ISMS認証はどうやって取得する？取得までの流れを解説

企業の情報セキュリティ対策が重要視されるなか、「ISMS認証（ISO/IEC 27001）」の取得を検討する企業が増えています。しかし、実際に何から始めればよいのか、取得までにどのような準備や手続きが必要なのか分からない方も多いのではないでしょうか。「ISMSの認証（ISO/IEC 27001）」は基本的には認証取得したい日から逆算して6ヶ月から1年程度の期間で組むことが多くステップごとに準備が必要です。

本記事では、ISMS認証の概要から、取得までの具体的なステップ、スケジュール感、社内体制の整備ポイントまでをわかりやすく解説します。これからISMS認証を目指す企業担当者の方は、ぜひ参考にしてください。

ISMS 適合性評価制度とは

ISMS適合性評価制度とは、組織が構築・運用している情報セキュリティマネジメントシステム（ISMS）が、国際規格である ISO/IEC 27001 に適合しているかどうかを、第三者機関が審査・認証するための制度です。

この制度では、情報セキュリティ対策の「実施の有無」ではなく、「マネジメントシステムとして仕組みが機能しているかどうか」を評価します。

この制度は、日本国内では 一般社団法人 情報マネジメントシステム認定センター（ISMS-AC） によって運営されています。ISMS-ACは、以下のような役割を担っています。

• ISMS認証制度の基準策定・管理
• 認証機関（審査を実施する会社）の審査・認定
• 認証を受けた組織の登録情報の公開・管理

ISMS-AC自体は、実際に認証審査を行うわけではなく、認証機関が適切に審査できる体制を整える立場にあります。

「ISO27001 認証」と「ISMS 認証」の違い

ISMS認証とよく似た表記に「ISO27001認証」という言葉があります。

どちらも国際規格であるISO/IEC 27001に基づく認証であることに変わりはありませんが、実は制度上の扱いに違いがあるため、注意が必要です。

国内で「ISMS認証取得」と正式に認められるためには、ISMS-AC（情報マネジメントシステム認定センター）の認定を受けた認証機関による審査を経て認証を取得していることが必要です。

一方で、ISMS-ACの認定を受けていない海外認証機関や、民間の未認定機関が実施する認証も存在しており、それらは「ISO27001認証」として表記されることがあります。このような認証は、制度上は「ISMS認証」とはみなされません。

また、「ISO27001認証」では、官公庁や自治体の入札に「ISMS認証取得が条件」と書かれている場合に要件を満たしているとみなされず、ISMS-ACの「ISMS認証」が求められることもあります。

そのため、認証機関を選定する際には「ISO27001認証対応」と書かれていても安心せず、ISMS-ACから正式に認定を受けているかどうかを必ず確認することが重要です。

ISMS-ACの公式サイトでは、現在認定されている認証機関の一覧を公開していますので、そちらを参照するのが確実です。

ISMS-AC ISMS認証取得組織検索

なぜ認証取得が必要なのか

ISMS認証取得の際に受ける審査は、外部の組織が客観的な立場で審査する「第三者監査(審査)」に該当します。特定の基準に基づいて第三者が審査することで、客観的に組織のセキュリティ状況を評価できることが特徴です。

審査の結果、必要な要求事項を満たせていれば晴れて認証取得となり、外部に認証を取得していることを公表できます。それを見れば取引先など外部の人は、その組織が一定のセキュリティ体制を構築できていると判断することができるようになります。

これにより、取引先に対して自らがセキュリティの状況を監査する必要がなくなるため、確認する側も確認される側も双方が工数を減らすことが可能になります。

また、認証を受けると年に1回は審査を受けなければならず、それに応じるために否が応でもセキュリティ対策を継続せざるを得なくなるため、総じて組織のセキュリティ対策を底上げすることができることも認証を取得する理由になります。

さらには、セキュリティ対策で各部門の工数を割いてもらう必要がある場合でも、認証維持という大義名分によって実行しやすくなることもあります。セキュリティを管理する側にとっては、このような点でも認証取得するメリットがあると言えます。

※ISMS認証取得のメリットについては、こちらの記事でも解説しています。

認証取得までの流れ①：プロジェクト立ち上げ

認証取得するためには、プロジェクトの立ち上げから始まり、情報セキュリティ体制の構築から具体的なセキュリティ対策の実装、審査対応まで様々なタスクが発生します。

まず、ISMS認証取得を進めていくためのプロジェクトを立ち上げる必要があります。ここでは、役割、スケジュール、認証機関選定が主なタスクになります。

役割を決める

役割としては、プロジェクトの責任者、推進者、各部門の主担当は決めておきましょう。情報セキュリティ体制の構築、セキュリティ対策、審査対応のいずれでも、部門の担当者に対応してもらう必要が出てくるため、あらかじめコミュニケーションをとっておかなければ、上手く協力が得られずスケジュール遅延などにつながってしまうかもしれません。

スケジュールを策定する

スケジュールは組織の規模にもよりますが、基本的には認証取得したい日から逆算して6ヶ月から1年程度の期間で組むことが多いです。

審査を受けてから、認証書が発行されて正式に認証取得となるまでには1ヶ月から2ヶ月ほどのリードタイムが発生することにも注意してスケジュールを組まなければなりません。

認証機関を選定する

スケジュールを決めるタイミングで認証取得の希望時期が決まっていることが多いため、この時点で認証機関とコンタクトをとっておくことも重要です。

認証機関への申し込みは基本的に審査の3カ月前には申し込みをしなければならないため、このスタートが遅れると希望時期に審査を受けられなくなる恐れがあります。

また、認証機関の選定では、商談し見積りを取得して任せられると判断できるところを選ぶのが良いです。商談で違和感を感じたり、費用があまりにも安い場合は、審査の品質に問題がある可能性が高くなる傾向があるため、注意しましょう。

認証取得までの流れ②：情報セキュリティ体制の構築

ISMS認証を取得するには、認証審査を受ける前に、組織内で情報セキュリティを管理・運用するための体制を構築する必要があります。 この体制は単に規程を作るだけでなく、リスクに応じたルールや仕組みを整備し、実際に社内で運用されていることが求められます。

以下に、ISMS体制構築における主な流れを整理します。

情報セキュリティ方針の策定

組織としてのセキュリティに関する基本的な考え方を文書化します。

これは経営層が承認すべき文書であり、認証範囲に含まれるすべての従業員に周知されている必要があります。

方針には「なぜ情報セキュリティに取り組むのか」「どのような姿勢で臨むのか」などを明記します。

推進体制・役割の決定

ISMSを実行・維持していくための体制を定めます。役割が不明確だと、責任があいまいになり、運用が機能しません。

以下のような役割を定義し、任命・周知します。これはプロジェクトのメンバーがそのまま担当することが多いです。

• ISMS管理責任者（例：CISO、情報セキュリティ責任者）
• 各部門の情報資産管理者
• ISMS推進担当者（事務局など）

情報資産の洗い出し

自社の業務に関わる情報資産を棚卸しします。これには、システム、サーバ、帳票、USBメモリ、従業員など、あらゆる「価値ある情報やそれを扱う手段」が含まれます。

整理する際には、業務プロセスと関連付けながら資産を洗い出すと、抜け漏れが少なくなります。

リスクアセスメントの実施

洗い出した情報資産を考慮して、どのようなセキュリティリスクがあるかをアセスメントします。

脅威や脆弱性を踏まえたリスクの発生可能性と影響度をもとに、リスクレベルを判定し、対応が必要かどうかを判断します。

この結果を踏まえて、後続の「管理策（対策）」の設計を行います。

管理策・ルールの策定

リスクに対して必要な対応策（管理策）を選定し、社内で守るべきルールや手順書を整備します。

例としては、アクセス制御ルール、持ち出しデータの制限、委託先への情報提供時の確認手順、パスワード管理ポリシー、紙媒体の廃棄方法などが挙げられます。

これらはISO/IEC 27001の「附属書A」の管理策をベースに、自社に必要な項目を選定・調整します。

実務での運用準備

策定したルールは、実際の業務に組み込まれ、日常的に「運用できている状態」にする必要があります。ルールだけ整備されていても、現場で実行されていなければISMSとしては不十分と評価されてしまいます。

実務での運用に向けて、以下のような準備が求められます。

• 委託先管理：契約書にセキュリティ条項を盛り込む、委託先との点検・評価ルールを整備する。
• 教育・訓練：全社員を対象に情報セキュリティ教育を実施し、受講記録を管理する。

こうした運用準備ができて初めて、ISMSは「実態ある体制」として認証審査に耐えられる状態となります。

内部監査の実施

ISMSが文書通りに運用されているかを社内で確認します。

担当者によるヒアリングや記録確認、指摘事項の洗い出し、監査記録の作成が主な実施事項になります。

内部監査は年1回以上必須であり、初回認証でも実施が求められます。

マネジメントレビュー・是正処置

内部監査や日常運用の中で見つかった課題について、経営層を交えて全体評価を行います。

ISMSの有効性を評価して、改善が必要な点を把握し、必要な是正・改善施策を決定して改善活動に繋げていきます。

このレビュー結果は、経営層のコミットメントに相当する重要な要素です。責任者には必ず参加してもらわなければならず、スケジュール調整は特に重要なポイントになります。

これらの項目を実施することで、認証機関の審査に耐えられる「ISMS体制」を構築することができます。

この後の審査では、この体制がISO27001に準拠できているかを確認されることになります。

認証取得までの流れ③：審査対応

ISMS認証の審査は、「第一段階審査」と「第二段階審査」の2ステップに分かれており、それぞれ目的と確認される内容が異なります。

審査は、構築したISMSの内容とその運用実態の両方が確認されます。ここでは、審査がどのように進むのかを段階ごとに整理します。

第一段階審査（書類中心の確認）

第一段階審査は、構築されたISMSがISO/IEC 27001の要求事項を網羅しているかを文書ベースで確認する審査であり、この段階では以下が重点的に確認されます。

• 情報セキュリティ方針・目的の策定状況
• 適用範囲（スコープ）の明確化
• リスクアセスメントとリスク対応策の合理性
• 必要な文書（規程・手順書・記録類）の整備状況
• 審査に進めるだけの運用実績があるか（約2〜3ヶ月が目安）

結果は「適合」「観察事項あり」「重大な不適合」などでフィードバックされ、重大な問題がなければ第二段階に進みます。

第一段階では、一部の運用が未実施の状態であっても、第二段階までに実施する計画になっていれば問題ないこともあるため、準備状況によっては優先順位を適切に調整することも効率よく認証取得まで進めるポイントになります。

第二段階審査（現場確認・運用状況の確認）

第二段階審査は、実際にISMSが運用されているかどうかを現場ヒアリング・記録確認によって検証する審査で、特に次のような点が確認されます。

• 文書通りの運用がなされているか
• 記録が整備されているか（点検記録、教育記録など）
• 担当者がルールや手順を理解しているか
• 委託先管理やインシデント対応が行われているか
• 内部監査とマネジメントレビューが実施されているか

現場の担当者やマネジメント層に対して直接ヒアリングが行われるため、内容を正しく理解し、自然な受け答えができるようにしておくことが重要です。

また、実際にルールを遵守しているか、PCやシステムの設定状況を目視確認することもあります。

例えば、1人のパスワード設定漏れによって不適合の指摘を受け、是正処置計画の提出が求められてしまうこともあるため、現場で従事するメンバー全員にもしっかりと周知しておかなければなりません。

審査後の対応

審査後、不適合の指摘がある場合は、是正対応計画の提出を求められます。

是正対応計画では、主に原因、是正内容、再発防止策、についてまとめる必要があります。これを認証機関に指定された期間内で提出して問題なく受理されれば、1〜2ヶ月程度で認証取得となります。

不適合なく審査を終えた場合には、その時点から1〜２ヶ月程度で認証取得となるケースが多いです。

審査に向けた準備

審査では、ISMSの運用全体を確認することになるため、審査前には審査のための準備をしておかなければ、指摘を受けやすくなってしまいます。

以下は、最低限審査前に改めて確認しておくと良いポイントです。

文書・記録の整備

方針や規程、手順書は、最新版を管理できているか確認しておきます。

運用に伴う記録（点検・教育・監査・レビューなど）を時系列で整理したり、適用宣言書（SoA）やリスク対応台帳に漏れがないかも、審査前には改めて確認しておくと安全です。

審査対象範囲の最終確認

認証のスコープ（業務・部門・拠点）が審査対象と一致しているか、審査計画書の内容と突き合わせて確認しておきます。漏れや認識ずれがあると余計な工数がかかってしまったり、スケジュール遅延に繋がってしまったりする恐れがあります。

また、実際に運用している現場が、審査に対応できる状態にあるかも確認しておかなければ、いざ審査を受けた時に多数の指摘を受けてしまうことになりかねません。

審査対応のリハーサル

各担当者に対して「審査で聞かれる内容」の簡易模擬問答を実施することも準備としては有効です。審査員としっかりコミュニケーションをとることが重要ではあるものの、確認ポイントを想定しておくことは当日スムーズに対応するためには良い準備となります。

またこれによって、ルールの背景や自分の役割を説明できるかの確認にもつながるため、見落としなどにも気づきやすくなります。

審査の心構えとして

審査を受ける際には、言われたからやっているではなく、なぜそれをやっているのかを理解しておくことで、納得感のある回答ができるようになります。

わからない質問には無理に答えず、調べてから回答する姿勢を取ることも徹底すべきポイントです。曖昧な回答や間違った回答をすることで、正しく理解できていないという指摘に繋がることもあります。

審査対応で最も重要なのは、誠実かつ事実に基づいた受け答えを徹底することです。

虚偽の申告があった場合、認証の取り消し処分を受けるリスクがあり、結果的に信頼を大きく損なうことになります。

指摘を恐れず、ありのままの状況を伝える姿勢こそが、ISMSの本質に沿った対応と言えるでしょう

まとめ

ISMS認証を取得するまでの流れを、おおまかに以下のように説明しました。

1. プロジェクトを立ち上げる
2. マネジメント体制を構築する
3. 審査を受ける

これまで説明してきたように、ISMS認証の取得には明確な準備と一定の期間が必要です。特に、スケジュールの遅れは認証取得時期のズレ込みに直結するため、「逆算での計画」と「現実的な工程管理」が重要になります。

また、体制づくりや審査対応には、部門横断的な連携や実務的な判断が求められる場面も多く、自社内だけで全てを完結させるには高い負荷がかかります。

こうした中で、外部の専門家の力を借りることは、負荷を減らしながら品質を確保する現実的な手段となり得ます。確実かつ効率的に認証取得を目指すためにも、信頼できる支援先を選び、適切に活用することが成功のカギになります。

※外部に依頼する際のポイントについては、ISMSのコンサルは何をしてくれる？支援内容と注意点を解説の記事で解説しています。

ISMS認証は単なる形式的な制度ではありません。顧客や取引先への信頼を可視化し、組織のセキュリティ文化を醸成するきっかけとして活用できます。

セキュリティを「コスト」ではなく「経営の武器」として活かしていく。その第一歩として、ISMS認証の取得をしっかりと設計していきましょう。