株式会社TIMEWELLの濱本 隆太です。
「来期からISMSを取得する。担当よろしく」——情シス部に配属されて半年の若手が、ある日いきなり投げ込まれる案件。私の周りでもそういう相談が増えています。社内で「とりあえず27001取っとけ」という空気だけが先行し、実際に何をやるのかは誰も説明してくれない。本記事は、そんな「取らされる側」の人が最初に押さえておくべき全体像を、できるだけ平易な言葉でまとめます。
要点を先に示します。ISMSとは「情報セキュリティを場当たり的にではなく、PDCAで回す仕組み」のことです。ISO/IEC 27001:2022は、その仕組みが世界共通の基準を満たしているかを審査する規格です。2026年5月時点で国内の認証取得は8,333件を突破し、年間200〜300件ペースで増え続けています(参照:JIPDEC)。AI活用が爆発した今、規格の「余白」をどう埋めるかが新しい論点になりました。
ISMSの正体——「文書ゲーム」ではなく「経営の意思決定」
ISMSを初めて聞いた人は、たいてい「分厚いマニュアルを作る仕事」と勘違いします。私もそうでした。実際にやるのは違います。経営者が「うちはこの情報資産をこのレベルで守る」と宣言し、組織全体でその約束を守り続ける。これがISMSの本質です。
ISO/IEC 27001本体(マネジメントシステム要求事項)はわずか10章。1〜3章は前置きで、実質的な要求は4〜10章に集中しています。4章「組織の状況」では、自社のビジネス環境と利害関係者を洗い出します。5章「リーダーシップ」では、経営トップが情報セキュリティ方針を出すことを求められます。
ここを軽視して「とりあえずテンプレートに会社名を埋めるだけ」で済ませると、後で必ず破綻します。審査員は方針と実態のズレを的確に突いてきます。たとえば「全従業員にセキュリティ教育を実施」と書いてあるのに、派遣社員の受講記録がない、というケース。これだけで観察事項が立ちます。
私は前職で情シスの現場にいた頃、「方針は経営からのラブレターだ」と上司に言われました。技術文書ではなく、自社が大切にする情報資産への姿勢を社内外に表明する文書だ、という意味です。この感覚を最初につかんでおくと、後の作業が一気に楽になります。
ISO/IEC 27001:2022の93コントロール——前版から何が変わったか
ISO/IEC 27001の付録(Annex A)は、具体的にどんな対策を講じればいいかを示したコントロール集です。2022年改訂で、前版(2013年版)の114コントロール・14分野から、93コントロール・4分野に整理されました(参照:ISMS.online)。日本では2023年9月にJIS Q 27001:2023として翻訳・発行されています。
4分野の内訳はこうです。
| 分野 | コントロール数 | 例 |
|---|---|---|
| 組織的(Organizational) | 37 | 情報セキュリティ方針、役割と責任、サプライヤ関係 |
| 人的(People) | 8 | 雇用前の審査、教育訓練、懲戒手続 |
| 物理的(Physical) | 14 | 入退室管理、装置の保護、廃棄手順 |
| 技術的(Technological) | 34 | アクセス制御、暗号、マルウェア対策、脆弱性管理 |
注目すべきは、2022年版で11の新規コントロールが追加された点です。脅威インテリジェンス(A.5.7)、クラウドサービス利用(A.5.23)、データマスキング(A.8.11)、データ漏えい防止(A.8.12)、Web フィルタリング(A.8.23)、セキュアコーディング(A.8.28)など、現代の脅威に合わせた追加です(参照:認証パートナー)。
旧版で認証を持っていた企業の移行期限は2025年10月31日に終了しました。今から新規取得する企業は、最初から2022年版で構築することになります。古いコンサル資料を流用してしまうと、新コントロールの抜けで観察事項を頂戴する未来が見えます。
AI Security training, taken seriously
A 2-day intensive course fully aligned with OWASP, NIST, ISO/IEC 42001, and METI. Take it as executives, practitioners, or both.
認証取得の流れ——9〜12カ月で何が起きるか
ゼロからISMS認証を取る場合、現実的な所要時間は9〜12カ月です。私が伴走した中小SIerの例では、こんなタイムラインでした。
第1〜2カ月:適用範囲決定とGAP分析 どの組織・サイト・業務を対象にするかを決めます。「全社」が望ましいと思われがちですが、初回は「東京本社の受託開発部門のみ」のように絞る方が現実的です。範囲を決めたら、現状とISO要求のギャップを洗い出します。
第3〜4カ月:リスクアセスメント 情報資産を棚卸しし、脅威と脆弱性を組み合わせてリスクを評価します。「リスクの大きさ=発生可能性×影響度」が基本式ですが、組織ごとに評価軸を決めて構いません。
第5〜6カ月:対策実装と文書化 リスク対応計画に基づいて、不足している対策を実装します。アクセス権限の棚卸し、退職者アカウントの即時削除手順、委託先選定基準の整備など、地道な作業が大半です。
第7〜8カ月:運用と記録蓄積 ISMSは「3カ月以上の運用記録」が審査の前提です。教育記録、内部監査記録、マネジメントレビュー議事録などを蓄積します。
第9〜10カ月:内部監査とマネジメントレビュー 社内で監査員資格を持つ人が、自組織のISMSを点検します。経営層が結果を確認し、改善指示を出すマネジメントレビューを実施します。
第11〜12カ月:認証審査(一次・二次) 認証機関による文書審査(一次)と現地審査(二次)を経て、合格すれば登録証が発行されます。
費用の目安は、初年度でコンサル費用150〜400万円+認証費用80〜150万円程度。会社規模により上下します。
日本企業の実装現場で本当にハマる5つの落とし穴
机上の知識だけでは突破できない、日本企業特有のつまずきポイントを5つ挙げます。
1. 適用範囲の「拡大圧力」に負ける 営業部門から「うちの部門も含めてくれ、入札で有利になる」という声がかかります。初回認証で範囲を欲張ると、運用記録が追いつかず観察事項の山になります。まずは小さく取って、来年度の拡大認証で広げるのが王道です。
2. リスクアセスメントが「点数遊び」になる 資産×脅威×脆弱性の組み合わせで何百行ものスプレッドシートを作って満足してしまうケース。重要なのは「経営が納得する優先順位付け」です。点数の付け方より、なぜこのリスクを残すと判断したか(リスク受容)の議論記録の方が、審査員にとっては価値が高い。
3. 委託先管理が「契約書集め」で止まる A.5.19〜A.5.22のサプライヤ関係コントロールは、契約書NDAだけでは不十分です。委託先のセキュリティ評価を毎年更新しているか、再委託先まで把握しているか、ここを問われます。クラウド事業者管理(A.5.23)は2022年版の新規追加で、特に注目されます。
4. 教育が「動画見せて終わり」 eラーニング受講100%は前提条件であって、教育の中身ではありません。「全社員がフィッシングメールの見分け方を実演できる」レベルまで踏み込めるかが分かれ目です。
5. 内部監査員が「同じ人」 内部監査は独立性が求められます。情シス課長が情シス課を監査するのはNG。私はこれを知らずに最初の内部監査で「不適合」を切られた現場を実際に見ました。
私はこういう現場の落とし穴を、規格の条文だけでは絶対に学べないと考えています。だからこそ研修や実装ラボの場が要る。後段のWARP SECURITYで触れる演習プログラムは、まさにここを埋めるためのものです。
AI時代に問われるISMSの「余白」——27001だけでは届かない領域
ここから先は、私が現場で強く感じている話です。ISO/IEC 27001は素晴らしい規格ですが、AI活用が一般化した現在、規格本文だけでは網羅できない領域が確実に増えました。
たとえば、社員がChatGPTに顧客リストを貼り付けてしまうリスクは、A.5.10(情報の利用許容範囲)やA.8.12(データ漏えい防止)で「対策せよ」と要求はされます。しかし、「どうやって対策するか」は規格には書かれていません。シャドーAI、プロンプトインジェクション、モデル経由の情報漏えい——これらに対応するには、ISO/IEC 27001の上に**ISO/IEC 42001(AIマネジメントシステム)**や、OWASP LLM Top 10、NIST AI RMFといった補完的なフレームワークを重ねる必要があります。
国内でもJIPDECがAIMS(AIマネジメントシステム)認証制度の運用を開始しており、27001取得済み企業の自然な次の一手として注目されています。詳しくは別記事「ISO/IEC 42001 AIMS入門」で扱います。
私の見立てとして、2026〜2027年は「ISMS取得=最低限のチケット」「AIMSや個別の脅威対応=差別化要素」という構図が定着します。先行投資できる企業ほど、グローバル取引や政府調達で優位に立ちます。
TIMEWELLの伴走——WARP SECURITYで「規格と現場の溝」を埋める
ISMSの構築・運用を進めている企業から、私たちTIMEWELLには「規格は読んだ。でも明日から何をやればいいかが分からない」という相談がよく来ます。そこで開発したのが、WARP SECURITYという2日間の集中プログラムです。
WARP SECURITYは、ISO/IEC 27001:2022の規格運用に必要な「読み解き」「リスク評価」「対策実装」を、座学ではなく演習形式で進めます。1日目は規格条文と自社業務のマッピング、2日目は実際のインシデント事例を題材にしたテーブルトップ演習という構成です。
特徴的なのは、ISO/IEC 27001だけでなく、隣接するOWASP LLM Top 10やNIST AI RMF、経済産業省の「AI事業者ガイドライン」も横断的に扱う点です。シャドーAIや生成AI利用に伴う情報漏えいといった、規格本文に書かれていないが現場で発生している脅威を、認証担当者がきちんと言語化できる状態を目指します。
私の経験上、ISMSの実装で挫折する企業の多くは「規格は分かったが、目の前のAI活用とどう接続するか」で止まります。WARP SECURITYは、その断絶を埋めるために設計しました。詳細はWARP SECURITYのご案内をご覧ください。
まとめ——「取らされる側」が押さえるべき5点
- ISMSは経営の意思決定であり、文書を作る仕事ではない。方針は経営からのラブレターと考えると腑に落ちる
- ISO/IEC 27001:2022は93コントロール・4分野構成。2022年版で11の新規コントロールが追加され、現代の脅威に対応
- 国内認証取得は8,333件超(2025年12月時点)、年間200〜300件ペースで増加中
- ゼロからの認証取得は9〜12カ月、初年度費用は300〜500万円が目安
- AI時代は27001単独では不十分。ISO/IEC 42001やOWASP LLM Top 10との重ね合わせが差別化要素になる
「ISMSを取得する」という指示を受けたら、まずは規格そのものを通読してみてください。10章までしかありません。半日で読めます。そこで自社の業務とのギャップを感じた箇所が、最初に取り組むべきテーマです。
関連記事として、ISO/IEC 27001 認証取得の完全ガイド、ISO/IEC 42001 AIMS入門、ISMAP入門も合わせてお読みください。