ISMS認証の審査基準であるISO27001が、2022年10月に新規格へと改訂されました。それに伴い、今後は物理的セキュリティ対策として、監視カメラの設置などが必要になります。本記事ではISMS認証の取得を検討している企業へ向けて、ISMS認証取得のメリット・デメリットや取得の流れに加え、今回の改訂の詳細、オフィスのセキュリティ対策強化にカメラを導入した事例を紹介します。
目次
ISMS認証とは
ISMS認証の概要や、混同されやすいPマークやISO27001との違い、ISO27001とISO27002の違いについて解説します。
ISMS認証とは「情報セキュリティを管理する仕組み」
ISMS認証とは、情報セキュリティを管理する仕組みのことです。ISMSは「Information Security Management System」の略語で、日本語では「情報セキュリティマネジメントシステム」と訳されます。ISMS認証を取得するためには、情報セキュリティに関する要件を満たしているかどうか、第三者機関による審査が必要です。
なお、ISMSは、情報セキュリティ(IS)部分と、マネジメントシステム(MS)部分に分けられます。
情報セキュリティ(IS)とは、「情報の機密性、完全性および可用性をバランスよく維持すること」です。各用語の意味は次のとおりです。
- 機密性:認められていない人間に対して情報を使用させない・開示しないこと
- 完全性:情報が正確で、抜け漏れがないこと
- 可用性:認可された人間であれば、いつでもアクセスや使用できるようになっていること
機密性の対策例として、「パスワードをかける」「特定者のみにファイルの権限を付与する」などがあります。完全性の対策例としてはバージョン管理の徹底があり、可用性の対策例としてはバックアップの確保などがあります。情報セキュリティ(IS)を検討する場合、状況にあわせて3つの特性やそれぞれの観点を意識しましょう。
一方のマネジメントシステム(MS)とは、組織内で特定の目的に向かって適切に組織を指揮・管理するための仕組みを指します。情報セキュリティを例にとると、適切な情報資産の管理や、機密性・完全性・可用性を確保するためのルールや体制などです。
PマークやISO27001との違い
ISMS認証と混同されやすい言葉に「Pマーク」や「ISO27001」があります。Pマークとはプライバシーマークとも呼ばれ、適切に個人情報を保護するための体制を整備している企業に与えられるマークのことです。一方、ISO27001とは情報セキュリティに関する国際規格で、ISMS認証を取得するうえでクリアすべき基準を定めたものです。大きなくくりではISMSと同じものといえます。
ISO27001とISO27002の違い
ISO27001とISO27002は、ともに情報セキュリティの管理に関する国際標準規格ですが、両者は内容と目的に違いがあります。ISO27001とは、情報セキュリティマネジメントシステム(ISMS)を構築するための「要求事項」で、「本文(=要求事項)」と「附属書A(=管理策)」の2つで構成されます。この附属書A(=管理策)は2022年10月に改訂され、監視カメラや赤外線モニターの設置を求める「物理的セキュリティの監視」を含む11項目が新たに追加されました。
一方、ISO27002は、ISO27001の附属書Aにある管理策を実践するための手引き書(ガイドライン)です。組織内で情報セキュリティの管理策を実践する際、具体的にどう実践すればよいのかが示されています。
ISMS認証を取得するメリット
ISMS認証を取得するメリットは3つあります。それぞれ詳しく見ていきましょう。
信頼性をアピールできる
ISMS認証を取得すると、情報セキュリティについての要件を満たしている信頼性の高い企業であることをアピールできます。第三者からの客観的評価を受けている証しになるため、取引先や顧客に対して安心感を与えられる点はメリットです。
入札要件をクリアできる
入札要件をクリアできることもメリットの1つです。行政・自治体の仕事を請け負うための入札条件として、ISMS認証の取得が求められる場合があります。ISMS認証を取得していることで入札できる案件が広がり、結果的に事業拡大や売上向上につながる可能性があります。
セキュリティへの意識が高まる
ISMS認証を取得するにあたっては、会社内で情報セキュリティの方針を決めたり、従業員に情報セキュリティの教育を実施したりする必要があります。その結果、従業員のセキュリティ意識やリスク管理の強化に結びつくこともメリットといえるでしょう。
ISMS認証を取得するデメリット
ISMS認証を取得するデメリットとして、次の2つが考えられます。それぞれのポイントを解説します。
費用が発生する
ISMS認証を取得するうえで費用が発生する点は、デメリットといえます。ISMS認証を取得する際には、審査機関に費用を支払います。かかる費用は、認証機関によって幅があるだけでなく、審査を受ける企業・組織の規模などによっても異なるため、確認が必要です。
また、ISMS認証は一度取得して終わりではありません。維持のために毎年審査を受けなければならず、継続的な審査費用も必要になります。費用に関しては後述するため、そちらもあわせてご確認ください。
担当者の業務負荷が大きくなる
ISMS認証を取得するうえでは、体制の構築や文書の作成が必要なだけでなく、従業員への教育も求められ、多くの作業が発生します。そのため、担当者の業務負担が大きくなることはデメリットといえるでしょう。
とくに、コンサルタント会社に依頼せず自社で取得を目指す場合、担当者の業務負荷も大きくなりがちです。
ISMS認証を取得するには?
ここでは、ISMS認証を取得する際の流れや取得にかかる期間・費用について紹介します。
取得の流れ
取得に向けたおおまかな流れは、次のとおりです。
- ISMS認証の取得範囲の決定
- 情報セキュリティについての方針の決定
- 認証機関の選択
- ISMSの体制構築
- ISMS文書の作成
- リスクアセスメントの実施
- 従業員に対する教育
- 内部監査
- マネジメントレビュー(経営層レビュー)
- 審査
まずはISMS認証の取得範囲を決めます。企業全体での取得はもちろん、一部の組織だけの取得も可能です。続いて情報セキュリティの方針を決めます。ISMS認証の要件を満たす方針を決めて、具体的な取り組みや原則を文章として落とし込みましょう。
自社の方針が決まったら、認証機関を選びます。審査費用は認証機関ごとに異なるため、各社に見積もりを依頼するようにしましょう。同時に、社内体制の構築も必要です。定めた取得範囲に応じて、情報セキュリティ活動を統括する管理者や内部監査員など、どういった役割が必要かを検討し、担当者を決定します。
次にISMS文書を作成します。ISMS認証を取得するには、基本方針はもちろん、管理規程・マニュアルなどの文書が必要です。その際はリスクアセスメントの実施も行いましょう。リスクアセスメントとは、組織に関わる情報セキュリティリスクを洗い出して、対応策を検討することです。ISMS認証の要件を満たせるよう、具体的なリスク対応計画を策定します。
さらに、従業員への教育や内部監査を実施します。内部監査で問題が見つかった場合は、直ちに改善を行いましょう。
内部監査後、経営層に結果を報告するマネジメントレビュー(経営層レビュー)を実施します。ここまでくると、いよいよ認証機関による審査を受ける段階です。審査は2段階に分けて行われ、文書審査の後、実際の運用の審査があります。問題なければISMS認証の取得となります。
取得にかかる期間
ISMS取得にかかる期間は、コンサルタントに依頼する場合と、自社で対応する場合では異なります。
- コンサルタントに依頼する場合:半年程度
- 自社のみで取得する場合:半年以上(担当者の作業時間による)
また、ISMS認証を取得するためには、最低でも1回はPDCAサイクルを回す必要があることも理解しておきましょう。
取得にかかる費用
ISMS取得にかかる費用には、次の項目が含まれます。
総費用=審査費用+コンサルティング費用+その他費用(※数十名規模の企業における初回審査費用の目安)
審査費用とは、審査にかかる費用です。おおよそ次のような方法で算出されますが、機関によって費用には幅があります。50万〜150万円程度を想定しておくと良いでしょう。
審査費用=審査工数(人・日) × 審査員派遣料金(1日当たり) + その他
コンサルティング費用とは、コンサルタントを利用した場合に発生する費用です。おおよそ50万〜200万円かかります。その他費用は、ISMS取得活動を行ううえで必要な備品の購入費用などです。
2022年10月に改定されたISO27001の変更点
ISO27001は2022年10月より、「ISO27001:2013」から「ISO27001:2022」に規格が改訂・アップデートされています。ここでは、変更点について確認しておきましょう。
管理策の数の変更
改訂により、附属書Aの管理策の数が変更されました。ISO27001:2013では114項目あった管理策が、ISO27001:2022では93項目に減っています。数は減っていますが、削除された管理策はなく、似た項目をまとめて11項目が新たな管理策として追加されています。内容自体は以前より増えているため注意しましょう。
追加された11項目と内容は次のとおりです。
| 脅威インテリジェンス | 情報セキュリティの脅威となるウイルスやマルウェアなどの物事の最新情報を集めて分析し、自社のセキュリティ対策に役立てること |
| クラウドサービス利用のための情報セキュリティ | 以前のISO27002ではなかった、クラウドサービスに関する情報セキュリティ項目の追加 |
| ビジネス継続のためのICTの備え | 災害やハッキングなどの危機的アクシデントが生じた際に、情報セキュリティの3要素が保たれるように備えること |
| 物理的セキュリティの監視 | 会社の敷地や建物内に不正なアクセスがないか監視すること(監視カメラの設置、警備員の配置などの使用) |
| 構成管理 | 社内で使われているシステムの構成、ハードウェア・ソフトウェアの種類、ネットワークの構成などを文書化して管理すること |
| 情報の削除 | 使わなくなった情報は外部記録媒体からすみやかに削除すること |
| データマスキング | 万が一情報が漏えいしても、個人を特定できないような取り組みをすること |
| データ漏えいの防止 | 社内ネットワークから、機密情報・個人情報が漏れているような動きがないか確認し、防止する取り組みをすること |
| 監視活動 | システムログの監視や負荷の監視などを実施し、異常な動きや情報漏えいにつながる動きがないかを定期的に監視し、すみやかに対処すること |
| ウェブフィルタリング | 社内から情報漏えいにつながる危険なWebサイトを見られないよう対策すること |
| セキュアコーディング | ソフトウェア開発時や社内システム構築時に、セキュアコーディングによるコーディングを実施し、外部攻撃に耐えうるシステムを作ること |
物理的なセキュリティを適切に監視するための管理策が、「物理的セキュリティの監視」です。不正アクセス・盗難・損傷など、許可されていない物理的なアクセスを事前に検知し、防ぐことを目的としています。物理的セキュリティの具体例として、監視カメラの設置、警備員の配置、入退管理システムの導入、赤外線モニターの設置などが挙げられます。
管理策の区分変更
改定により再整理され、新たにできた4区分は次のとおりです。
- 組織的管理策
- 人的管理策
- 物理的管理策
- 技術的管理策
これまでは14章のテーマで作られていましたが、改定で大きく4区分に見直され、現代で求められている情報セキュリティ管理に適した仕様に作り変えられています。
ISMSの新規格への移行期間について
すでにISMS認証を取得済みの場合は、新規格への移行が必要となります。移行期間は2022年10月31日を起点とし、それから3年間(2025年10月31日まで)です。期間内に新規格への移行を行わない場合、現行のISMS認証は失効されます。
ISMS認証取得には監視カメラが有効
改訂にあたり追加された11項目の1つに「物理的セキュリティの監視」があることは紹介の通りです。そのため、今後はISMS認証において監視カメラの設置などが求められるようになります。
監視カメラの設置を検討しているのであれば、「Safie(セーフィー)」の屋内向けカメラがおすすめです。
「Safie」とは、カメラで撮影した映像をクラウド上に録画・視聴できるサービスです。HD画質・最大30fps対応で、文字はくっきり・映像はテレビ並みになめらか。高画質で鮮明な映像を、パソコンやスマートフォンなどのデバイスを問わずいつでも視聴できます。
置くだけで設置が完了する「Safie One(セーフィーワン)」、小型サイズで目立ちにくい屋内向けドーム型カメラ「VIVOTEK FD9166-HN(SF)」、PTZ機能で広範囲に目が届く「AXIS M5074 PTZ」と、コンパクトな屋内向けカメラがそろっているため、自社にぴったりのカメラが見つかるでしょう。
| モデル | 画像 | 価格 | 屋内/屋外 | 特長 | 防水防塵 | 音声入力 | 音声出力 | 有線LAN | Wi-Fi | 暗所撮影 | PoE給電 | AC電源 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Safie One |  | ¥41,800(税込) | 屋内用 | 工事不要 | × | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| VIVOTEK FD9166-HN(SF) | .png) | ¥54,780(税込) | 屋内用 | 暗所に強い | × | ○ | × | ○ | × | ○ | ○ | × |
| AXIS M5074 PTZ |  | ¥113,080(税込) | 屋内用 | PTZ搭載 | IP51 | ○ | × | ○ | × | × | ○ | × |
Safieカメラをセキュリティ対策としてオフィスに導入した事例
オフィスのセキュリティ対策にSafieを導入した事例2つを紹介しますので、ぜひ参考にしてみてください。
Sansan株式会社の事例
営業DXサービスの「Sansan」をはじめ、働き方を変えるDXサービスを開発・提供する「Sansan株式会社」では、オフィスのセキュリティ対策としてSafieの屋内向けカメラを導入しています。
サイズが小さく目立ちにくいデザイン、管理画面の使いやすさ、画角調整など細かな設定が可能な点などが決め手となり、導入を決定しました。その結果、クライアントからの信頼性が向上し、会社としても大きなメリットだと捉えているとのことです。
株式会社エコーステーションの事例
会員制ICTサービスブランド「小江戸ファミリー」を展開する「株式会社エコーステーション」でも、ISMS認証を見据えたオフィスのセキュリティ強化のためにSafieの屋内向けカメラを導入しています。
サイバーセキュリティ対策のトータルサポートがサービスの柱の1つであるためISO27001の取得を進めており、ISMS認証の取得基準を満たした屋内カメラがないかと検討した際に候補に挙がったのが、Safieの屋内カメラだったそうです。
基準を満たしていること、高画質でクリアな音声やビューアーなどの使い勝手が良かった点で、導入に至ったそうです。導入後は、インシデント発生時に事実確認できる安心感が担保されたと、一定の効果を得られているとのことでした。
Safieの屋内向けカメラは、オフィスのセキュリティ品質向上はもちろん、インシデント発生時の映像による事実確認にも役立ちます。ぜひ検討してみてはいかがでしょうか。
監視カメラを導入してISMS認証取得に向けて動きだそう
ISO27001の変更にともない、ISMS認証には監視カメラの設置などが求められています。ISMS認証を目指すのであれば、Safieの屋内向けカメラの導入を検討してみてはいかがでしょうか。オフィスのセキュリティ品質向上や、インシデント発生時の映像による事実確認にも役立つでしょう。
- Safie対応 カメララインナップ紹介
- クラウド録画サービスSafieをご利用いただける人気カメラ5機種をご紹介しています。
※ セーフィーは「セーフィー データ憲章」に基づき、カメラの利用目的別通知の必要性から、設置事業者への依頼や運用整備を逐次行っております。
※当社は、本ウェブサイトの正確性、完全性、的確性、信頼性等につきまして細心の注意を払っておりますが、いかなる保証をするものではありません。そのため、当社は本ウェブサイトまたは本ウェブサイト掲載の情報の利用によって利用者等に何らかの損害が発生したとしても、かかる損害については一切の責任を負いません。
