株式会社TIMEWELLの濱本 隆太です。
「Stage 1審査まで2週間。あとは何をすれば」——認証取得の伴走をしていると、必ず聞かれる質問です。前段のISMS入門(ISMSとは何か)で全体像を扱いましたが、この記事では実際の認証取得プロセスの各工程で何が起き、どこで現場が転ぶかを、できるだけ具体的に書きます。
ISO/IEC 27001:2022は、ISO/IEC 27001:2013からの移行期限が2025年10月31日に終了し、現在の新規取得は全て2022年版が前提となっています(参照:JIPDEC)。本記事は2026年5月時点の運用前提でまとめます。
認証審査の全体像——3年サイクルで何が起きるか
ISO/IEC 27001の認証は3年サイクルです。初年度に新規認証取得、2年目と3年目はサーベイランス(維持審査)、3年目末に更新審査を受け、また3年サイクルが回ります。
| 年度 | 審査の種類 | 内容 | 工数(中規模企業) |
|---|---|---|---|
| 1年目 | 新規認証審査(Stage 1+2) | 文書審査と現地審査 | 審査員3〜5人日 |
| 2年目 | サーベイランス審査 | 一部の管理策とPDCA運用確認 | 審査員2〜3人日 |
| 3年目 | サーベイランス+更新審査 | 全管理策の再評価 | 審査員3〜4人日 |
初年度のStage 1とStage 2の間隔は通常1〜3カ月。Stage 1で指摘された軽微な事項を修正してStage 2に臨むのが王道です。
「とりあえず認証が取れれば後は楽」と思っている経営者をたまに見かけますが、実態は逆です。取得した後の3年サイクルこそ本番で、サーベイランスで重大な指摘を受けると認証の一時停止や取り消しに発展します。私が見てきた現場でも、2年目のサーベイランスで「教育記録が初年度しか残っていない」と指摘されてヒヤッとした例があります。
Stage 1審査——文書審査で見られる5つのポイント
Stage 1審査は文書審査が中心です。審査員はオフィスに来ることもあれば、リモート実施もあります。所要時間は半日〜1日。ここで重点的に確認されるのは以下の5点です。
1. ISMS適用範囲の妥当性 適用範囲文書に、対象となる組織・サイト・業務・情報資産が明記されているか。「○○株式会社における受託開発事業」のように、第三者が読んで境界が明確に分かる記述が必要です。
2. 情報セキュリティ方針の整合性 方針が経営トップの署名入りで承認されているか。ビジネス上の課題と方針内容が連動しているか。テンプレート転用がバレるのはこの工程です。
3. リスクアセスメント手順と適用宣言書 リスクアセスメントの方法論が文書化されているか。適用宣言書(SoA:Statement of Applicability)でAnnex Aの93コントロールそれぞれについて「適用する/しない、しない場合の理由」が明示されているか。SoAは認証審査で最も重要な文書の一つです。
4. リスク対応計画 評価したリスクに対してどう対応するか(受容・低減・移転・回避)の計画が明文化されているか。
5. 内部監査とマネジメントレビューの実施記録 Stage 1の段階で、少なくとも1回の内部監査と1回のマネジメントレビューが実施済みであることが要求されます。これを忘れて駆け込みで実施し、形式だけ整える企業がありますが、議事録の質で見抜かれます。
私が現場でよく見るのは、SoAの「適用しない理由」が雑なケースです。たとえばA.6.7(リモートワーク)に対して「該当業務なし」とだけ書いてある。これでは「リモートワーク禁止の社内規程はあるか」「実態として在宅勤務者はゼロか」を問われた瞬間に詰みます。
AI Security training, taken seriously
A 2-day intensive course fully aligned with OWASP, NIST, ISO/IEC 42001, and METI. Take it as executives, practitioners, or both.
Stage 2審査——現地で何を見られるか
Stage 2は現地審査(最近はハイブリッドも多い)で、所要時間は2〜4日。審査員は次の流れで進めます。
初日:オープニングミーティング+トップマネジメントインタビュー 審査計画の確認と、経営トップへの直接インタビュー。「あなたの会社にとって最大の情報セキュリティリスクは何か」「ISMS運用にいくらの予算を投じているか」など、経営者の本気度を測る質問が飛びます。代表取締役が当日不在で代理者対応にした企業が、Stage 2でやり直しになった事例を知っています。
中日:部門ヒアリングと現場確認 情シス、人事、総務、開発、営業など、適用範囲に含まれる各部門へのインタビュー。同時に、サーバルームや書庫の入退室記録、PCのスクリーンロック設定、廃棄文書の処分状況などを実地確認します。
最終日:是正処置の事前確認とクロージング 不適合や観察事項のドラフトを審査チーム内でまとめ、被審査側にフィードバックします。クロージングミーティングで正式な指摘事項が伝えられます。
Stage 2で典型的に出る指摘パターンを5つ挙げます。
- 教育の網羅性不足:新入社員教育は実施しているが、中途採用者・派遣社員・委託先常駐者の受講記録がない
- アクセス権限の棚卸し未実施:退職者アカウントが削除されないまま残っている
- マネジメントレビューの形骸化:議事録に「異議なし」と書いてあるだけで、経営判断の痕跡がない
- 委託先評価の不在:契約書はあるが、年次でのセキュリティ評価が実施されていない
- 記録の改ざん疑惑:教育記録のExcelに更新履歴が残っており、駆け込みで作成されたことが見える
サーベイランスと更新審査——「取って終わり」が一番危険
認証取得後の3年サイクルで、現場の運用が試されます。
サーベイランス(維持審査)は年1回、認証範囲の一部を重点的に確認します。審査員は前回の指摘事項のフォローアップ、新たに発生したインシデントへの対応、コントロールの一部抜き取り検査を行います。初年度に「観察事項」で済んだ箇所が、サーベイランスで未対応のままだと「不適合」に格上げされるパターンが多発します。
更新審査(3年目)は新規認証審査に近いボリュームで、全コントロールの再評価が行われます。3年間の運用記録がすべて見られるため、書類が散逸している企業は地獄を見ます。私はこの「3年目地獄」を避けるために、初年度から記録管理のディレクトリ構造とファイル命名規則を厳格に運用することを推奨します。
サーベイランスで実際にあった重大不適合の例:
- リスクアセスメントを初年度から更新していない(A.6.1.2違反)
- 内部監査員が情シス課長で、自部門を監査していた(独立性の欠如)
- マネジメントレビューを2年連続未実施(5.3違反)
いずれも認証の一時停止リスクに直結します。
認証費用と工数のリアル——中規模企業のケーススタディ
「結局いくらかかるのか」が経営層の最大の関心事です。中規模企業(従業員200〜500人、適用範囲50人程度)の典型例を示します。
初年度総費用:380〜600万円
| 項目 | 金額(目安) |
|---|---|
| コンサルティング費用 | 200〜350万円 |
| 認証機関費用(Stage 1+Stage 2+登録料) | 120〜180万円 |
| 社内工数(情シス担当者0.5人月×6カ月) | 60〜100万円相当 |
2年目以降の維持費用:年間100〜180万円
| 項目 | 金額(目安) |
|---|---|
| 認証機関費用(サーベイランス) | 60〜100万円 |
| 社内工数(運用維持) | 40〜80万円相当 |
これ以外に、教育コンテンツの内製化や、外部研修への参加費用、内部監査員資格取得(CISA、ISMS審査員補など)の費用が積み上がります。
私の経験上、「コンサル費を削って自力でやる」と決めた企業の半数以上が、Stage 1直前に駆け込みコンサル依頼を入れてきます。最初から手練れの伴走者と組む方が、結果的に総コストは安くなる。これは情シス部門に同情するつもりで書いているのではなく、純粋に経済合理性の話です。
TIMEWELLのWARP SECURITYで「認証準備の最後の壁」を越える
ここまで読んで「Stage 2のインタビュー対策が一番不安」と感じた読者は多いはず。実際、私たちTIMEWELLへの相談の中で最も多いのが、「文書は揃った。でも現場ヒアリングで経営層が答えに詰まらないか心配」という声です。
WARP SECURITYは、認証準備のラスト2カ月にフィットする実装ラボ型プログラムです。座学と演習を組み合わせて、以下のような実務直結のスキルを2日間で詰め込みます。
- 適用宣言書(SoA)の正しい書き方——93コントロールそれぞれについて、「適用しない」を堂々と言える根拠の組み立て方
- マネジメントレビューの台本作り——経営層が30分のレビューで「次の四半期の優先施策」を意思決定できる議事進行
- Stage 2インタビュー想定問答——審査員が実際に聞く質問パターン20選を、自社に当てはめて回答練習
- AI利用が絡む新コントロールの解釈——A.5.23(クラウドサービス利用)やA.8.28(セキュアコーディング)にChatGPT等の生成AIをどう位置づけるか
特に最後の点は、私が一番伝えたいテーマです。ISO/IEC 27001:2022は2022年に確定した規格なので、ChatGPTの普及前の前提で書かれています。条文をそのまま読むだけでは、現代のAIリスクに対応する解釈が出てきません。WARP SECURITYでは、規格条文と現代のAI脅威の橋渡しを、ハンズオン形式で訓練します。
詳細とお申し込みはWARP SECURITYのご案内からご確認ください。
まとめ——認証取得を「終わり」ではなく「始まり」にする
- ISO/IEC 27001の認証は3年サイクル運用。初年度(Stage 1+Stage 2)よりも、サーベイランスと更新審査の方が現場の力量を問われる
- Stage 1で重点的に見られるのは、適用範囲・方針・リスクアセスメント・SoA・内部監査記録の5点。テンプレート転用は審査員に見抜かれる
- Stage 2の現地審査では、経営トップへの直接インタビューと部門ヒアリングが核。代理者対応は避ける
- 初年度総費用は中規模企業で380〜600万円、維持費用は年100〜180万円が目安
- 2022年版の新規コントロール(A.5.7、A.5.23、A.8.11、A.8.12、A.8.23、A.8.28など)は現代のAI/クラウド時代の解釈を要する
私は、認証取得を「ゴール」ではなく「組織のセキュリティ運用が世界基準に追いつくスタート地点」と位置づけたい。3年目の更新審査で「初年度より中身が薄くなった」と言われる企業と、「現場の運用が規格を上回っている」と評価される企業の差は、最初の半年の覚悟で決まります。
関連記事として、ISMS入門、ISO/IEC 42001 AIMS入門、ISMAP入門もぜひ。