年ごとに実施される審査です。この審査では、長期間にわたり情報セキュリティ管理が適切に行われているか、変更があった場合にその対応が適切かどうかが確認されます。

過去の問題点や改善点についての対応が評価されるため、ISMSの継続的な改善が求められることには注意が必要です。再認証審査を通じて、組織の情報セキュリティ管理の成熟度が確認されます。

ISMS(ISO27001)の審査に必要な運用記録

ISMS(ISO27001)の審査には、適切な運用記録の保持が不可欠です。

セキュリティポリシー、リスクアセスメントの結果、是正措置の実施状況、内部監査の記録などが含まれます。運用記録は審査時に審査員に提供され、情報セキュリティ管理が実際にどのように運用されているかを示す重要な証拠となります。記録は最新の状態で保持される必要があり、適切な管理が求められます。

また、記録の保存期間や形式についても、ISO27001の要求事項に基づく管理が必要です。これらの記録の整備は、認証取得や維持においての重要な点となるため、覚えておきましょう。

ISMS(ISO27001)の審査の流れと費用

ISMS(ISO27001)の審査の流れと費用について解説します。

ISMS(ISO27001)の審査の流れ

通常、ISMS(ISO27001)の審査は以下の流れで行われます。

・オープニングミーティング

・トップインタビュー

・現場の視察

・現場の責任者へのヒアリング

・クロージングインタビュー

まず文書フォーマットの審査等があります。ここで確認されるのは、組織の情報セキュリティ方針や手順がISO27001の要求事項に沿っているか、などです

続いて現地審査が実施され、実際の運用状況がチェックされます。現地審査では、従業員のインタビューや施設の確認が行われ、ポリシーの実施状況が評価されます。

審査後、審査結果が報告され、必要な改善等が指摘されます。この大まかな流れは、更新時や再認証時も同様です。

ISMS(ISO27001)の審査費用

ISMS(ISO27001)の審査費用は、認証機関・組織の規模・業種・準備状況によって異なり、数十万円から数百万円程度と幅があります

新規認証取得時の費用には、初回審査の費用と、必要に応じた準備支援の費用が含まれ、認証の更新や再認証審査にも別途費用が発生します。費用には、審査員の交通費・宿泊費・報告書作成費用なども含まれることが多いです。

具体的な費用は、JQA(一般財団法人 日本品質保証機構)に問い合わせて、見積もりを取得するとよいでしょう

ISMS(ISO27001)取得のメリット

 ISMS(ISO27001)を取得することで、企業は情報リスクの低減だけでなく、組織全体のセキュリティ意識向上や、情報管理の信頼性を高めることができます。以下、各メリットについて見ていきましょう。

従業員のセキュリティ意識が向上する

ISMS(ISO27001)の取得に向けたプロセスを通じて、従業員は情報セキュリティの重要性を学び、その意識が大幅に向上します。具体的には、情報漏洩や不正アクセスのリスクを低減するための行動指針が浸透し、日常業務においてもセキュリティ意識を高めた行動が促進される、などです。

パスワード管理の強化や、ソーシャルエンジニアリング(人の心理などを操り情報等を盗み出すこと)への対策を行うことで、個人の責任感が育まれるため、組織全体としてのセキュリティ対策の強化が期待できます。 

企業全体の情報セキュリティレベルが向上する

ISMS(ISO27001)を取得することで、企業全体の情報セキュリティレベルが向上します。標準化されたセキュリティ対策を導入することで、社内外の情報漏洩やサイバー攻撃のリスクを最小限に抑えることができるからです

また、定期的なリスク評価と改善を繰り返すことにより、継続的にセキュリティ対策の効果を検証し、必要に応じて改善するサイクルを確立できます。

企業競争力があがる

ISMS(ISO27001)を取得することは、企業の競争力を大幅に向上させる要因となります。ISO27001の認証を持つことで、取引先や顧客に対して高い情報セキュリティ基準を遵守していることを示せるため、新たなビジネスチャンスを開拓するきっかけとなるでしょう

特に情報管理が重要視される業界では、ISO27001の認証を持つことが競争優位性を確保するための大きなポイントとなります。

ISMS(ISO27001)取得のデメリット

ISMS(ISO27001)を取得することには多くのメリットがありますが、いくつかのデメリットもあります。

まず、取得に向けた初期コストと時間が大きな負担とされる点です。認証のための準備には、社内の現状分析やリスクアセスメント、セキュリティポリシーの策定など、多くのリソースを投入しなければなりません。次に、ISMSの維持には継続的な教育やトレーニングが必要であり、運用コストも増加する点です。認証を取得した後も定期的な監査を受ける必要があるため、その対応には追加の費用と労力が求められます。

これらの要素は、中小企業にとって特に負担となる可能性があり、組織全体のリソースを圧迫することも考えられるので、導入検討時に考慮しましょう。

ISMSのセキュリティ対策ならSafieの屋内向けカメラ

ISMSで求められるセキュリティ対策のうち、物理的対策としておすすめなのが、撮影した映像がクラウド上に録画される「クラウド録画サービス」を提供する「Safie(セーフィー)」です。Safieは、情報セキュリティマネジメントシステム(ISMS)の国際規格「ISO/IEC27001:2013」および「JISQ 27001:2014」の認証を2016年5月に取得しています。

SafieのクラウドカメラはHD×最大30fpsで、細かい文字もくっきり、テレビと同様のなめらかな画像を確認できます。カメラをインターネットにつなげば、スマートフォン・パソコン・タブレットからいつでもどこでも映像を確認できます。

さらに、Safieのクラウドに保存される録画データは、最新の暗号化技術によって守られるのでセキュリティ面が安心なのも特長です。本章では、おすすめのSafieの屋内向けのクラウドカメラとして3つを紹介します。

▼Safieの情報セキュリティへの取り組みについてはこちら

かしこくなる AIカメラ「Safie One」

Safie One

Safie
Safie One

エッジAIを搭載。画像解析による業務効率化も叶えるカメラ

¥41,800 (税込)

外形φ76.5×92.5mm
重さ360g
防水性能なし
ネットワーク接続有線LAN、無線LAN
PoE給電対応
画角水平114° 垂直60°
ズームデジタルズーム 最大8倍
マイク(音声入力)あり
スピーカー(音声出力)あり
暗所撮影対応

Safie One(セーフィーワン)は、エッジAIを搭載したクラウドカメラです。エッジAIとは、端末側(カメラ側)にAIを直接搭載したもので、オプションのアプリケーション「AI-App(アイアップ)人数カウント」を活用することで、解析した映像データをセキュリティ対策に活用できます。「AI-App 人数カウント」には3つの機能があり、特に「立ち入り検知」機能の搭載はセキュリティ対策に最適です。

小型で暗闇に強い「VIVOTEK FD9166-HN(SF)」

FD9166-HN(SF)

VIVOTEK
FD9166-HN(SF)

コンパクトで暗闇に強い定番のドーム型屋内向けカメラ

¥54,780 (税込)

外形Ø 90 x 50 mm
重さ150 g
防水性能なし
ネットワーク接続有線LAN
PoE給電対応
画角水平109° 垂直60°
ズーム
マイク(音声入力)あり
スピーカー(音声出力)なし
暗所撮影対応

VIVOTEK FD9166-HN(SF)は、小型で目立ちにくいだけでなく、赤外線照射機能で夜間や暗闇でも撮影できる点が特長の屋内向けドーム型カメラです

PTZ機能搭載の「AXIS M5074 PTZ」

AXIS M5074 PTZ

AXIS
M5074 PTZ

レンズの向きを操作できる光学5倍ズーム搭載の高性能カメラ

¥113,080 (税込)

外形Ø130 x 63 mm
重さ380 g
防水性能IP51
ネットワーク接続有線LAN
PoE給電対応
画角⽔平14°‒71° 垂直8°‒40°
ズーム光学ズーム 5倍
マイク(音声入力)あり
スピーカー(音声出力)なし
暗所撮影

AXIS M5074 PTZは、PTZ機能搭載により広範囲に目が届くコンパクトな屋内向けカメラです。PTZ機能とはパン・チルト・ズーム機能のことで、カメラのレンズの向きを上下左右に動かすことで、確認したい箇所をピンポイントで撮影できます。

▼PTZ機能を搭載したカメラを導入するメリット・デメリットはこちら

ISMS認証取得をアシストした活用事例

株式会社エコーステーションは、ISMS認証取得の一環として、2022年10月の本社移転時にセキュリティを強化するため、クラウド型顔認証サービス「Safie Entrance2」と2種類のSafieカメラを導入しました。

顔認証の導入により、ICカードの管理や紛失リスクを回避しつつ、入退室管理の効率化とセキュリティの向上を実現しています。さらに、クラウドカメラと連携することで、インシデント発生時の迅速な事実確認が可能となり、ISMS認証取得のプロセスでも高く評価されたとのことです。

▼事例の詳細はこちらのページをご覧ください。

おわりに

ISMS(ISO27001)の取得は、企業にとって情報セキュリティを強化し、リスクを最小化するための重要な手段です。技術的・物理的・人的な対策をバランスよく実施することで、外部からの攻撃や内部からのリスクを防ぎ、ビジネスの信頼性と競争力を向上させるでしょう。情報社会での持続的な成長を目指すため、ISO27001の取得を検討してみてはいかがでしょうか。

AIカメラSafie One
かしこくなるAIカメラ「Safie One」
エッジAIを搭載し、計測・検知を行うことで映像解析をより便利にします。

※ セーフィーは「セーフィー データ憲章」に基づき、カメラの利用目的別通知の必要性から、設置事業者への依頼や運用整備を逐次行っております。
※当社は、本ウェブサイトの正確性、完全性、的確性、信頼性等につきまして細心の注意を払っておりますが、いかなる保証をするものではありません。そのため、当社は本ウェブサイトまたは本ウェブサイト掲載の情報の利用によって利用者等に何らかの損害が発生したとしても、かかる損害については一切の責任を負いません。