ISO27001とは?ISMS認証の全体像・2022年版の管理策と取得手順を実務目線で解説
ISO27001(ISO/IEC 27001)は、組織の情報セキュリティを継続的に管理する仕組み=ISMSの要求事項を定めた国際規格です。この規格に沿ってISMSを構築・運用し、第三者の審査に合格した状態を証明するのが「ISMS認証(ISO27001認証)」です。この記事では、ISO27000ファミリーのなかでのISO27001の位置づけ、2022年版で93項目に再編された附属書Aの管理策、認証取得の審査工程と費用の目安、そして自社が取得すべきか見送ってよいかの判断基準までを、外注先を選ぶ担当者の目線で整理します。ISMSそのものの基礎や情報セキュリティの3要素は、情報セキュリティとISMSの基本を解説した記事で前提を確認できます。
目次
まとめ|ISO27001とISMS認証の全体像と取得判断
ISO27001は「規格(ルールブック)」で、その要求事項を満たして運用する情報セキュリティの管理体制が「ISMS(仕組み)」です。認証は、このISMSが規格どおり回っていることを認証機関が審査して証明する制度で、対象となる規格の本文は要求事項、巻末の附属書Aは選ぶべき管理策のカタログという役割分担になっています。
現行の有効規格はISO/IEC 27001:2022の一択です。2013年版からの移行期限は2025年10月31日で終了しており、いまから取得・更新する組織は2022年版の93管理策を前提にSoA(適用宣言書)を作ります。取得の判断は取引先からの要求やクラウドサービス提供の有無で決めるのが実務的で、証書の保有そのものより、リスクアセスメントに基づく運用が回っているかが本質です。費用は審査費・コンサル費・社内人件費の3つに分かれ、規模によって幅があります。以下で規格の中身、取得工程、投資判断の順に掘り下げます。
ISO27001の定義とISO27000ファミリーでの位置づけ
ISO27001を正しく理解するには、単独の規格ではなくISO27000シリーズという規格群の一員として捉える必要があります。番号ごとに役割が分かれており、認証の対象になるのはISO27001だけです。
ISO/IEC 27001の本文が定めるISMS要求事項の範囲
ISO/IEC 27001の本文(箇条4〜10)は、ISMSを構築・運用するために組織が必ず満たす要求事項を定めています。適用範囲の決定、経営者のリーダーシップ、情報セキュリティ方針、リスクアセスメントとリスク対応、力量・認識、運用、パフォーマンス評価(内部監査・マネジメントレビュー)、継続的改善という流れで、いわゆるPDCA(Plan-Do-Check-Act)を組織の中に定着させる構造です。ここで問われるのは特定のツール導入ではなく、自社のリスクを自社で評価し、選んだ対策を記録に残して回す運用そのものです。認証審査では、この箇条4〜10への適合と、次に述べる附属書Aの管理策の実施状況が確認されます。
ISO27000ファミリーとISO27002・27017の役割分担
ISO27000シリーズは目的別に分かれています。認証を取得する事業会社が押さえるべきは、要求事項を定める27001と、管理策の実施ガイドである27002の2本が中核だという点です。両者を混同すると「27002の認証」という存在しないものを探すことになります。
| 規格番号 | 役割 | 認証対象 |
|---|---|---|
| ISO/IEC 27000 | 用語・全体像の定義 | 対象外 |
| ISO/IEC 27001 | ISMSの要求事項(審査基準) | 認証対象 |
| ISO/IEC 27002 | 附属書A管理策の実装ガイド | 対象外(ガイド) |
| ISO/IEC 27017 | クラウドサービス向け追加管理策 | 27001の付加認証 |
| ISO/IEC 27701 | 個人情報保護(PIMS)の拡張 | 27001の拡張認証 |
クラウド事業者がクラウド固有のセキュリティを示したい場合は、27001の認証を土台に27017を付加取得する形が一般的です。詳しくはISMSクラウドセキュリティ認証(ISO/IEC 27017)の取得要件を解説した記事で個別に確認できます。
ISMS認証とISO27001の関係=仕組みと規格の切り分け
「ISMS」と「ISO27001」は同義で語られがちですが、指しているものが違います。ISMS(Information Security Management System)は組織が運用する情報セキュリティの管理体制という実体で、ISO27001はその体制が満たすべき要求を書いた規格です。日本の認証制度上の正式名称は「ISMS適合性評価制度」で、証書には準拠規格としてISO/IEC 27001が記載されます。つまり「ISMS認証を取る=ISO27001に基づく審査に合格する」という関係です。この仕組みと規格の切り分けは実務でつまずきやすいため、ISMSとISO 27001の違いを規格の側から整理した記事で用語の対応関係を補強しておくと、社内説明や提案書作成でぶれません。
ISO/IEC 27001:2022への改訂と附属書A管理策93項目の構成
ISO27001を今から扱ううえで避けて通れないのが、2022年版への改訂です。管理策の再編と移行期限の両方を正しく押さえないと、古い114項目を前提にした資料で手戻りが発生します。
2022年版で114から93に再編された附属書Aの4カテゴリ
ISO/IEC 27001:2022は2022年10月25日に発行されました。最大の変更は附属書Aの管理策で、2013年版の14カテゴリ114項目から、4カテゴリ93項目へ再編されています。統合による項目数の減少であり、対策の中身が減ったわけではありません。
| カテゴリ | 管理策数 | 扱う領域の例 |
|---|---|---|
| 組織的管理策 | 37 | 方針・役割・供給者・クラウド利用・事業継続 |
| 人的管理策 | 8 | 雇用・教育・懲戒・リモートワーク |
| 物理的管理策 | 14 | 入退室・装置・監視・廃棄 |
| 技術的管理策 | 34 | アクセス制御・暗号・ログ・セキュアコーディング |
93項目のすべてを一律に導入する必要はなく、リスクアセスメントの結果に照らして採否と理由をSoA(適用宣言書)に記録するのが規格の作法です。93項目それぞれの選定手順はISO 27001:2022附属書Aの93管理策と選定手順を解説した記事に実務レベルで整理しています。
新設された11管理策とクラウド・脅威インテリジェンスへの手当て
2022年版では、変化した脅威環境に合わせて11の管理策が新しく加わりました。既存対策の言い換えではなく、これまで附属書Aに独立項目がなかった領域を明文化したものです。代表的なものを挙げます。
- 脅威インテリジェンス(5.7):外部の攻撃情報を収集し対策に反映する
- クラウドサービス利用の情報セキュリティ(5.23):導入・運用・撤退の責任分界を管理する
- ICTの事業継続への備え(5.30):システム停止時の復旧を計画に組み込む
- 情報の削除(8.10)/データマスキング(8.11)/情報漏えい防止(8.12):データ保護の3点
- 監視活動(8.16)/Webフィルタリング(8.23)/セキュアコーディング(8.28):技術的な検知と予防
クラウド提供・受託開発を行う事業者にとって、5.23と8.28は自社の開発・運用フローに直結します。設計段階からセキュアコーディングを組み込む体制が問われるため、外部委託先を選ぶ際もこの観点で開発工程を確認しておくと審査対応が滑らかになります。
2013年版からの移行期限(2025年10月31日)と現行の扱い
2013年版の認証を2022年版へ移す期限は2025年10月31日でした。この期日を過ぎた2013年版の認証は効力を失っており、2026年時点で有効なISO27001認証はすべて2022年版に基づくものです。これから新規取得する組織は、はじめから93管理策を前提に構築すれば移行作業は発生しません。逆に、社内に残る旧版ベースの規程やチェックリストをそのまま流用すると、廃止・統合された項目番号で審査時に混乱します。既存文書を使い回す場合は、まず附属書Aの新旧対応を取り直すことから始めます。
ISMS認証を取得するプロセスと第一段階・第二段階審査の流れ
ISO27001認証は申請すれば発行される資格ではなく、ISMSを一定期間運用した実績を第三者が審査して初めて取得できます。全体の工程と審査の構造を先に把握しておくと、社内の稼働見積りがぶれません。
認証の適用範囲の決定からSoA(適用宣言書)作成までの構築工程
取得準備は、認証の対象範囲(部門・拠点・サービス)を決めるところから始まります。範囲を広げるほど審査工数と維持負荷が増えるため、まず主力サービスや対外的に求められる範囲に絞る判断が現実的です。範囲確定後、情報資産の洗い出しとリスクアセスメントを行い、附属書Aから採用する管理策を選んでSoAにまとめます。
- 適用範囲の決定(対象部門・情報資産の線引き)
- 情報セキュリティ方針・目的の策定
- リスクアセスメントとリスク対応方針の決定
- 附属書A管理策の選定とSoA(適用宣言書)作成
- 規程整備・運用開始・記録の蓄積(数か月)
- 内部監査とマネジメントレビューの実施
審査では運用記録の実在が問われるため、規程を作った直後に審査を受けることはできません。方針・手順を定めてから内部監査までに一定の運用期間を確保する前提で計画します。
第一段階審査・第二段階審査と認証機関・ISMS-ACの役割分担
審査は2段階に分かれます。第一段階審査は文書審査が中心で、規程やSoAが規格の要求を満たしているかを確認する工程です。第二段階審査は現地(またはリモート)で、規程どおりに運用が回っているかを記録と実態で検証します。ここで指摘された不適合を是正して初めて認証が発行されます。
審査を行うのは「認証機関(審査登録機関)」で、その認証機関を認定しているのが日本では一般社団法人情報マネジメントシステム認定センター(ISMS-AC)です。つまり、ISMS-ACが認証機関を認定し、認証機関が事業者を審査するという二層構造です。認証機関ごとに得意業種や費用が異なるため、複数社から見積りを取って比較します。
認証取得後の維持審査(サーベイランス)と更新審査の3年サイクル
認証は取得して終わりではなく、有効期間は3年です。取得後は毎年サーベイランス(維持審査)を受け、3年ごとに更新審査で認証を継続します。運用が形骸化すると維持審査で不適合となり、証書が一時停止となる場合もあるのです。取得時の負荷より、この3年サイクルを回し続ける体制のほうが実務では効きます。維持審査で問われる具体的な内容はISMS維持審査の内容と更新審査との違いを解説した記事で確認できます。
ISO27001取得にかかる費用・期間の目安と投資対効果の判断
ISO27001の取得可否を決める最後の論点はコストです。金額は組織規模と適用範囲で変わりますが、費目の構造を知っておくと見積りの妥当性を判断できます。
審査費用・コンサル費・社内人件費という内訳と組織規模別の相場感
費用は大きく3つに分かれます。認証機関に支払う審査費用、取得を支援するコンサルティング費用、そして社内担当者が構築・運用に割く人件費(見えにくいが最大の負担になりやすい)です。従業員数や拠点数、適用範囲の広さで金額は変動し、小規模組織と大規模組織では審査工数が数倍変わります。コンサルを使わず自社構築すれば外部費用は抑えられますが、その分の社内工数が増えるトレードオフの関係です。費目ごとの相場観と内訳はISMS認証の取得・維持費用の内訳を解説した記事で具体的な数字とともに整理しています。
新規取得までにかかる標準的な期間と社内リソース・体制の見積り方
新規取得は、キックオフから認証発行まで一般に半年から1年程度を見込みます。短縮の鍵は運用期間の確保と内部監査の質で、ここを圧縮しすぎると、第二段階審査で運用実績の不足を指摘されがちです。社内リソースの見積りでは、事務局担当者の稼働に加え、各部門が規程を実運用に落とす負荷を織り込みます。専任者を置けない組織では、コンサルや外部の運用支援を組み合わせて事務局機能を補う設計が現実的です。
ISO27001認証を取得すべき企業と取得を見送ってよい場面
ここからは一般論ではなく判断を言い切ります。認証は万能の証明ではなく、投資に見合う条件が揃ったときに取るものです。取得ありきで進めると、証書は手に入っても運用が形骸化します。
ISO27001認証の取得が投資に見合う取引・提供形態の条件
次のいずれかに当てはまる組織は、取得を前向きに検討する価値があります。取引先や入札の条件にISMS認証が明記されているケースが最も分かりやすく、この場合は取得が受注の前提になるため投資対効果が明確です。加えて、クラウドサービスやSaaSを外部提供している、個人情報や機密性の高いデータを大量に預かる受託業態である、といった条件でも、認証が取引上の信頼を可視化します。ここで見込み客に伝えたいのは、認証そのものより、認証取得を通じて社内のセキュリティ運用が標準化される点です。認証取得やその後の体制運用を社内だけで抱えきれない場合は、AIセキュリティ対策・セキュリティ体制構築の外部委託を組み合わせ、開発・運用フローごと設計し直す選択肢があります。
認証取得より先に着手すべき基本的な情報セキュリティ体制の実装
一方で、取得を急ぐべきでない場面もあります。取引要件になく、対外的な要求もない段階で「箔付け」だけを目的に取得するのは過剰です。認証には毎年の維持審査という固定費が発生するため、運用を回す体制がないまま取ると、翌年以降に負担だけが残ります。基本的なアクセス制御やバックアップ、脆弱性対応といった土台が未整備の組織は、まず実装可能な対策から着手し、リスクの棚卸しを済ませてから認証取得を計画するほうが失敗しません。認証は運用の到達点を証明する仕組みであって、運用を作る出発点ではないと割り切るのが安全です。
ISO27001とISMS認証の取得でよくある質問と実務回答
取得検討の初期段階で担当者から挙がりやすい質問を、実務の観点でまとめます。
ISO27001とISMSは同じものですか?
指すものが異なります。ISMSは組織が運用する情報セキュリティの管理体制という実体で、ISO27001はその体制が満たすべき要求事項を定めた規格です。日本の制度上の名称は「ISMS適合性評価制度」で、証書には準拠規格としてISO/IEC 27001が記載されます。「ISMS認証を取る」ことと「ISO27001に基づく審査に合格する」ことは、同じ手続きを別の側面から呼んだものです。
ISO27001とISO27002の違いは何ですか?
27001は認証の基準となる要求事項を定めた規格で、27002はその附属書Aに並ぶ管理策をどう実装するかを説明したガイドです。認証を受けるのは27001だけで、27002には認証制度がありません。実務では、27001で「何を満たすか」を確認し、27002で「どう実装するか」を参照する使い分けになります。
2022年版と2013年版はどちらで取得すればよいですか?
2022年版の一択です。2013年版への移行期限は2025年10月31日で終了しており、それ以降の2013年版認証は効力を失っています。新規取得は最初から2022年版の93管理策を前提に構築すれば、後からの移行作業は発生しません。社内に旧版の規程が残っている場合は、附属書Aの新旧対応を取り直してから使います。
ISO27001認証の取得にはどのくらいの期間がかかりますか?
新規取得はキックオフから認証発行まで、一般に半年から1年程度が目安です。規程を整備しただけでは審査を受けられず、一定期間の運用実績と内部監査・マネジメントレビューの記録が必要になるためです。適用範囲を絞り、事務局の稼働を確保できるかで期間は前後します。
ISO27001とプライバシーマークはどう使い分けますか?
対象と範囲が違います。ISO27001は情報資産全般のセキュリティ管理を対象とし、適用範囲を部門やサービス単位で柔軟に決められます。プライバシーマークは個人情報の適切な取り扱いに特化し、原則として法人全体が対象です。取引先が求める証明がどちらかを確認し、扱うデータの性質に合わせて選ぶ、あるいは両方を取得する判断になります。
関連記事
- 情報セキュリティとは?3要素・脅威・ISMSの基本と外注時の要件を解説:ISO27001の前提となる情報セキュリティとISMSの基礎を確認できます
- ISMSとISO 27001の違いとは?「仕組み」と「規格」の関係を解説:本記事の用語整理をさらに規格の側から深掘りします
- ISMSの管理策とは?ISO 27001:2022附属書Aの93項目と選定手順:附属書A93管理策の中身と選び方を実務目線で確認できます
- ISMSのメリットとは|取得効果とデメリット・費用対効果の判断:取得の投資判断を効果とコストの両面から検討できます
- ISMS維持審査とは|審査内容・更新審査との違いと合格準備:取得後に毎年発生する維持審査の実務を把握できます