2025.05.27

【テンプレ付き】中小企業のためのISMS認証取得ガイド Part 1 ～年間計画策定からリスクアセスメントまで～

はじめに ISMS年間計画情報セキュリティに関する年間目標の設定情報セキュリティ基本方針の見直し組織体制の構築内部の課題、外部の課題を整理内部の課題外部の課題リスクアセスメント

はじめに

情報セキュリティ体制の構築は、あらゆる企業にとって喫緊の課題となっています。特に中堅・中小企業においては、体系的な情報セキュリティ対策の整備が十分に進んでいない現状が見受けられます。その背景には、情報システムの構築に対する心理的なハードルの高さや、対応できる人的リソースの不足といった要因が挙げられます。

今回は、ISMS（情報セキュリティマネジメントシステム）の認証取得を目指す企業に向けて、どのようにして情報セキュリティ体制を構築し、運用に繋げていくかについて解説いたします。

ISMSの取得は、対外的な信頼性向上といった効果がある一方、筆者はその枠組みを活用したPDCA運用の構築自体が最も重要であると考えます。ISMSという優れたフレームワークを活用することで、効果的な情報セキュリティ体制が自然と整っていくことが理想的です。

^{※本記事で紹介しているテンプレートや記載例は、ISMS認証取得を確実にするものではございません。}

ISMS年間計画

情報セキュリティ体制を継続的に維持・改善していくためには、計画的な取り組みが不可欠です。ISMS年間計画を策定することで、組織全体としてのセキュリティ目標を明確にし、各種施策を体系的かつ着実に実行することが可能となります。逆に、計画が存在しない場合は、対応が場当たり的になり、翌年度に向けた評価や改善が困難になります。そのため、計画は新年度が始まる前月までに策定し、スムーズな運用開始に備えることが望まれます。

以下がISMS年間計画における対応事項の例です。

情報セキュリティに関する年間目標の設定
情報セキュリティ基本方針の見直し
組織体制の構築（情報セキュリティ委員会メンバーの力量と任命など）
組織図作成
内部の課題、外部の課題を整理
資産の洗い出し、およびリスクアセスメントの実施スケジュール
情報セキュリティ教育の実施スケジュール
その他規程類や関連文書の見直し（例：情報セキュリティ手順書、外部委託管理表、インシデント対応手順書等）^※
リスク対応計画の策定
事業継続計画（BCP）の見直し、策定
内部監査の実施予定
トップマネジメントレビュー（経営層によるレビュー）
是正処置ならびに改善活動の実施スケジュール
審査スケジュール（外部審査、文書審査、是正対応含む）

^{※文書管理においては、見直し日・バージョン管理を適切に行い、たとえ内容に変更がない場合であっても「レビュー済み」であることを記録することで、ISMS審査における指摘を受けにくくなります。また、ISMS認証取得を目指す場合は、「適用宣言書」や「ISMSマニュアル」等も含めることが推奨されます。これらの文書については、別記事にて解説予定です。}

これらを以下のように管理し、PDCAサイクルを実践することで、情報セキュリティマネジメントの実効性が高まります。スケジュールは、Excel や Google スプレッドシートなどを使って簡易的にWBS形式で管理すれば十分です。特別な管理ツールを導入する必要はありません。

項番	対応事項	開始日	終了日
1	情報セキュリティに関する年間目標の設定	2025/04/01	2025/04/10
2	情報セキュリティ基本方針の見直し	2025/04/01	2025/04/10
3	組織体制の構築（情報セキュリティ委員会メンバーの任命など）	2025/04/01	2025/04/25
4	組織図作成	2025/04/01	2025/04/10
5	情報セキュリティ教育の実施スケジュール	2025/04/10	2025/04/20
6	内部課題ならびに外部課題の整理	2025/04/21	2025/05/10
7	資産の洗い出し、およびリスクアセスメントの実施スケジュール	2025/04/25	2025/05/31
8	その他規程類や関連文書の見直し	2025/05/15	2025/07/15
9	リスク対応計画の策定	2025/06/20	2025/07/10
10	事業継続計画（BCP）の見直し・策定	2025/07/15	2025/08/10
11	内部監査の実施予定	2025/09/01	2025/09/10
12	トップマネジメントレビュー（経営層レビュー）	2025/10/01	2025/10/08
13	是正処置ならびに改善活動の実施スケジュール	2025/10/10	2025/10/31
14	ISMS審査	2025/11/11	2025/11/14
15	ISMS是正処置	2025/11/17	2025/11/28
16	トップマネジメントレビュー（2回目）	2025/12/01	2025/12/05

続いて、それぞれの対応事項について解説していきます。

情報セキュリティに関する年間目標の設定

年間計画を策定後、実際にISMSを運用する上で、まず取り組むべき事項の一つが「年間目標の設定」です。これまでの運用において未解決の課題や、近年顕在化している外部要因による脅威を踏まえ、適切な目標を設定することが求められます。

年間目標は単なるスローガンではなく、具体的な改善活動や対策を導く起点となるものであり、PDCAサイクルを確実に機能させるための出発点でもあります。内部課題・外部課題の整理やリスクアセスメントの結果を考慮しながら、組織の実情に即した実効性のある目標を策定しましょう。

「年間目標の記載例」サンプル

「年間目標の記載例」をダウンロード（.xlsx）

情報セキュリティ基本方針の見直し

情報セキュリティ基本方針は、組織が情報セキュリティに対してどのような姿勢・考え方を持っているかを対外的に示す文書です。昨今のサイバー攻撃の高度化や、社会的要請の変化を踏まえると、この方針が果たす役割は非常に大きなものになっています。

すでに基本方針を制定している場合でも、少なくとも年に1回は内容を見直すことが推奨されます。特に、企業理念や経営方針の変更があった場合には、基本方針との整合性を図るため、バージョン管理を伴った修正が必要です。

方針を整備していない場合は、以下を参考に自社の実態に即した形で作成を進めていくとよいでしょう。

「情報セキュリティ基本方針の記載例」をダウンロード（.docx）

組織体制の構築

情報セキュリティ体制の整備にあたっては、組織内の役割と責任を明確にし、適切な体制を構築することが重要です。限られた人員の中でも、担当者の知識や経験、いわゆる「力量」に基づき、役割を適切に割り振ることが、ISMS運用の実効性を高めます。

力量とは、担当業務に必要な知識・スキル・経験を総合的に判断するものであり、教育履歴や業務実績、保有資格などをもとに確認・文書化することが求められます。その後の内部監査や外部審査でもこの力量証明は重要な評価対象となります。

加えて、ISMSの適用範囲を明確にするため、組織図や拠点図（フロアレイアウト等）を準備しておくとスムーズです。特に物理的セキュリティ対策を適用する箇所には視覚的な表示があると望ましいです。

「力量の記載例」サンプル

「力量の記載例」をダウンロード（.xlsx）

「ISMS組織体制図の記載例」サンプル

「ISMS組織体制図の記載例」をダウンロード（.xlsx）

内部の課題、外部の課題を整理

ISMSにおける「組織の状況の理解」では、組織が直面する内部と外部の課題を明確にし、情報セキュリティ活動に反映させることが求められます。この取り組みは、ISMS取得の有無に関わらず、組織のセキュリティレベルを高めるうえで有効です。

内部の課題

内部の課題とは、組織内部に起因する情報セキュリティ上のリスクや問題点を指します。これらの課題を明確にすることで、ISMSの適用範囲や対策の優先順位を適切に設定することが可能となります。それぞれの課題に対する認識と、責任と役割の分離をするうえでも、内部の課題を洗い出すことは重要です。

内部の課題には以下のようなものが挙げられます。

潜在的なリスク洗い出しの未実施

情報セキュリティ対策をするにあたってのリスクと、その優先順位付けができていない

情報セキュリティ体制やルールの未整備

明確なセキュリティポリシーや手順が存在しない、または従業員に周知されていない

従業員のセキュリティリテラシーの不足

情報セキュリティに関する教育や訓練が不十分で、意識が低い

業務の属人化

特定の個人に業務が依存しており、標準化やマニュアル化が進んでいない

ITインフラの老朽化

システムやネットワーク機器が古く、セキュリティ上の脆弱性が存在する

社内システムの不安定さ

システムのダウンタイムが多く、業務に支障をきたしている

外部の課題

外部の課題とは、組織の外部環境に起因する情報セキュリティ上のリスクや問題点を指します。これらの課題を把握し、対応策を検討することが、ISMSの有効性を高める上で重要です。

外部の課題には以下のようなものが挙げられます。

法令やガイドラインの変更への対応

個人情報保護法やGDPRなど、関連法規の改正に迅速に対応する必要がある

取引先からのセキュリティ対策要請

取引先からのISMS認証取得やセキュリティ対策の実施要請の増加

社会的な変化への対応

リモートワークの普及やクラウドサービスの利用拡大など、社会的な変化にともなうセキュリティリスクへの対応

地政学的な要因に対する影響

地政学的な影響を持つ攻撃の増加にともなうセキュリティリスクへの対応

リスクアセスメント

内部および外部の課題を明確にし、セキュリティ体制の構築や運用に反映させることは、情報セキュリティの維持・向上に不可欠です（ISMS取得を目指すのであればな猶更です）。これらの課題を定期的に見直し、組織の目的や環境の変化に応じて対応策を更新することが、効果的な情報セキュリティマネジメントにつながります。

実は以前紹介している「リスクアセスメント」ですが、前述の内部課題と外部課題に絡めてリスクを洗い出す方針にしていくと楽かもしれません。

例）取引先からのセキュリティ対策要請

機密性（Confidentiality）：取引先の情報漏えいや誤った情報共有により、信用を失うリスク
完全性（Integrity）：契約や業務データが改ざんされ、信頼性に影響するリスク
可用性（Availability）：サイバー攻撃や障害による業務停止で、納期や連携に支障が出るリスク
その他（信頼・取引継続）：セキュリティ対策不備により、取引停止・受注機会喪失といった重大なビジネス損失につながるリスク

「内部課題・外部課題の記載例」サンプル

「内部課題・外部課題の記載例」をダウンロード（.xlsx）

まとめ

本稿では、ISMSにおける年間計画の策定から、運用目標の設定、体制構築、課題整理とリスクアセスメントまで、導入初期に求められる要素を整理しました。

ISMSは形の決まった制度ではなく、各組織の実情に応じて柔軟に構築・運用できる枠組みです。まずは無理のない計画と文書整備から着手し、段階的なセキュリティ強化を図ることが推奨されます。

次回は、リスク対応計画や監査スケジュール、是正処置など、PDCA後半フェーズに関連するトピックを取り上げてまいります。

執筆者

髙橋拓実

セキュリティ商材のプリセールス、社内システムエンジニアとしてのセキュリティ対策主幹業務を経て、ペネトレーションテスターや脆弱性診断士として従事。現在は、情報セキュリティスペシャリストとして、ITサービスの企画立案、コンサルティング対応、診断業務を行う。ISMSの認証取得支援にも携わり、セキュリティ分野で幅広い業務を担当。GIAC GWAPT、CEH、CHFIなどの専門資格を保持し、セキュリティ分野における高い専門性を証明。また、会議や商談において英語での会議通訳などの対応も執り行う。

リスクアセスメント（RA）と内部監査（CA）

MSSPが語る、中堅・中小企業を取り巻く環境と対策