情報セキュリティに関するインシデントが国内外で相次ぐ中、取引先や入札先から「ISMS認証を取得していること」を条件として求められるケースが急増しています。官公庁・独立行政法人の調達要件への組み込み、大手企業のサプライチェーンセキュリティ強化の流れを受け、2026年時点でISMS認証は「任意の取り組み」から「事業継続の前提条件」へと位置づけが変化しつつあります。
しかし、「何から手をつければよいか分からない」「費用がどの程度かかるか見当がつかない」「取得まで何ヶ月かかるのか」といった疑問を抱えている情報セキュリティ担当者は依然として多くいます。
本記事では、ISMS認証の基礎から、具体的な取得ステップ・費用相場・期間・失敗パターンまでを体系的に解説します。
1. ISMSとは?ISO/IEC 27001の概要と2026年の重要性
ISMSの定義
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、組織が保有する情報資産を守るために、リスクを継続的に識別・評価し、管理策を実施・改善するための仕組みを指します。単なるセキュリティ対策ツールの導入ではなく、組織全体のプロセスとして情報セキュリティを管理する「マネジメントシステム」である点が重要です。
その国際標準がISO/IEC 27001です。国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で策定しており、日本ではJIS Q 27001として日本産業規格に翻訳されています。
2022年改訂版(ISO/IEC 27001:2022)のポイント
2022年10月に改訂されたISO/IEC 27001:2022では、附属書Aの管理策が従来の114項目から93項目に再編されました。単なる削減ではなく、クラウドセキュリティや脅威インテリジェンス、情報の削除など、デジタル時代に対応した新たな管理策11項目が追加されています。
2022年版への移行猶予期間は2025年10月31日で終了しており、2026年時点で有効なISMS認証は2022年版に準拠していることが前提となります。旧版(2013年版)での認証を維持している組織は、更新審査のタイミングで2022年版への移行が必須です。
附属書Aの主な構造変化
区分 | 2013年版 | 2022年版 |
|---|---|---|
管理策の総数 | 114項目 | 93項目 |
カテゴリ数 | 14カテゴリ | 4テーマ(組織・人的・物理的・技術的) |
新規追加 | — | 11項目(脅威インテリジェンス・クラウドセキュリティ等) |
統合・廃止 | — | 廃止0、統合・整理により57項目を再分類 |
2026年における取得の重要性
政府の「経済安全保障推進法」に基づくサプライチェーン強化の観点から、防衛・重要インフラ関連の調達では事実上ISMS認証が必須化されています。また、個人情報保護法の改正により委託先管理の要件が強化された結果、大手企業が協力会社に対してISMS認証を求める動きが加速しています。
2. ISMS認証を取得するメリット
取引要件・入札資格としての効果
官公庁・地方自治体・独立行政法人の情報システム調達では、ISMS認証取得を条件とする案件が増加しています。また、金融機関・通信・医療・製造業の大手企業が取引先にISMS認証を要求するケースも多く、認証未取得が商機損失に直結する状況が生まれています。
情報セキュリティリスクの低減
ISMS構築のプロセスそのものが、組織内の情報資産を棚卸しし、リスクを可視化する機会となります。「どこに何の情報があり、誰がアクセスできるか」を整理することで、内部不正・外部攻撃の両面でリスクが低減します。
対外的な信頼性・ブランド価値の向上
国際規格に準拠した第三者審査を通過したことを示す認証マークは、顧客・パートナー・株主に対する信頼性の証明として機能します。特にBtoB取引において、営業・提案段階での差別化要素となります。
社内のセキュリティ意識・文化の醸成
ISMS維持には定期的な内部監査・教育訓練・マネジメントレビューが必要です。これらのサイクルが定着することで、従業員のセキュリティ意識が継続的に高まる効果があります。
3. 認証取得の流れ(6ステップ)
ISMS認証取得は、以下の6つのステップで進めます。組織の規模・既存のセキュリティ体制・コンサル活用の有無によって所要期間は異なりますが、各ステップの目的と成果物を明確に理解しておくことが重要です。
ステップ全体像
ステップ | フェーズ | 主な作業 | 主な成果物 |
|---|---|---|---|
Step 1 | スコープ定義 | ISMS適用範囲・組織境界の決定 | スコープ文書 |
Step 2 | リスクアセスメント | 情報資産の洗い出し・脅威・脆弱性・影響度の評価 | リスク評価台帳・リスク対応計画 |
Step 3 | 管理策の実装 | 附属書Aを参照した管理策の選択・導入・文書化 | 適用宣言書(SoA)・管理策文書 |
Step 4 | 内部監査 | ISMSが計画通り機能しているかの内部チェック | 内部監査報告書・不適合記録 |
Step 5 | マネジメントレビュー | 経営層によるISMSの有効性評価と改善方針の決定 | マネジメントレビュー議事録 |
Step 6 | 外部審査(第一段階・第二段階) | 審査機関による文書審査・現地審査 | 認証書 |
Step 1:スコープ定義
ISMSの適用範囲(スコープ)を決定します。全社適用か特定部門・サービスへの限定適用かによって、必要な工数・費用・期間が大きく変わります。スコープを広げるほど認証の信頼性は高まりますが、取得難易度と維持コストも上昇します。
取引先や顧客から求められる場合は「どの業務・サービスを対象とした認証か」を明確にする必要があります。例えば「クラウドサービス事業部門のみ」「受託開発業務のみ」といった限定スコープでの取得も可能です。
Step 2:リスクアセスメント
ISMSの核心となるプロセスです。スコープ内の情報資産(データ・システム・紙媒体・人的リソース等)を洗い出し、各資産に対する脅威・脆弱性を特定した上で、機密性・完全性・可用性(CIA)の観点からリスクレベルを評価します。
リスクアセスメントの手法はISO/IEC 27001が規定する要件を満たす範囲で組織が自由に選択できます。重要なのは「一貫した基準で評価し、結果を文書化すること」です。
Step 3:管理策の実装
リスクアセスメントの結果に基づいて、リスクを低減・回避・移転・受容するための管理策を選択・実装します。ISO/IEC 27001:2022の附属書Aに列挙された93の管理策を参照し、自組織のリスク対応に必要な管理策を選定します。
選定した管理策と選定しない管理策、およびその理由を記した「適用宣言書(Statement of Applicability:SoA)」の作成が必須です。SoAは審査において最も重要な文書の一つです。
Step 4:内部監査
ISMSが計画通りに実施されているかを、訓練された内部監査員が独立した立場で確認します。不適合(要件を満たしていない箇所)が発見された場合は是正処置を行い、外部審査までに解消します。
内部監査員は社内で養成することが一般的ですが、専門性の確保のためにコンサルタントが内部監査を支援するケースもあります。
Step 5:マネジメントレビュー
経営層(トップマネジメント)がISMSの有効性・妥当性・継続的適切性を評価し、改善の機会や変更の必要性について意思決定するプロセスです。ISO/IEC 27001はトップマネジメントのリーダーシップをISMSの必須要素として位置づけており、形式的な実施は審査で指摘を受けます。
議事録・検討資料・改善方針の記録が成果物となります。
Step 6:外部審査(第一段階・第二段階)
ISMS-ACやJAB(公益財団法人日本適合性認定協会)が認定する審査機関(認証機関)による審査を受けます。
第一段階審査(文書審査):ISMSの文書体系が要件を満たしているかを審査します。審査員が文書・記録をレビューし、第二段階審査に進む準備が整っているかを判定します。
第二段階審査(実地審査):現地または対面で、ISMSが実際に機能しているかを審査します。従業員へのインタビュー・記録の確認・管理策の実装状況の確認が行われます。審査で「不適合」が指摘された場合、是正処置の完了を報告することで認証が発行されます。
4. 費用相場(規模別)
ISMS認証取得に必要な費用は、主に「コンサルティング費用」「審査機関費用」「維持費用(年間)」の3つに分類されます。費用は組織規模・スコープの広さ・社内体制によって大きく異なります。
費用の構成と規模別相場
費用区分 | 小規模 | 中規模 | 大規模 |
|---|---|---|---|
コンサルティング費用(初回) | 100〜200万円 | 200〜350万円 | 350〜500万円以上 |
審査機関費用(初回審査) | 50〜80万円 | 80〜150万円 | 150〜200万円以上 |
内部人件費(目安) | 100〜150万円相当 | 150〜300万円相当 | 300万円以上相当 |
合計(初回取得) | 250〜430万円 | 430〜800万円 | 800〜1,000万円以上 |
年間維持費(サーベイランス審査+コンサル) | 50〜100万円 | 100〜200万円 | 200〜400万円 |
※費用はすべて税別・目安です。コンサルタントの選定・スコープ・社内工数によって変動します。
各費用区分の内訳
コンサルティング費用
ISMSコンサルタントに依頼する費用です。スコープ定義の支援・文書テンプレートの提供・リスクアセスメントの実施支援・内部監査員の育成・審査対応準備まで、支援内容によって費用は変わります。コンサルなしの自力取得も可能ですが、初回取得においては専門家のサポートが取得期間の短縮とコスト最適化につながるケースが多いです。
審査機関費用
ISMS-ACまたはJABに認定された認証機関(BSI・SGS・テュフズードなど)に支払う審査料です。審査員の人日数・審査機関の規模・スコープ内の従業員数に応じて算定されます。審査機関によって料金体系が異なるため、複数機関から見積もりを取得することが推奨されます。
サーベイランス審査(維持審査)
ISMS認証の有効期間は3年間です。2年目・3年目にはサーベイランス審査(中間審査)が行われ、3年後に更新審査を受けることで認証が継続されます。サーベイランス審査の費用は初回審査の50〜70%程度が目安です。
コスト最適化のポイント
- スコープを絞る:全社一括ではなく特定部門・サービスから開始することで初回コストを抑制できる
- 社内人材を育成する:内部監査員・ISMS推進担当者を早期に育成することでコンサル依存度を下げられる
- 文書テンプレートを活用する:既存のISMSテンプレートを活用し、文書作成工数を削減する
- 審査機関を比較する:認定機関であれば品質は担保されるため、複数見積もりで費用差を確認する
5. 取得期間の目安
ISMS認証の取得期間は、組織規模・スコープ・社内リソース・既存のセキュリティ体制によって異なります。
規模別の標準的な取得期間
組織規模 | スコープ | 社内体制 | 取得期間の目安 |
|---|---|---|---|
小規模(〜50名) | 限定スコープ | 専任担当あり | 6〜9ヶ月 |
中規模(50〜300名) | 部門限定 | 兼任担当者複数 | 9〜12ヶ月 |
中規模(50〜300名) | 全社 | 専任チーム | 12〜15ヶ月 |
大規模(300名〜) | 全社または複数拠点 | 専任チーム+コンサル | 15〜18ヶ月以上 |
フェーズ別の標準的なタイムライン(12ヶ月モデル)
期間 | フェーズ | 主な活動 |
|---|---|---|
1〜2ヶ月目 | 体制構築・スコープ定義 | プロジェクト発足・推進体制の確立・スコープ決定・ギャップ分析 |
2〜5ヶ月目 | リスクアセスメント・管理策選定 | 情報資産台帳の作成・リスク評価・SoA作成・管理策の実装 |
5〜8ヶ月目 | 文書整備・運用開始 | ポリシー・手順書の整備・従業員教育・ISMSの試験運用 |
8〜10ヶ月目 | 内部監査・マネジメントレビュー | 内部監査の実施・不適合是正・マネジメントレビュー実施 |
10〜11ヶ月目 | 第一段階審査 | 審査機関による文書審査・指摘事項への対応 |
11〜12ヶ月目 | 第二段階審査・認証取得 | 実地審査・不適合是正・認証書の発行 |
期間を左右する主な要因
短縮につながる要因
- プライバシーマーク(Pマーク)など既存のマネジメントシステムが導入済みである
- 情報資産台帳・セキュリティポリシーが既に整備されている
- 専任の推進担当者と経営層の強いコミットメントがある
- 経験豊富なコンサルタントのサポートを受けられる
長期化する要因
- 担当者が兼務でリソースを確保しにくい
- 組織変更・システム更新と並行して進める必要がある
- 多拠点・多部門にまたがるスコープである
- 経営層の関与が限定的でマネジメントレビューが形骸化する
6. よくある失敗パターンと対策
ISMS認証取得において、多くの組織が陥る典型的な失敗パターンとその対策を整理します。
失敗パターン①:スコープを広げすぎる
状況:「せっかくなら全社で取得したい」という方針で全部門・全拠点をスコープに含めたものの、工数が膨大になり途中でプロジェクトが失速する。
対策:最初は中核業務・主要サービスに絞ったスコープで認証を取得し、更新サイクルで段階的に拡大する。スコープを限定しても認証としての有効性は確保される。
失敗パターン②:文書整備を優先して運用が伴わない
状況:ポリシーや手順書を大量に整備したが、実際の業務でその手順が守られていない。審査のインタビューや記録確認で不適合が多発する。
対策:文書は「実際に行っていることを記録する」という原則に立ち返り、既存の業務フローを文書化することから始める。文書のための文書を作らない。
失敗パターン③:経営層の関与が形式的になる
状況:ISMSの推進が情報システム部門や担当者任せになり、マネジメントレビューも担当者が資料を用意して経営者が署名するだけの形式になっている。
対策:ISMSは経営課題であることをプロジェクト開始時に経営層と合意する。マネジメントレビューでは情報セキュリティ目標の達成状況・インシデント傾向・リソースの充足性について実質的な議論を行う記録を残す。
失敗パターン④:リスクアセスメントが一度きりになる
状況:初回のリスクアセスメントを実施した後、サーベイランス審査まで更新されず、新たなシステム導入・業務変更に対応したリスク管理が機能していない。
対策:ISMSの変更管理プロセスを確立し、情報システムの導入・変更・廃止の際には必ずリスクアセスメントの更新をトリガーする仕組みを設計する。年1回の定期的な全体レビューも実施する。
失敗パターン⑤:認証取得後に維持活動が停滞する
状況:認証取得という目標を達成した後、推進チームが解散・縮小し、サーベイランス審査前に慌てて体制を立て直す「審査前だけ活性化」の状態になる。
対策:認証取得後もISMS推進の責任者・担当者を明確にし、月次または四半期での定期的な活動レポートを実施する体制を維持する。ISMSをコスト・負担ではなく事業継続の基盤として位置づける文化醸成が重要です。
失敗パターン⑥:内部監査が形骸化する
状況:内部監査員が監査対象部門の業務を熟知しておらず、表面的なチェックリストの確認に終始する。不適合を発見できず、外部審査で指摘を受ける。
対策:内部監査員に対する教育・訓練を定期的に実施し、監査手法・証拠収集・インタビュー技術を継続的に向上させる。クロス監査(他部門の担当者が相互に監査する)の仕組みを導入することで客観性を確保する。
7. AEVUSのISMS認証支援
AEVUSは、情報セキュリティの専門知識を持つコンサルタントによるISMS認証取得支援を提供しています。
支援の特徴
実務に即した文書体系の構築
形式的な文書を量産するのではなく、実際の業務プロセスに即したISMS文書を設計します。審査を通過するだけでなく、日常業務の中でISMSが機能する体制の構築を重視します。
リスクアセスメントの質の確保
ペネトレーションテスト・脆弱性診断の知見を持つAEVUSのエンジニアが、技術的なリスクの評価に参画します。「形式的なリスクアセスメント」ではなく、実際の脅威環境を反映した実効性のあるリスク評価を実現します。
認証取得後の継続的サポート
認証取得後のサーベイランス審査対応・ISMS維持活動の支援・情報セキュリティインシデント発生時の対応支援まで、継続的なパートナーとして伴走します。
対象となる組織
- ISMS認証の取得を検討しているが、何から始めればよいか分からない
- 過去に取得プロジェクトが頓挫した経験がある
- サーベイランス審査・更新審査への対応に不安がある
- 2022年版(ISO/IEC 27001:2022)への移行対応が必要
ISMS認証に関するご相談・費用のお見積もりは、以下のお問い合わせフォームよりお気軽にご連絡ください。初回のご相談は無料で対応しています。
関連記事
