ISMS【Information Security Management System】

（情報セキュリティマネジメントシステム

　ISMSとは、企業などの組織が情報を適切に管理し、機密を守るための包括的な仕組みです。

　コンピュータシステムのセキュリティ対策だけでなく、情報を扱う際の基本的な方針(セキュリティポリシー)や、

それに基づいた具体的な計画、計画の実施・運用、一定期間ごとの方針・計画の見直しまで含めた、トータルな

リスクマネジメント体系のことを指します。

　情報化社会の進展の中で、情報漏えいなどのセキュリティ事故が多発し、IT周りを中心に様々のセキュリティ対策

を実施しています。

 しかし、こうした技術的対策だけでは、問題が解決していないのが実態です。

　そこで、技術的な対策だけでなく、人的・物理的な要素や運用面を含めて総合的なセキュリティ対策を実施する

マネジメントシステムの重要性が着目を浴びています。

　繰り返しますが、ISMSとは「いろんな情報を犯罪や災害から守って管理していくための管理システム」です。

　そのため、まずは「どのような情報を持っているのかをきちんと把握し、どんなところで情報が盗まれたり流出する

危険性があるかを考えて、しっかり管理するシステム(仕組み)をつくりましょう」というのが大きな目的になります。

　しかしながら、各社バラバラにISMSを構築するのは無駄が多いし、どのぐらいのレベルのものを作ればいいのかも

よくわかりません。

　情報セキュリティ関連では、どういう手順でどんなことをやればいいのかというガイドライン(仕組みの基準)として

用いられているのが、国際規格 ISO/IEC 27001／日本工業規格 JIS Q 27001「情報セキュリティマネジメントシステ

ム－要求事項」です。

　そして、ISMSをその組織が保持し、適正に運用しているかどうかを第三者が認定する制度として「ISMS適合性評価制度」

と呼ばれる評価認定制度があります。

情報セキュリティマネジメントシステム(ISMS)では、セキュリティルールを策定し、継続的に運用していきます。

• Plan：情報セキュリティ対策の具体的な計画・目標を策定
• Do：計画に基づいてさまざまな対策を実施・運用
• Check：実施した結果を点検・監視
• Action：経営陣による見直しを通して、システムを改善

　合わせて、ISMSでは、企業が保護すべき情報資産について、「機密性」・「完全性」・「可用性」をバランス良く

維持改善することが基本コンセプトとなっています。

• 「機密性」とは、簡単に言えば、「見られたくない人には、見られないようにすること。」であり、“情報漏洩”
• とは、機密性が侵害された事例です。
• 「完全性」とは、「意図した通りに、正しく完全であること。」です。例えば、謝ってデータ入力すると完全性
• が損なわれることになります。
• 「可用性」とは、「利用したい時に利用できること。」です。Ｗｅｂサイトをアクセスした時に「ただ今アクセスが
• 混み合って接続できません。」などとして利用できない状況は可用性が損なわれている状態となります。

　しかし、機密性や完全性を追求し過ぎると、可用性が損なわれるなど、往々にして相反する関係となりますが、

これらをバランス良く維持することも大切になります。

　ここに情報セキュリティの難しさがあります

　ISMS（ Information Security Management System ）適合性評価制度（以下、ISMS）とは、情報資産を

様々な脅威から守り、リスクを軽減させるための総合的な情報セキュリティ・マネジメントシステムです。

2005年10月にISMS認証基準として国際規格ISO/IEC 27001：2005が発行され、国内規格

JIS Q 27001：2006が発行、これに伴い、ISMS認証基準はJIS Q 27001：2006となっています。

　国際標準規格には、標準規格（＝ガイドライン）を定めることと合わせて、評価認証制度を行うという

特徴があります。

つまり、審査を行って規格を満たしていれば、「この会社はこの標準規格を満たしていますよ」と認証する

（公に認める）制度です。

企業にとっては、この評価認証を受ければ内外にアピールできますし、信頼度は格段とアップします。

「ISO27001取得」とか名刺に刷り込んだりして取引の機会も増えるかも。

日本の場合、ISMSの認証・取得というと、このJIPDECのISMS適合性評価制度の認証を受けるのが一般的です。