はじめに

当組織では，2023年度にISMS（ISO/IEC 27001），ISMS-CS（ISO/IEC 27017）認証を取得し，2024年度はISMS-CP（ISO/IEC 27018）の認証を取得する活動を進めています．
すでに認証を取得されている皆様や，この件について詳しい皆様は今更の内容になりますが，これからISMS認証を取得してみようと考えている，認証取得は先でもよいがISMSに取り組んでみたいという方には，我々の経験を少しご紹介するために本稿を執筆することとしました．（未経験者・超初心者向けです．）後述のISO/IEC 27001の管理策は項目数が多くこの対応に苦労することが多いと思います．負担に感じる箇所ですが，我々は管理策をカテゴリ別に整理し，効率良く管理策の検討を行いました．参考になれば幸いです．

ISMS認証とは…

ISMSとは、情報セキュリティマネジメントシステムの略称です．
ISMS実施の基準に相当するものは，ISO/IEC 27001の規格です．
運用しているISMSを第三者である審査機関が評価し，ISMSが適切に機能し有効であると判定されると認証を受けることができます．
ざっくりと，こんな感じですね．

• ISMS：情報セキュリティマネジメントシステム（Information Security Management System）の略称
• ISO/IEC 27001：ISMSを効果的に実施するために規格を纏めたもの
• ISMS認証：ISMSが適切に機能しているかを第三者機関が評価し，適切に機能していると判断された場合に得られる認証

それぞれを明確に区別しておきましょう．

ISMS認証取得に向いている／向いていない（「本来の考え方」と受け取ってもOK）

巷でISMS認証取得がはやって，どこもかしこもISMSという時代もありました．
情報システム調達における発注者側の入札条件に，ISMS認証（ISO/IEC 27001 他）を取得していることを挙げるところも多くあります．このため，ISMS認証を取得しておかないとまずいと考えるベンダーが増加しました．Ｐマークも同様ですね．
ISMS認証取得に向いている／向いていない，あるいはどのような考え方でISMSに取り組むべきなのか，コンサルティング企業のサイトにわかりやすい例が掲載されていました．

経営に役立つISO27001情報セキュリティ（ISMS）認証取得支援サービス
https://www.newton-consulting.co.jp/solution/ms/iso27001.html

このようなお客様におすすめします
「役に立つISMSを導入したい」と本気で考えて、そのために努力を厭わないお客様、具体的には次のような想いを持ったお客様におすすめします。

• 身の丈にあった役に立つISMSを導入したい
• コンサルタントに作業を丸投げせず、自分たちもきちんと考えて、スキルを身に付けたい
• しっかりと経営層を巻き込んで、経営と現場がつながるISMSにしたい
• 現場の忙しさや力量も考えた、現実的な情報セキュリティルールにしたい
• 形式にとらわれず、審査員にも胸を張って「これはリスクをとったのでこういうルールにした」と言い切れるISMSを実現したい
• ISMS認証取得はしているものの、形骸化しているため、改善したい

逆に、次のようなお考えのお客様にはおすすめできません。

• 合格さえすればいい
• ISMSを最短・最速・最安値で取れればいい
• 経営も現場も忙しいので、彼らを巻き込まずに事務局だけでほとんど済ませたい
• できればコンサルタントに丸投げしたい
• ツールだけ手に入ればいい

結局のところ，効果のあるISMSを実施すればその結果として認証を取得できる，と考えるべきですね．

不適切なISMS

認証を取得したものの，不適切なISMS・効果のないISMSだった場合には，インシデントが発生してしまうことが多々あります．効果のあるISMSでもインシデントが発生するリスクはありますが，不適切な場合のインシデント発生確率はより高いものになるでしょう．インシデントが発生した場合には認証の一時停止や取消の措置が取られることがあります．
（ISMS認証取消の例→ネットで検索してみてください．）

認証取得のために，初回審査に向けて形式的な対応を行うところは多いと思います．認証取得支援サービスを行っている企業もありますが，これらはテンプレートが用意されていてそれに合わせて作業をするようになっているものが多いです．まさに形式が先にある例ですね．
筆者はこれを一概に悪いこととは考えませんが，ISMSはPDCAサイクルで改善を計画するので認証取得後の改善を実施することがとても大切です．

ISMSの全体感：管理全般（PDCAサイクル）について

以下に，（あくまで個人の理解ですが）ISO/IEC 27001:2022のISMS全体感を図にしたものを掲載します．

図3 ISMS(ISO/IEC 27001:2022)の全体感
PDCAサイクルについては，他の規格とほぼ同じですね．
繰り返し，少しずつでもよいから，ISMSをより良い状態に進化させることが大切で，組織としてにいかに注力できるかがISMSを継続させるポイントです．

要求事項・管理策の整理

次に，ISO/IEC 27001:2022の附属書A（管理策）を見てみます．この附属書Aに記載されている管理策を具体的に実施する例として詳細に記載されているものがISO/IEC27002:2022です．

この中では，同じカテゴリに該当する管理策がいくつかに分かれて記載されているものがあります．
実際のセキュリティの対策を検討・実装する際には，例えば「アクセスコントロール」であれば，アクセスコントロールというカテゴリの要求事項に関する対応方法（アクセス権限設定，権限の制限，付与・削除等）は纏めて考える方が効率的ですよね．ISMSにおいても，規格の要求事項の一項目ずつ対応方法を検討するのではなく，纏めて考える方がよいです．効率的であり，かつ審査の際にも説明がしやすいです．（規格書自体は掲載できないですので，JISC［日本産業標準調査会，https://www.jisc.go.jp/］のサイトで閲覧するか，規格書自体を購入してください．JISCのサイトではJIS Q 27001:2023, JIS Q 27002:2024を閲覧できます．）

審査員もこのあたりは熟知しています．審査員によっては，一項目ずつ独立して確認するよりも関連する項目を纏めて確認・評価してくれるケースもあります．
以下に，当組織でのISMSの実施要領を作成するにあたって要求事項をカテゴリ別に分類した表の抜粋を掲載します．（あくまで私案です．）

表1 ISO/IEC 27001 附属書A管理策の分類表

カテゴリ	管理的コントロール		物理的コントロール	技術的(論理的)コントロール
	組織的コントロール	人的コントロール
	5章	6章	7章	8章
方針等	5.1 情報セキュリティのための方針群 5.2 情報セキュリティの 役割及び責任 5.4 経営陣の責任 5.36 情報セキュリティ のための方針群、規則 及び標準の順守
情報資産	5.9 情報及びその他の関連資産の目録 5.10 情報及びその他の関連資産の許容される利用 5.11 資産の返却 5.12 情報の分類 5.13 情報のラベル付け 5.14 情報転送
エンドポイント			7.10 利用者エンドポイント機器、記憶媒体利用	8.1 利用者エンドポイント機器
ネットワーク				8.20 ネットワークセキュリティ 8.21 ネットワークサービスのセキュリティ 8.22 ネットワークの分離 8.23 ウェブフィルタリング
識別	5.16 識別情報の管理
認証	5.17 認証情報			8.5 セキュリティを保った認証
アクセスコントロール	5.15 アクセス制御 5.18 アクセス権			8.2 特権的アクセス権限 8.3 情報へのアクセス制限 8.18 特権的なユーティリティプログラムの使用 8.35 共有する仮想環境におけるクラウドサービスカスタマデータのアクセス制御

ISO/IEC 270001:2022では，附属書Aの管理策は管理的コントロール（5章），人的コントロール（６章），物理的コントロール（７章），技術的コントロール（８章）に分類・整理されているため，以前のバージョンよりもだいぶ見やすくなったと感じています．

さいごに

管理策では，ISMS実施においてあらかじめ準備すべきことも要求されています．一般的な社内業務ではなく，商品となるシステムの企画・設計・開発においては「事前の」準備が重要です．これはシフトレフトを進める要求と考えてもよいと思います．このためには一定レベルのセキュリティ知識と技術の確保が必要で，学習・教育が重要な位置づけになります．

学習・教育・レベル確保のために利用できる様々なツール類も提供されています．（IPAのドキュメント，Webアプリケーションの脆弱性を学習するツールのAppGoatなど）
IPAの資料ではWebアプリケーションの対策が主体ですが，Webアプリケーション以外にも活用できるドキュメントもあります．

今後，継続して執筆する機会があれば，ISMSを実施するにあたりISO/IEC27001の管理策を効率的に実施するためのカテゴリ別の要求事項の分類と管理策の実施内容の例や，シフトレフトを実現するための方策等についても記述してみたいと考えています．