ISMS認証(ISO/IEC 27001)を取得するにあたり、自社だけで進めるには多大な工数と専門知識が求められます。限られたリソースで確実に認証を取得するため、外部の専門支援を検討する企業も増えています。
しかし、外部支援を依頼する場合でも、選び方を間違えると想定以上のコスト増やプロジェクトの遅延につながることも。この記事では、ISMS認証取得を外部に依頼する際に押さえておくべきポイントをわかりやすく解説します。
目次
ISMS認証とは
ISMS(Information Security Management System)とは、組織が情報セキュリティリスクを適切に管理するための枠組みを指します。これは、サイバー攻撃、内部不正、自然災害など、多様なリスクに対して、組織の情報資産を守る体制を構築・運用することを目的としています。
このISMSの構築・運用が適切に行えていることを証明する制度として、ISMS認証があります。
ISMS認証制度は、構築された情報セキュリティマネジメントシステム(ISMS)が、国際規格ISO/IEC 27001に適合しているかどうかを、第三者機関が審査し、その有効性を公式に証明する制度です。
認証を取得することで、対外的に情報セキュリティへの取り組みを証明できるだけでなく、社内においてもリスクマネジメントの仕組みを強化する効果が期待できます。
近年、ISMS認証取得は、企業間取引や官公庁案件への参加条件になるケースが増加しており、単なる任意の取り組みではなく、事業活動を円滑に進める上での必須条件になりつつあります。
※ISMS認証取得の概要はこちらの記事に詳しく記載しています。
認証を取得する方法
ISMS認証を取得する方法には、大きく分けて「自力で取得する方法」と「外部支援を活用する方法」の2つのアプローチがあります。
自力で取得する方法
自社の内部リソースのみを使って、ISMSの構築、運用、文書化、内部監査などを行い、認証取得を目指す方法です。担当者をアサインし、必要な知識を学習しながら、試行錯誤を重ねて進めていきます。
コストを抑えられる、社内にナレッジが蓄積される、セキュリティを自分ごととして捉えやすくなる、というメリットがあります。自社に知見を持った人が在籍している、リソースをセキュリティに割ける、などの状況であれば、この方法を選択するのも良いと思います。
一方でデメリットとして、ノウハウ不足による手戻り、担当者への過重負担、ノウハウの属人化、スケジュール遅延、審査における重大な不適合の発生などが考えられます。特に属人化した状態で担当者が退職してしまうと状況が何もわからなくなる可能性があるため、注意が必要です。また、準備不足により審査打ち切りや多数の指摘対応が発生すればその対応で多くのコストがかかる可能性があり、外部の支援を利用した方がコストがかからずに済むこともあります。
外部支援を活用する方法
ISMS認証支援に実績のある外部コンサルタントや専門会社のサポートを受けながら、認証取得を目指す方法です。認証取得に向けたプロジェクト設計、リスクアセスメント支援、文書作成サポート、内部監査代行など、必要な範囲に応じた支援を受けられます。
メリットとしては、効率的に短期間で取得できる、品質が担保されやすい、審査での指摘が軽微で済む、などが挙げられます。期限が決まっており、スピード感を持って認証を取得する必要がある場合は外部の専門家の支援を受ける方が良いです。また、よりセキュリティを向上させたい場合にも、専門家からアドバイスをもらいながら取り組みを進める方が、効果的な取り組みにできるでしょう。
デメリットとしては、コストがかかる、自社にナレッジが残りにくい場合がある、ISMS認証のための体制になってしまう、委託先に任せればいいという他人事の意識を持ってしまう、などが考えられます。外部から支援する専門家・企業の中には、自社で運用ができるようになることを意識して対応してくれる先もあるため、ナレッジや体制、意識の問題が気になる場合は依頼先をよく調べることが重要になります。
自力で取得する際の注意点
自力でISMS認証を目指す場合、前述の通り属人化や準備不足による手戻りや指摘などの懸念がついて回るため、取り組み始める前によく検討しておかなければなりません。
リソースの不足
ISMS構築・運用は、単なるドキュメント整備に留まりません。担当する内容は、リスクアセスメント、管理策の実装、社内教育、内部監査と多岐にわたるため、専任担当者を任命してフルタイムで対応する覚悟が必要です。
中途半端な状態で審査に臨んでも、多くの指摘を受けてしまい、その対応に追われることになります。抜け漏れや不足が多いと重大な不適合として評価され、審査を打ち切られてしまう可能性もあります。
仮に必要なドキュメントなどを形だけ揃えられたとしても、運用が伴っていなければセキュリティ上の意味はありません。むしろ書いてあることとやっていることが異なる状態になることで、ドキュメントの重要性が認識され難くなる恐れもあります。
ノウハウ不足による手戻り
ISMSの規格要求事項は形式的に見える部分も多く、独学では解釈を誤りやすいです。
運用を進める中で必要な対応が明確になっていなければ、遠回りをしてしまうかもしれません。また、不適切なリスクアセスメントや管理策の対応不足があれば、審査時に重大な不適合を受ける恐れがあります。
結果として、審査打ち切りで再審査となって追加コストが発生したり、それによってスケジュールが大幅に遅延したりすることもあります。
スケジュールの遅延
ISMSプロジェクトは、通常6ヶ月程度の期間を要します。
内部リソースだけで進める場合は通常業務との兼務となるため、想定以上に進行が遅れるケースが非常に多いです。審査打ち切りや多数の指摘対応が発生すれば、それらも進行を大きく遅らせる原因になります。
審査後、是正計画が必要になった場合には、計画書の提出から受理されるまで2週間程度かかります。対応を検討して計画書として作成するまでの期間を含めると1ヶ月程度遅延することも考えられます。
認証取得時期の遅れが生じれば、入札案件などのビジネスチャンスを逃す可能性もあるため、認証取得の目的なども考慮しておくことが重要です。
外部に依頼する際のポイント
外部支援を活用することで、効率的に比較的短い期間で認証取得まで進むことができますが、依頼先はどこでも良いわけではありません。
次のポイントに注意して、自社の要求に合うかどうか見極める必要があります。
コミュニケーションの取りやすさ
コンサルティングの場合、支援してくれる人とのコミュニケーションのしやすさは、取り組みの成否に直結します。実際の取り組みが始まる前に担当のコンサルタントと話せる機会があればベストですが、実際には難しいことも多いでしょう。そのような場合には、担当営業とのコミュニケーションで違和感を感じないか、認識の齟齬が多々発生するようなことはないか、などを注意深く見ることも重要になります。
これから半年間やりとりをしていく相手として問題がないか、あらかじめ確認することを怠らないようにしましょう。
適切な価格
ISMS認証の支援を安価に提供する企業やフリーランスも少なからず存在しています。コストを抑えるという理由のみで支援先を選んでしまうと、様々なトラブルを招くことになりかねません。例えば、資料だけ渡されて具体的な説明やサポートをほとんどしてくれなかったり、ISMSの要求事項への対応に漏れが多々発生して結果的に想定時期に認証取得できなかったりするケースがあります。
もちろん文書フォーマットだけ欲しい場合に、資料を渡すだけの安価な支援を選択することも正しい選択です。外部にどのような支援を求めるのかしっかりと整理して、支援内容に対して適正な価格を提示してくれるところを選ぶことも、ISMS認証を効率的に取得するためのポイントとなります。
支援の実績
依頼先がすでに十分な支援実績を有しているかも外部へ依頼する際には重要です。特に、自社の企業規模や業界、事業フェーズに類似する企業への支援実績が豊富であれば、その支援で得られたノウハウを活用した支援を提供してくれる可能性は高くなります。ただ実績が多いというだけでなく、自社に類似した企業への実績の有無もコーポレートサイトや商談の際にしっかりと確認しておきましょう。
自社側で押さえるべき前提
ISMS認証は、ISO規格の読み取り難さなどからも自社リソースのみで取得を目指すのは難易度が高く、外部に委託する方が効率的なケースのほうが多いです。
しかし、ISMS認証の取得を外部に依頼する場合でも、組織内に最低限の体制(情報セキュリティ委員会、リスク管理担当者など)は必要です。完全な丸投げはできず、あくまで主体は自社にあることを認識したうえで取り組まなければなりません。
仮に丸投げしてISMSを構築できたとしても、形だけで自社のセキュリティ向上には何の意味もない、運用工数だけがかかるものになるでしょう。
あくまで自社がISMSを適切に構築し運用していくために手伝ってもらう要員として、外部への依頼を行いましょう。外部リソースを有効活用すれば、最小の工数で自社のセキュリティを向上させる有意義な取り組みになるはずです。
