ISMSの国際規格であるISO27001は、情報セキュリティ方針の策定、リスクアセスメント、管理策の選定、教育訓練、内部監査、是正処置・継続的改善などの要件を体系的に定めています。ISO27001規格への準拠により、企業・組織における外部攻撃・内部不正、災害など多様な脅威に対し、計画的かつ継続的に対応する体制の構築が可能です。

関連記事：ISO27001の要求事項一覧｜構造や各項目を体系的に解説

情報セキュリティ確保におけるISMSの必要性

昨今ではサイバー攻撃の高度化、内部不正、自然災害など、情報資産を脅かすリスクが年々増大しており、単発的な技術対策だけでは場当たり的な対応に終始するため対応が後手になりかねません。

ISMSはリスクアセスメントを通じて脅威を特定し、管理策の計画的な実施により、情報の「機密性」「完全性」「可用性」を企業・組織全体で担保する体制を構築します。また、国際規格ISO27001に基づくISMSの導入は、認証機関による第三者審査による客観的な評価により、取引先・顧客に対する信頼性の証明にも寄与します。ISMSは、情報セキュリティの確保を通じて事業継続性と社会的信用を支える、国際的に認められた有効な枠組みです。

情報セキュリティ目的

情報セキュリティ目的は、情報資産を適切に保護するとともに、機密性・完全性・可用性の確保が不可欠です。企業・組織は、リスクを把握し適切な管理策を講じ、従業員教育および体制整備を継続的に実施しながら、事業の安定と信頼性を維持します。以下では、情報セキュリティ目的の基策定方法、および重要な考慮点について解説します。

情報セキュリティの3要素「CIA」

情報セキュリティの基本的な考え方は「CIA」と呼ばれる「機密性・完全性・可用性」の3要素に集約されます。機密性（Confidentiality）とは、許可された者のみが情報にアクセスできる状態を意味します。暗号化およびアクセス権限管理、認証システムの導入などが機密性に関わる基本的な対策です。

完全性（Integrity）は、情報が改ざんされず正確かつ完全な状態を維持する概念です。データの改ざん検知システム、バージョン管理、チェックサムなどが用いられます。

可用性（Availability）は、必要なときに情報・システムを利用できる状態の維持を指します。障害発生時にも機能を維持するためのシステム冗長化、障害対応計画、定期的なバックアップなどが肝要です。

これら3つの要素は相互に影響し合い、いずれかを軽視すると他の要素にも悪影響を及ぼします。企業・組織はリスクアセスメントに基づき、CIAのバランスを最適化して維持することが不可欠です。

情報セキュリティの方向性

情報セキュリティの方向性とは、企業・組織が情報資産をどのように守り、維持していくかを示す基本的な考え方です。以下の項目について、基本方針を策定します。

項目	内容	目的
保護対象の明確化	情報資産（顧客データ、知的財産、業務システムなど）を洗い出し、重要度を分類する	重点的に保護すべき資産を特定し、効率的な対策を実施する
リスク許容度の設定	発生し得るリスクに対して、組織が受容可能な水準を定める	過度なコスト投入を防ぎ、現実的なセキュリティ水準を維持する
管理策の選定	技術的・人的・物理的な対策をバランス良く導入する	CIA（機密性・完全性・可用性）を維持・確保する
継続的改善	PDCAサイクルに基づき、監査・見直し・改善を行う	環境変化や新たな脅威に対応し、セキュリティ水準を高める
教育・啓発	全従業員に対し情報セキュリティ教育を実施する	内部不正やヒューマンエラーを防止抑止し、組織全体の意識を向上させる

情報セキュリティの方向性を決定すれば、保護対象の明確化およびリスク許容度の設定、重要度に応じた管理策により、効率的かつ実効性のある対策の実施が可能になります。従業員の教育、管理体制の継続的改善を通じて、企業・組織全体でセキュリティ意識を高め、持続的にリスクへ対応する体制の整備が肝要です。

リスクアセスメントに基づく目的設定の枠組み

リスクアセスメントに基づく目的設定は、ISMSの運用において不可欠です。まず適用範囲を特定し、保護すべき情報資産を明確化し、対応方針を策定します。

ISMSの適用範囲を特定
脅威と脆弱性の洗い出し
リスク評価（発生確率×影響度）
対応方針の決定（リスク処理）
リスク及び機会に基づく目標設定

実現可能で測定可能な目標を定めるには、リスクアセスメントに基づく目的設定の枠組みとしてSMARTの原則を用います。SMARTの原則とは、実効性の高い目標を設定するための基準を示したフレームワークです。

具体的（Specific）、測定可能（Measurable）、達成可能（Achievable）、関連性がある（Relevant）、期限が明確（Time-bound）の5要素から成り立つ目的を設定します。SMARTの原則に沿う目的の設定は、曖昧さを排して進捗管理・成果評価を容易にし、企業・組織全体における取り組みの実効性向上に寄与します。

情報セキュリティ目的の具体例

情報セキュリティ目的は、企業・組織の業種および事業特性によって重点が異なります。たとえば、製造業では知的財産の保護、医療機関では患者情報の安全管理、IT企業ではシステム稼働率の確保などです。以下では、分野ごとの具体例を紹介します。

技術的対策に関する目的例

情報セキュリティ目的のうち、技術的対策に関する例は以下のとおりです。

分野	技術的対策に関する例
製造業	設計データ・生産管理システムへの不正アクセスを防ぐため、アクセス制御を強化し、年2回の脆弱性診断を実施する
医療機関	電子カルテや医療情報システムの稼働率を年間99.9％以上に維持し、データ暗号化を徹底する
金融業	顧客情報システムに多要素認証を導入し、サイバー攻撃検知システムで24時間監視を行う
IT企業	クラウド環境のセキュリティログを毎日自動収集・分析し、重大インシデントは24時間以内に対応する
小売業	POSシステムのセキュリティ更新を四半期ごとに実施し、クレジットカード情報の外部漏えいゼロを目標とする

アクセス管理・データ保護に関する目的例

情報セキュリティ目的のうち、アクセス管理・データ保護に関する例は以下のとおりです。

分野	アクセス管理に関する例	データ保護に関する例
製造業	設計図面や生産システムへのアクセス権限を四半期ごとに見直し、不要な権限を削除する	設計データを暗号化し、バックアップを毎日取得して別拠点に保管する
医療機関	電子カルテへのアクセスを職種別に制限し、アクセスログを毎週監査する	患者情報を暗号化して保存し、外部送信時には必ず匿名化を行う
金融業	顧客情報システムに多要素認証を導入し、すべての端末で定期的なパスワード更新を実施する	取引データをリアルタイムでバックアップし、改ざん検知システムで監視する
IT企業	社内システムへのVPN経由アクセスを義務化し、アクセスログを自動で保存・分析する	クラウド上の顧客データをAES256で暗号化し、週次でリストアテストを実施する
小売業	POSシステムの利用権限を店舗責任者と担当者に限定し、退職者のアカウントを即時停止する	顧客の購買データを匿名化したうえで分析し、個人情報は暗号化して保管する

インシデント対応に関する目的例

情報セキュリティ目的のうち、インシデント対応に関する例は以下のとおりです。

分野	インシデント対応に関する例
製造業	生産システムにセキュリティインシデントが発生した場合、2時間以内に一次対応を開始し、24時間以内に原因を特定する
医療機関	電子カルテ関連の障害や情報漏えいインシデント発生時は、1時間以内に院内関係部署へ報告し、72時間以内に外部機関へ届け出る
金融業	サイバー攻撃検知時には30分以内にSOCへエスカレーションし、重大インシデントは48時間以内に是正処置を完了する
IT企業	クラウドサービスに関する障害が発生した場合、1時間以内に顧客へ一次報告を行い、原因分析と対策を5営業日以内に提示する
小売業	POSシステムの不正利用や障害発生時には即時に利用停止措置をとり、24時間以内に復旧計画を策定する

教育・啓発に関する目的例

情報セキュリティ目的のうち、教育・啓発に関する例は以下のとおりです。

分野	教育・啓発に関する例
製造業	全従業員を対象に、知的財産保護や標的型攻撃メール対策に関する研修を年1回実施し、受講率100％を達成する
医療機関	医師・看護師・事務職員ごとに役割に応じた個人情報保護研修を実施し、全職員の理解度テストで80点以上を目標とする
金融業	年2回のセキュリティ演習（フィッシングメール訓練を含む）を実施し、クリック率を前年より20％削減する
IT企業	新入社員に入社時セキュリティ教育を必須化し、さらに全社員にeラーニングを通じて年1回の理解度テストを行う
小売業	店舗スタッフ向けに、顧客データ取扱いルールとPOS操作時の注意事項に関する研修を年1回実施する

継続性・バックアップに関する目的例

情報セキュリティ目的のうち、継続性・バックアップに関する例は以下のとおりです。

分野	継続性・バックアップに関する例
製造業	生産管理システムのデータを毎日バックアップし、週1回はオフサイト環境に保管して災害時の復旧時間を24時間以内にする
医療機関	電子カルテデータをリアルタイムで冗長化し、システム障害時も患者情報を30分以内に参照可能とする
金融業	取引データを1時間ごとにバックアップし、災害発生時のRPO（目標復旧時点）を2時間以内、RTO（目標復旧時間）を4時間以内に設定する
IT企業	クラウドサービスの全顧客データを毎日自動バックアップし、四半期ごとにリストアテストを実施して復旧率100％を維持する
小売業	POSシステムの販売データを毎日閉店後にバックアップし、障害発生時には翌営業開始までに復旧できる体制を整備する

情報セキュリティの継続的改善を促すには

情報セキュリティ目的のうち、情報セキュリティの継続的改善を促すための例は以下のとおりです。

分野	継続的改善に関する例
製造業	年1回の外部監査を通じて指摘事項を必ず改善し、改善率100％を達成する
医療機関	半期ごとにセキュリティポリシーを見直し、法規制やガイドラインの改訂を反映させる
金融業	年2回のペネトレーションテストを実施し、検出された脆弱性は1カ月以内に対応完了する
IT企業	インシデント発生時の対応プロセスを毎回レビューし、翌月までに手順書へ反映させる
小売業	年1回、POSシステムを含む店舗システムのリスクアセスメントを実施し、改善計画を策定する

PDCAサイクルを活用した改善プロセスの確立

情報セキュリティ目的のうち、PDCAサイクルを活用した改善プロセスの確立に関する例は以下のとおりです。

分野	PDCAサイクル活用に関する例
製造業	年1回の情報セキュリティ監査を実施し、Planでの指摘事項を必ず翌期のDoフェーズに反映する
医療機関	半期ごとに患者情報管理のPDCAレビューを行い、Checkでの不備は1カ月以内にActフェーズで改善する
金融業	年2回のリスクアセスメントをPlanに位置づけ、検出されたリスクをDoで対策、Checkで効果測定し、3カ月以内に改善策を実施する
IT企業	セキュリティインシデント対応の手順をPDCAに組み込み、対応後のCheck結果を必ずマニュアルへ反映（Act）する
小売業	POSシステムのセキュリティ運用を四半期ごとにPDCAで回し、改善策の実施率100％を維持する

内部監査・マネジメントレビューを通じた評価体制

情報セキュリティ目的のうち、内部監査・マネジメントレビューを通じた評価体制に関する目標例は以下のとおりです。

分野	内部監査・マネジメントレビューに関する例
製造業	年1回の内部監査を実施し、全拠点の遵守状況を確認。指摘事項は3カ月以内に是正する
医療機関	半期ごとにマネジメントレビューを行い、患者情報保護に関する改善計画を毎回策定する
金融業	年2回の内部監査を実施し、重大な不適合ゼロを目標とし、軽微な指摘も1カ月以内に対応する
IT企業	四半期ごとにマネジメントレビューを実施し、インシデント対応プロセスの有効性を評価・改善する
小売業	店舗システムを対象に年1回の内部監査を実施し、POSデータ保護体制を見直して改善率100％を維持する

是正処置・予防処置によるリスク低減の強化

情報セキュリティ目的のうち、是正処置・予防処置によるリスク低減の強化に関する目標例は以下のとおりです。

分野	是正処置・予防処置に関する例
製造業	内部監査で発見された不適合について、重大案件は2週間以内、軽微案件は1か月以内に是正処置を完了する
医療機関	電子カルテに関連するセキュリティインシデントの再発防止策を1か月以内に策定し、予防策を全職員へ周知徹底する
金融業	サイバー攻撃に関する脆弱性が発見された場合、是正パッチを48時間以内に適用し、予防策として定期的な脆弱性診断を年2回実施する
IT企業	クラウドサービス障害の根本原因を分析し、同様の障害を防ぐための改善策を5営業日以内に手順書へ反映する
小売業	POSシステムで不正利用が発覚した場合、是正処置を直ちに実施し、予防策として全店舗で月次監査を導入する

これらはあくまで一例であり、企業・組織のリスク要因に基づいた目的の設定が不可欠です。業種・分野によっても目的は異なる可能性があるため、リスクアセスメントの実施も含めて目的設定後も有効性を精査する必要があります。

総括

本記事では、情報セキュリティ目的具体例、ISO 27001をはじめとする規格との整合性、そして継続的改善の重要性について解説しました。情報資産を守るためには、分野ごとの特性を踏まえた目的設定と、PDCAサイクルを通じた見直しが不可欠です。自社のリスク状況に応じた適切な目的を策定し、実効性のある運用を継続しながら、信頼性の高いセキュリティ体制を構築する必要があります。