ISMS運用とは？2022年改訂後のPDCA・内部監査・更新審査まで実務手順を解説

ISMS運用とは、ISO/IEC 27001（JIS Q 27001）の認証を取得した後に、情報セキュリティマネジメントシステムをPDCAサイクルで回し続け、維持・改善していく一連の活動を指します。この記事では、運用体制づくりや年間スケジュール、リスクアセスメント、内部監査、教育・訓練、マネジメントレビューといった日々の実務から、維持審査・更新審査への備えまでを順を追って整理します。あわせて、2025年10月31日に移行期限を迎えた2022年改訂（附属書A 93管理策）と、2024年に追加された気候変動への対応を運用へどう落とし込むかも解説します。運用が「形骸化」しがちな原因と防ぎ方、費用・工数の目安も具体的に示すため、担当者として何から手を付ければよいかが分かる内容です。

【まとめ】ISMS運用を形骸化させず回し続けるための全体像と要点

ISMS運用の核心は、取得時に作った仕組みを「動かし続け、毎年良くしていく」ことにあります。具体的には、リスクアセスメントの見直し、日常のモニタリング、年1回以上の内部監査とマネジメントレビュー、全従業員への教育を年間サイクルで回し、その記録（エビデンス）を残し続けることが基本動作です。認証は3年単位で、間の年に維持審査、3年目に更新審査を受けます。

現在の運用は2022年版を前提とする点が重要です。2013年版からの移行期限は2025年10月31日で経過しており、附属書Aは93管理策・4分類へ再編され、2024年追補により箇条4.1で気候変動が関連する課題かどうかの判断も求められます。形骸化を防ぐ鍵は、規程を現場が使える粒度にすること、記録を仕組みで残すこと、内部監査と是正処置を「指摘のための儀式」で終わらせないことの3点です。費用・工数は組織規模と認証範囲で変わり、自社の体制に不足があれば外部支援の活用も選択肢になります。各論は以降の章で詳しく説明します。

ISMS運用とは｜「取得」との違い・関連認証・継続が重要な理由

まず、ISMS運用が認証取得とどう違い、なぜ取得後こそ本番なのかを押さえます。ここを理解すると、以降の内部監査やリスクアセスメントの目的がぶれなくなります。

ISMS運用の定義｜「構築・取得」と「運用・維持」の役割の違い

ISMSの構築・取得は、情報セキュリティ方針やリスクアセスメント手順、適用宣言書などの仕組みを「作って初回認証審査に合格する」段階です。一方の運用・維持は、その仕組みを実際の業務で動かし、PDCAで改善し続ける段階を指します。たとえば、取得時に定めた「USBメモリの利用ルール」を全部署が守れているかを点検し、守れていなければルールや教育を直すまでが運用です。取得がゴールではなく、運用で実効性を出して初めて情報資産が守られる、という役割分担を最初に区別しておきましょう。

運用の拠り所となるISO/IEC 27001とJIS Q 27001の関係

ISMS運用の判断基準となる要求事項は、国際規格のISO/IEC 27001と、その日本語版であるJIS Q 27001に書かれています。両者は実質的に同じ内容で、JIS Q 27001:2023がISO/IEC 27001:2022に対応します。運用で迷ったときは「規格の箇条4〜10（本文の要求事項）と附属書Aの管理策に照らすとどうか」を拠り所にすると、属人的な判断を避けられます。たとえば内部監査の必要性は箇条9.2、是正処置は箇条10.2に根拠があり、規格番号で確認できると審査での説明もしやすくなります。

ISMSとPマーク・ISO27017など関連認証の違いと使い分け

ISMS（ISO/IEC 27001）は、組織が扱う情報資産全般を対象としたマネジメントシステムの認証です。これに対しプライバシーマーク（Pマーク、JIS Q 15001）は個人情報の保護に特化しており、対象範囲と根拠規格が異なります。クラウド事業者向けにはISO/IEC 27017（クラウドサービスの管理策）という上乗せ規格もあります。両方を取得・運用する組織も多く、運用負荷を抑えるには内部監査や教育を一体的に計画するのが現実的です。違いの詳細はプライバシーマーク（Pマーク）の概要もあわせて確認すると、自社にどの認証が必要かを判断しやすくなります。

取得後も運用が重要な理由｜情報漏えい事例から見る継続の価値

認証を取得しても、運用が止まれば情報漏えいは起こります。実際、設定ミスや委託先管理の不備、退職者アカウントの放置といった「運用の隙」を突かれた事例は後を絶ちません。実際の情報漏えい事例を見ると、原因の多くは高度な攻撃そのものより、ルールが現場で守られていなかった点にあります。だからこそ、取得時の仕組みを点検・改善し続ける運用が、漏えいリスクを下げる実質的な防御になります。認証の維持だけでなく、自社を守るための活動だと位置づけることが大切です。

ISMS運用が目指す「適合・有効・改善」の3つの状態

運用が回っているかは、3つの状態で判断すると分かりやすくなります。1つ目は規格や自社規程に沿っているかという「適合」、2つ目は決めた目的・目標（例：インシデント件数の削減）を達成できているかという「有効」、3つ目は監査やレビューを通じて毎年良くなっているかという「改善」です。適合だけを満たしても、目標未達や改善停滞なら運用は不十分と評価できます。この3軸を内部監査やマネジメントレビューの評価観点に組み込むと、書類はそろっているのに実効性がない状態を早期に見つけられます。

ISMS運用の核となるPDCAサイクルと1年間の運用スケジュールの全体像

ISMS運用はPDCAサイクルを土台にします。ここでは4段階の中身と、認証の3年サイクルに合わせた年間の動かし方を具体化します。

ISMS運用のPDCA4段階と各段階で残すべき成果物

PDCAは、Plan（方針・目標・リスク対応計画の策定）、Do（管理策の実施・教育・記録）、Check（モニタリング・内部監査・マネジメントレビュー）、Act（是正処置・改善）の4段階で構成されます。各段階で残す成果物の例は、Planならリスク対応計画と適用宣言書、Doなら教育受講記録とアクセス権の棚卸し記録、Checkなら内部監査報告書、Actなら是正処置記録です。審査では各段階のエビデンスが確認されるため、「やったが記録がない」を避けることが運用の基本になります。

認証の3年サイクル（初回・維持・更新）と年間運用の対応関係

ISMS認証は3年を1サイクルとして運用します。初回（または更新）審査で認証を受けた後、2年目・3年目に維持審査（サーベイランス）を受け、3年経過時に更新審査で認証を更新します。年間運用はこのサイクルに合わせて設計します。たとえば内部監査とマネジメントレビューは毎年必ず実施し、審査の前に直近の記録をそろえておく流れです。3年目の更新審査は確認範囲が広くなる傾向があるため、2年目のうちから文書の最新化を進めておくと負荷を平準化できます。

月次・四半期・年次で実施する運用タスクの年間スケジュール例

運用を回す際は、頻度ごとにタスクを割り付けると抜け漏れを防げます。下記は一般的な年間スケジュールの一例です。

規模が小さい組織では四半期タスクを半期にまとめるなど、自社の実態に合わせて調整して構いません。重要なのは、年次タスクである内部監査・教育・マネジメントレビューを必ず年1回以上行うことです。

Plan偏重・Do放置を避けるスケジュール設計の判断基準

運用が崩れる典型は、計画は立派でも現場での実施（Do）と確認（Check）が追いつかないパターンです。これを避ける判断基準として、(1)各タスクに担当者と期限を必ず割り当てる、(2)実施記録のフォーマットを先に用意する、(3)未実施が出たら翌四半期に持ち越さず原因を確認する、の3点を運用ルールに組み込みます。たとえば「教育は実施したが受講記録が一部欠けている」状態は、Do放置の初期サインです。記録の有無を月次でチェックする仕組みにしておくと、年度末の慌ただしい作り込みを防げます。

小規模組織が運用工数を抑えるサイクル簡素化の考え方

従業員数十名規模の組織では、大企業と同じ重さで運用すると形骸化しがちです。工数を抑える現実的な考え方は、(1)文書を方針・規程・手順の最小構成に絞る、(2)内部監査の対象部署を絞りつつ毎年ローテーションする、(3)リスクアセスメントは資産をグループ化して評価する、といった割り切りです。たとえば管理策ごとに細かい手順書を量産せず、1つの「情報セキュリティ管理規程」に集約すれば、改訂や教育の負担が下がります。守るべき実態を落とさない範囲で、運用の重さを自社規模に合わせることが継続のコツです。

ISMS運用体制と担当者の役割分担・現場が動くルール整備の進め方

運用が回るかどうかは体制設計で大きく決まります。誰が何に責任を持つかと、現場が守れるルールの作り方を整理します。

運用体制の基本構成｜経営層・事務局・各部門の役割

ISMS運用体制は、方針承認と資源配分を担う経営層、運用全体を取りまとめる事務局（ISMS推進事務局）、現場で管理策を実施する各部門の3層が基本です。経営層はマネジメントレビューで意思決定し、事務局は教育・監査・文書管理を企画・運営し、各部門は日々のルール遵守と記録作成を担います。役割が曖昧だと「事務局がすべて抱える」状態になり破綻しやすいため、各部門に情報セキュリティの窓口担当を置くと、運用が現場に根づきやすくなります。

管理責任者・事務局・内部監査員の役割と兼務時の注意点

主要な役割は、ISMS全体に責任を持つ管理責任者、実務を回す事務局メンバー、運用を点検する内部監査員に分かれます。中小企業では兼務が一般的ですが、注意点があります。内部監査は独立性が求められるため、自分が運用している部門・業務を自分で監査することは避ける必要があります。たとえば事務局担当者が事務局業務を監査するのは不適切で、別部門の担当者を監査員に任命するか、相互監査の体制を組みます。兼務する場合でも、監査の独立性だけは崩さないことが鉄則です。

現場で使われるルール整備｜規程と手順書の粒度の決め方

ルールは「正しさ」より「守れること」を優先して整備します。粒度の目安は、規程で原則と禁止事項を定め、手順書で具体的な操作を示し、判断に迷う点はFAQや例で補う構成です。たとえば「機密情報を適切に管理する」とだけ書くと現場は動けません。「機密区分の情報は施錠保管し、持ち出しは申請制とする」まで具体化して初めて運用できます。実際に守られていないルールは、罰則を強める前に、業務実態に合っているかを見直すことが、形骸化を防ぐ近道です。

兼務・人員不足の中小企業で体制を維持する工夫

専任者を置けない組織では、運用が特定の担当者に依存し、退職で一気に崩れるリスクがあります。対策として、(1)タスクと記録のテンプレート化で属人化を減らす、(2)年間スケジュールを共有カレンダーに登録して担当を分散する、(3)他認証（Pマーク等）の運用と監査・教育を統合する、といった工夫が有効です。たとえば内部監査チェックリストや教育資料を整備しておけば、担当交代時の引き継ぎ工数を大幅に減らせます。仕組みに業務を載せることが、少人数で運用を維持する前提になります。

運用体制が機能しているかを見極めるチェック観点

体制が形だけになっていないかは、いくつかの観点で確認できます。具体的には、(1)各部門の窓口担当が実際に活動しているか、(2)インシデントや相談が事務局に上がってくる経路があるか、(3)マネジメントレビューに経営層が出席し意思決定しているか、です。たとえば「1年間インシデント報告がゼロ」は、安全なのではなく報告が上がっていない兆候のこともあります。報告が来ない、監査の指摘が毎年同じ、といった状態は体制の機能不全のサインとして点検しましょう。

ISMS運用で回すリスクアセスメント・リスク対応とモニタリングの実務

運用の中核は、リスクを把握し、対応し、変化を監視し続けることです。ここでは資産洗い出しから日常モニタリングまでの実務を扱います。

情報資産の洗い出しとリスクアセスメントの基本手順

リスクアセスメントは、(1)情報資産の洗い出し、(2)資産ごとの機密性・完全性・可用性の評価、(3)脅威と脆弱性の特定、(4)リスク値の算定、という手順で進めます。たとえば「顧客データベース」という資産に対し、不正アクセスという脅威と、パスワード管理の甘さという脆弱性を結びつけてリスクを評価します。年1回の見直しでは、新規システム導入やクラウド移行といった変化を資産台帳に反映することがポイントです。資産の抜け漏れがあると、その後の対応もすべて漏れるため、洗い出しの精度が運用の土台になります。

リスク対応（低減・移転・受容・回避）の選び方と判断基準

評価したリスクには、低減・移転・受容・回避の4つの対応方針から選択します。判断基準は、リスクの大きさと対応コストのバランスです。たとえば影響が大きく頻度も高いリスクは管理策で低減し、影響が大きいが自社で対処しにくいリスクは保険やクラウド利用で移転します。コストに見合わない小さなリスクは、根拠を記録したうえで受容する判断もあり得ます。重要なのは「なぜその対応にしたか」を残すことで、これがリスク対応計画として審査でも確認されます。

脆弱性情報の収集と運用への反映｜具体的な脆弱性事例の扱い方

運用では、自社が使うソフトウェアやライブラリの脆弱性情報を継続的に収集し、リスク対応へ反映する必要があります。たとえば7-Zipの脆弱性のような具体的な脆弱性情報が公表された場合、自社の利用状況を確認し、影響があればパッチ適用や利用停止を判断します。情報源はJPCERT/CCやIPA、ベンダーの公式アナウンスが基本です。四半期ごとに「自社利用製品の脆弱性確認」を運用タスクとして組み込み、対応の判断と記録を残す流れにすると、見落としによるインシデントを防ぎやすくなります。

日常モニタリングとログ確認で異常を早期検知する仕組み

リスク対応を実施した後は、想定どおり機能しているかを監視します。日常モニタリングの例は、アクセスログやログイン失敗の確認、不審なメール報告の受付、外部公開資産の状態確認です。すべてを人手で見るのは現実的でないため、検知ルールやアラートを設定し、確認すべきものだけを月次でレビューする仕組みが有効です。たとえば管理者権限の付与や深夜の大量ダウンロードを検知対象にしておくと、異常の早期発見につながります。確認した事実を記録に残すこともセットで運用します。

リスクアセスメントを毎年見直す際に陥る「形だけの更新」

毎年の見直しで最も多い形骸化が、前年の評価結果の日付だけ変えて使い回すパターンです。これでは新たな脅威や事業変化が反映されず、運用の意味が失われます。形だけの更新を避ける判断基準として、(1)この1年の新規システム・サービスが資産に追加されているか、(2)発生したインシデントや業界の攻撃動向が脅威評価に反映されているか、を確認します。たとえば生成AIの業務利用を始めたのに資産・リスクが未更新なら、見直しが実態に追いついていない証拠です。変化点を起点に見直すことが実効性を保ちます。

ISMS文書管理と適用宣言書（SoA）の運用・見直しで押さえる実務

文書と記録は運用の証拠そのものです。文書体系の考え方と、適用宣言書の見直し、過剰文書の防ぎ方を整理します。

ISMS文書体系の4階層（方針・規程・手順・記録）の役割

ISMSの文書は、方針・規程・手順・記録の4階層で考えると整理しやすくなります。方針は経営の意思を示す最上位文書、規程は守るべきルール、手順は具体的なやり方、記録は実施した証拠です。たとえば「情報セキュリティ方針」の下に「アクセス管理規程」があり、その下に「アカウント発行手順」があり、実施結果として「権限付与申請記録」が残る、という関係です。この階層を意識すると、どの文書をどの粒度で書けばよいかが明確になり、重複や矛盾を減らせます。

適用宣言書（SoA）の役割と93管理策への対応付け

適用宣言書（SoA：Statement of Applicability）は、附属書Aの管理策のうち、どれを採用し、どれを除外し、その理由は何かを一覧化した文書です。2022年版では管理策が93項目・4分類に再編されたため、SoAもこの構成に対応している必要があります。運用では、各管理策に対し「採用の有無」「採用する場合の根拠（規程名など）」「除外する場合の正当な理由」を紐づけます。たとえばクラウドを使わない組織がクラウド関連の管理策を除外する場合、その理由を明記します。SoAは審査で必ず確認される中心文書のため、規程改訂時には連動して更新します。

文書改訂・版管理・記録保管で押さえる運用ルール

文書は作って終わりではなく、改訂と版管理のルールが必要です。押さえるべき運用ルールは、(1)改訂日・版数・承認者を文書に明記する、(2)旧版を誤って使わないよう最新版の保管場所を一元化する、(3)記録の保管期間を定める、の3点です。たとえば「内部監査報告書は3年保管」のように期間を決めておくと、審査時に必要な記録をすぐ提示できます。版が混在して「どれが最新か分からない」状態は審査での指摘につながりやすいため、共有フォルダの権限設計とあわせて整えます。

形だけの文書を増やさないための文書スリム化の判断基準

運用が重くなる大きな原因が、使われない文書の増殖です。スリム化の判断基準は、(1)その文書がないと運用や審査で困るか、(2)他の文書と内容が重複していないか、(3)現場が実際に参照しているか、です。たとえば管理策ごとに似た手順書が乱立しているなら、1つの規程に統合できないか検討します。文書を減らすこと自体が目的ではなく、改訂・教育・点検の対象を絞り、運用を回し続けられる量に保つことが狙いです。減らした結果として、毎年の見直し負荷が下がります。

文書・記録の不備が審査で指摘される典型パターン

審査で指摘されやすい文書・記録の不備には、典型パターンがあります。具体的には、(1)規程に書いてある手続きの記録が残っていない、(2)SoAと実際の規程・運用が食い違っている、(3)文書の版が古いまま運用されている、です。たとえば「年1回教育を行う」と規程にあるのに受講記録が一部欠けていると、不適合や観察事項になり得ます。規程に書いた以上は記録で裏付ける、というルールと実態の一致が、文書管理で最も重視されるポイントです。

ISMS内部監査の進め方・チェックリスト・質問例と形骸化を防ぐ視点

内部監査は運用の健康診断です。年間の流れ、チェックリストや質問例の作り方、そして儀式化させない視点を解説します。

内部監査の年間の流れ（計画・実施・報告・是正）

内部監査は、(1)監査計画の作成、(2)監査の実施（文書確認とヒアリング）、(3)監査報告書の作成、(4)指摘事項への是正処置、という流れで進めます。年1回以上の実施が求められ、対象範囲は全部門・全要求事項を一定期間でカバーするように計画します。たとえば監査計画書に対象部署・日程・監査員・確認する要求事項を明記し、実施後は不適合・観察事項を報告書にまとめます。この一連の記録が、マネジメントレビューのインプットにもなるため、報告までを必ずワンセットで完結させます。

内部監査チェックリストの作り方と要求事項への紐づけ

内部監査チェックリストは、規格の要求事項と自社規程を確認項目に落とし込んで作成します。作り方のコツは、各項目に「確認する規格箇条」「確認する記録・エビデンス」「確認方法」を紐づけることです。たとえば「箇条9.2：内部監査は計画どおり実施されているか／監査計画書と報告書／文書確認」のように具体化します。汎用のひな形をそのまま使うと自社の運用と噛み合わないため、規程名やシステム名を入れて自社仕様に調整すると、現場の実態を確認しやすくなります。

現場で使える内部監査の質問例と回答の引き出し方

監査では、はい・いいえで終わらない質問が有効です。質問例としては、「直近で入社した方のアカウントはどの手順で発行しましたか」「機密情報を持ち出す際は実際にどう申請していますか」「前回の指摘はどう改善しましたか」などが挙げられます。回答を引き出すコツは、規程の文言を尋ねるのではなく、実際の業務の流れを語ってもらうことです。たとえば申請記録を一緒に画面で確認すれば、ルールと実態のズレが見えてきます。現場を責めるのではなく、運用を良くするための対話として進める姿勢が、本音を引き出します。

監査の独立性確保と被監査部門との関係づくり

内部監査の信頼性は独立性で担保されます。自部門・自業務を自分で監査しない、という原則を守り、難しい場合は部門間の相互監査や外部の力を借ります。一方で、独立性を盾に対立姿勢になると現場が萎縮し、本当の課題が出てこなくなります。被監査部門には「粗探しではなく、運用上のリスクを一緒に見つける場」だと事前に伝えると協力を得やすくなります。たとえば監査前に確認観点を共有しておけば、当日のやり取りがスムーズになり、改善につながる指摘を引き出せます。

「適切な運用を確認するプロセス」として監査を機能させる視点

ISMSが適切に運用されているかを確認する代表的なプロセスが、内部監査とマネジメントレビュー、そして日常のモニタリングです。内部監査をこの確認プロセスとして機能させるには、「不適合を見つけて報告する」だけでなく、「なぜ運用が崩れたか」を掘り下げて是正につなげる視点が欠かせません。たとえば同じ指摘が毎年繰り返されるなら、個別の是正ではなく仕組みやルールの設計に原因があると判断できます。指摘件数の多寡ではなく、運用が前年より良くなったかを評価軸にすると、監査が改善の起点になります。

ISMS教育・訓練とマネジメントレビューによる運用の継続的改善

人の理解と経営の関与が運用を支えます。教育・訓練の設計と、マネジメントレビューを改善に結びつける方法を扱います。

全従業員向けISMS教育・訓練の内容と実施頻度の目安

教育・訓練は、全従業員が自分の業務に関わるルールを理解し、実践できる状態を目指します。内容の例は、情報セキュリティ方針の周知、パスワードや情報持ち出しのルール、インシデント発生時の報告手順、標的型攻撃メールの見分け方です。実施頻度は年1回以上が目安で、入社時教育とあわせて行う組織が多く見られます。たとえば年1回の全社教育に加え、疑似的な不審メール訓練を実施すると、知識が行動に結びついているかを確認できます。役割に応じて管理者向けの追加教育を行うとさらに効果的です。

教育の効果測定（理解度テスト・受講記録）と未受講者対応

教育は「実施した」だけでなく「理解された」ことの確認が重要です。効果測定の方法として、理解度テストの実施、受講記録の取得、不審メール訓練の開封率測定などがあります。たとえばテストで正答率が低い項目があれば、翌年の教育で重点的に扱います。未受講者への対応も運用ルールに含め、期限後に受講督促を行い、最終的な受講率を記録します。受講記録の欠落は審査で指摘されやすいため、誰がいつ受講したかを名簿で管理し、抜けを月次で確認すると安全です。

マネジメントレビューで経営層が確認すべきインプット項目

マネジメントレビューは、経営層がISMSの状況を確認し、改善を意思決定する場です。確認すべきインプット項目には、内部監査の結果、インシデントの発生状況、リスクアセスメントの見直し結果、目標の達成状況、前回レビューの指示事項の進捗などがあります。たとえば「目標としたインシデント対応時間が未達」であれば、その原因と追加施策を議論します。これらを議事録に残し、経営判断と紐づけることで、ISMSが経営に組み込まれている状態を示せます。年1回以上の開催が基本です。

マネジメントレビューの結果を次年度計画へ反映する方法

レビューは開催すること自体が目的ではなく、アウトプットを次の運用に反映してこそ意味があります。反映の方法は、(1)レビューで決まった改善指示を一覧化し担当・期限を割り当てる、(2)次年度の情報セキュリティ目標と教育計画に落とし込む、(3)必要なら規程やリスク対応計画を改訂する、です。たとえば「クラウド利用の管理を強化する」という方針が出たら、次年度の管理策・教育内容・監査の確認項目に具体化します。指示が翌年の計画書に現れていれば、PDCAのActが回っている証拠になります。

教育・レビューを形式化させない改善ループの回し方

教育やレビューは、毎年同じ内容を繰り返すと急速に形骸化します。形式化を防ぐには、実際に起きた事象を素材に使うことが効果的です。たとえば自社や同業で起きたインシデント、訓練で開封率が高かったメールの傾向を教育に取り入れると、自分事として伝わります。マネジメントレビューも、定型報告だけでなく「今年最も危なかった出来事」を1つ取り上げると議論が活性化します。前年の指摘や事象を翌年の教育・レビューに反映する流れを作ることが、改善ループを止めない秘訣です。

維持審査・更新審査への備えと指摘されやすい不適合・費用工数の実態

外部審査は運用の成果が問われる場です。審査の種類と準備、指摘されやすい点、費用・工数の見通しを具体的に示します。

維持審査（サーベイランス）と更新審査の違いと頻度

外部審査には、認証維持を確認する維持審査（サーベイランス）と、3年ごとに認証を更新する更新審査があります。違いは確認範囲と位置づけです。下表のように整理できます。

更新審査は範囲が広いため、維持審査よりも準備に時間がかかる点を見込んでおきます。

審査前にそろえる記録・エビデンスの準備の進め方

審査前は、直近1年の運用記録を体系的にそろえます。準備の進め方は、(1)内部監査報告書・マネジメントレビュー議事録など必須記録を一覧化する、(2)前回審査の指摘への是正完了を確認する、(3)リスクアセスメントとSoAが最新かを点検する、という順序が効率的です。たとえば前回の不適合が未是正のまま審査を迎えると、再度の指摘につながります。記録を直前に作り込むのではなく、年間スケジュールで残してきた記録を集約する形にすると、準備負荷を大きく減らせます。

審査で指摘されやすい不適合・観察事項の典型例

審査で指摘されやすい典型例には、共通点があります。具体的には、(1)内部監査やマネジメントレビューが規定どおり実施されていない、(2)教育の受講記録が一部欠けている、(3)アクセス権の棚卸しが行われていない、(4)前回指摘の是正が不十分、などです。たとえば退職者のアカウントが残っている状態は、運用の緩みとして指摘されやすい代表例です。これらは高度な対策の不足というより、決めたことを実施・記録できていない運用の問題が大半を占めます。年間の点検でつぶしておくことが効果的です。

不適合（メジャー・マイナー）への是正処置の進め方

審査で不適合を受けた場合、重大なメジャー不適合と、軽微なマイナー不適合に区分されます。是正処置の進め方は、(1)発生した事象の特定、(2)なぜ起きたかの原因分析、(3)応急処置と再発防止策の実施、(4)効果の確認、という流れです。たとえば「教育未実施」という不適合に対し、未実施部署への教育という応急処置だけでなく、「受講管理を仕組み化する」という再発防止まで踏み込みます。原因分析を省いて表面的に直すと同じ指摘を繰り返すため、根本原因への対応が重要になります。

審査機関とのやり取りと運用にかかる費用・工数の見通し

審査は認定された審査機関（認証機関）と契約して受けます。費用は、組織の人数・拠点数・認証範囲・審査機関によって変動し、初回審査と毎年の維持審査、3年ごとの更新審査で費用が発生します。運用の工数は、内部監査・教育・記録作成・審査対応が中心で、事務局担当者の業務として継続的にかかります。たとえば人員が限られ運用が回らない場合は、運用代行やコンサルといった外部支援の活用も選択肢です。費用を抑えることだけを優先すると運用が形骸化しやすいため、自社の体制で無理なく回せるかという観点で判断します。

2022年改訂・2024年気候変動追補をISMS運用へ反映する最新対応

運用は最新規格を前提とします。2022年改訂の要点と、移行期限経過後の前提、2024年追補（気候変動）への対応をまとめます。

ISO/IEC 27001:2022改訂の要点｜附属書A 93管理策・4分類への再編

ISO/IEC 27001は2022年10月25日に約9年ぶりに改訂され、日本語版のJIS Q 27001:2023は2023年9月20日に発行されました。最大の変更は附属書A（管理策）の再編です。従来の114項目・14分類が、93項目・4分類（組織的・人的・物理的・技術的）へ整理されました。内訳として、58の管理策が更新され、24が統合され、11が新規に追加されています。なお本文の要求事項（箇条4〜10）には大きな変更はないため、運用への影響は主に管理策とSoAの見直しに集中します。

移行期限（2025年10月31日）経過後の運用前提と確認事項

2013年版から2022年版への移行期限は2025年10月31日と定められており、すでに経過しています。そのため現在の運用は、2022年版（JIS Q 27001:2023）を前提に行う必要があります。確認事項としては、(1)移行審査を完了し2022年版での認証になっているか、(2)SoA・規程が93管理策の構成に対応しているか、(3)新設管理策の運用が始まっているか、です。たとえば移行審査が済んでいるかは認証書の規格表記で確認できます。新規取得の場合も、現在は2022年版での審査が前提となります。

新設11管理策（脅威インテリジェンス・クラウド等）の運用への落とし込み

2022年版で新設された11の管理策は、近年のセキュリティ課題を反映しています。具体例として、脅威インテリジェンス（脅威情報の収集と活用）、クラウドサービス利用のための情報セキュリティ、ICTの事業継続のための備え、監視活動、データ漏えい防止（DLP）、構成管理、情報の削除、データマスキング、ウェブフィルタリング、物理的セキュリティの監視、セキュアコーディングが挙げられます。運用への落とし込み例として、脆弱性・攻撃動向の収集を定期タスク化する、クラウド利用時の責任分界と設定基準を定める、といった形で日常運用に組み込みます。自社に該当する管理策を選び、規程と記録に反映させます。

2024年追補（気候変動）への対応｜箇条4.1の課題判断と記録

2024年2月23日、ISO/IEC 27001:2022/Amd 1:2024が発行され、箇条4.1と4.2に気候変動に関する記述が追加されました。具体的には、箇条4.1で「組織は気候変動が関連する課題であるかどうかを決定しなければならない」とされ、箇条4.2に「関連する利害関係者は気候変動に関連する要求事項を持つ可能性がある」との注記が加わりました。日本語版は追補1としてJIS Q 27001:2025（2025年5月20日公示）に反映されています。運用では、組織の課題分析（4.1）で気候変動を検討した記録を残すことが必要で、これは審査の確認対象になります。たとえばデータセンターの自然災害リスクなど、自社に関連する点があれば課題として整理します。

適用宣言書・規程の見直しと審査での確認ポイント

2022年改訂と2024年追補を受けて、運用文書の見直しが必要です。見直しの中心は、(1)SoAを93管理策の構成に更新し、新設管理策の採否と理由を明記する、(2)新たに採用した管理策に対応する規程・手順を整備する、(3)課題分析の文書に気候変動の検討を反映する、の3点です。審査では、SoAと実際の規程・運用が一致しているか、新設管理策が形だけでなく運用されているか、気候変動の検討記録があるかが確認されます。たとえばクラウド関連の管理策を採用と宣言しながら運用ルールがない状態は指摘対象です。宣言と実態の一致を点検しておきます。

ISMS運用に関するよくある質問

ISMS運用について、担当者からよく寄せられる質問を整理しました。日々の運用判断の参考にしてください。

ISMS運用とは何ですか？

ISMS運用とは、ISO/IEC 27001（JIS Q 27001）に基づく情報セキュリティマネジメントシステムを、取得後にPDCAサイクルで動かし続け、維持・改善していく活動です。具体的には、リスクアセスメントの見直し、日常のモニタリング、内部監査、教育・訓練、マネジメントレビューを年間で回し、記録を残します。仕組みを作って終わりではなく、実際の業務で機能させて初めて情報資産を守れる、という継続活動を指します。

ISMSの適切な運用を確認するために実施されるプロセスは何ですか？

ISMSが適切に運用されているかを確認する代表的なプロセスは、内部監査、マネジメントレビュー、そして日常的なモニタリング（ログ確認や測定）です。内部監査で要求事項や自社規程への適合を点検し、マネジメントレビューで経営層が有効性を評価し、改善を意思決定します。さらに、外部の維持審査・更新審査によって第三者の視点からも運用状況が確認されます。これらを組み合わせて、運用の実効性を継続的に確かめます。

ISMS運用とISMS認証の「取得」は何が違うのですか？

取得は、方針やリスクアセスメント手順、適用宣言書などの仕組みを作り、初回認証審査に合格する段階です。運用は、その仕組みを業務で動かし、内部監査やレビューを通じて毎年改善していく段階を指します。取得は一時点のゴール、運用は継続的な活動という違いがあります。認証を維持するには年1回程度の維持審査と3年ごとの更新審査があり、その間の運用実績が問われます。取得後こそが本番だと考えると分かりやすいでしょう。

ISMS運用にかかる費用や工数の目安はどのくらいですか？

運用費用は、組織の人数・拠点数・認証範囲、契約する審査機関によって大きく変わります。継続的には、毎年の維持審査費用と3年ごとの更新審査費用、そして事務局担当者の人件費（内部監査・教育・記録作成・審査対応）が中心です。工数は規模に比例し、少人数の組織では担当者の負荷が集中しがちです。自社だけで回すのが難しい場合は、運用代行やコンサルなどの外部支援を併用する方法もあります。無理なく継続できる体制かどうかで判断することをおすすめします。

ISMS運用が形骸化しないために最も重要なことは何ですか？

最も重要なのは、規程を現場が守れる粒度にし、決めたことを実施して記録に残す習慣を仕組み化することです。形骸化は、立派な計画に対して実施と確認が追いつかないときに起こります。内部監査を「指摘のための儀式」にせず、なぜ運用が崩れたかを掘り下げて是正につなげること、教育やレビューに実際の事象を反映して自分事化することも効果的です。前年の課題を翌年の運用へ反映する改善ループを止めないことが、継続の決め手になります。

関連記事

• 近年のサイバー攻撃事例の解説記事：ISMS運用で備えるべき脅威の実態を、具体的な攻撃事例から把握できます。
• ダークウェブ上の個人情報流出をチェックする方法：運用におけるモニタリングや漏えい検知の参考になる実務情報です。