ランサムウェアなどサイバー攻撃の被害が増える中、組織の情報を保護する有効な手段の一つがISMS（Information Security Management System＝情報セキュリティマネジメントシステム）だ。情報の機密性や完全性、可用性を保護するために体系的な仕組みを作り、技術的な対策に加えて、従業員の教育・訓練、組織体制の整備なども含む。ISMSが運用できていることを認証機関に証明されるとISMS認証が下りる。

2026年度に開始予定の「SCS評価制度（サプライチェーン強化に向けたセキュリティ対策評価制度）」は、サプライチェーン全体のセキュリティ対策を可視化するためのものだが、ISMSは組織の全体または一部が対象となる。

ISMS認証は、第三者であるISMS認証機関が、組織が構築したISMSが適切に運用管理されているかを審査し、証明されなければならない。自己申告だけで済むSCS評価制度の★1～2とは大きな違いとなっている。

ISMS認証を受けるためには国際規格「ISO/IEC 27001（JIS Q 27001）」の取得が必要だ。

JIS Q 27001はあらゆる組織に適用可能だ。組織の規模や業種、形態を問わず、小規模スタートアップからエンタープライズ企業、官公庁までが対象となる。

組織は自らのニーズや目的、情報セキュリティ要件事項などを考慮して、ISMSの確立と実施を行うことが求められている。これは、多くの情報を取り扱う現代の組織において、マネジメントや業務プロセスを取り巻くリスクに対応できる基盤を構築するという目的にも適している。

JIS Q 27001は、組織が守るべき情報セキュリティ要件事項を満たしているかどうかを、内外で評価するための基準ともなる。

JIS Q 27001は、どのような組織にも必ず適用させなければならない。事業の特性によっては適用除外が可能な要求事項もあり、あらゆる組織で広く利用できるものになっている。

情報に関連する資産にはさまざまなリスクが内包されており、脅威や脆弱性などのリスクの源を明らかにして、適切な対策を講じなければならない。安易に適用を除外したり、理由を明確にしないまま適用したりすれば、マネジメントシステムの一貫性に影響が出てしまうからだ。

ISMSに関連して、組織が適用する管理策を文書化した情報は「適用宣言書」という。適用理由と適用除外の理由は、適用宣言書に記載することが求められている。

適用宣言書は、組織がISMSを確立、実施、運用、継続的に改善するために適用した情報セキュリティ管理策を表明するもので、特定の利害関係者との間で開示または交換することで、信頼の保持につなげられる。

認証の有効期限は3年。初回審査の後、年に1回以上の中間的な審査（サーベイランス審査）、有効期限を更新するための全面的審査（再認証審査）が3年ごとに実施され、組織のISMSが規格に適合しているのかが確認される。

ISMSの内部的なメリットとして、社員の情報セキュリティ対策に関する意識向上につながり、情報セキュリティ対策とコンプライアンスが強化できる。対外的には顧客からの信頼を確保し、企業イメージの向上にもつながる。

クラウドサービスを提供・利用している組織向けには「ISMSクラウドセキュリティ認証」もある。認証基準は「ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項（JIP-ISMS517-1.0）」に準拠し、「ISO/IEC 27001」への適合が求められる。

クラウドサービス固有のリスクに関して、必要な管理対策を実施していることが認証機関によって証明されるため、利用者がクラウドサービスプロバイダーなどを評価する一つの指標ともなる。

ISMS-PIMS認証はPII（個人識別可能情報）を取り扱う組織向けの認証だ。ISO/IEC 27701に基づくプライバシー情報マネジメントシステムの要求事項に適合していることを認証する仕組みだ。この認証を取得するには、まずISMS認証を取得している必要がある。

情報の機密性や完全性、可用性の保護は、情報を扱う企業にとっては必須の課題だ。認証を取るかどうかはともかく、まずはJIS Q 27001に適合しているかどうかを確認してみるとよいのではないだろうか。そのうえで、ISMS認証を受けて公開すれば顧客からの信頼はより確かなものになる。