ISMS認証とISMAPの違いとは?
ここではISMS認証とISMAPの違いをわかりやすく解説します。どちらも情報セキュリティに関する認証制度ですが、それぞれの特性や違いを理解してしまえば区別するのは簡単です。ぜひ参考にしてください。
ISMS認証とは
ISMS認証とは「Information Security Management System」の略称。情報セキュリティマネジメントシステムに関する国際規格であり、第三者機関が基準を満たしていることを認証する制度です。
組織の情報資産を保護し、リスクを管理するための体系的な枠組みであり、認証を取得することで、組織の情報セキュリティレベルの高さを客観的に示せます。
主な特徴は、情報漏洩の防止やシステム障害へのリスク軽減などを目的としていることです。そのため、個人情報や機密情報を扱う金融機関、医療機関などではISMSの導入が必須といえるでしょう。また、インターネットに繋がる全ての組織では、情報資産を保護する効果的な手段のひとつになります。
ISMAPとは
ISMAPは「Information system Security Management and Assessment Program」の略称。政府情報システムのためのセキュリティ評価制度で、政府がクラウドサービスを導入する際、政府が求めるセキュリティ水準を満たし、信頼できるサービスを選定できるように令和3年から始まった制度です。
また、ISMAPは政府のクラウド化に重要な制度というだけでなく、政府機関へのサービス提供に関心のある組織にとっても、登録を検討すべき制度です。ISMAPに登録することで、政府機関という顧客を獲得できる可能性が広がるでしょう。
ISMAPとISMS認証の違いとは
さまざまな種類があるセキュリティ認証の中でも、よく似た名称で混同しやすいISMAPとISMS認証。どちらも情報セキュリティには重要なものですが、その目的や対象、審査の内容などに違いがあります。
ここからは、ISMS認証とISMAPの違いについて、目的や評価基準、費用などを比較しながら解説します。
目的と対象の違い
ISMAPの目的は、政府機関がクラウドサービスを調達する際の、セキュリティレベルに関する評価制度。従って、対象となるのは、主にクラウドサービスを提供する事業者です。
しかし、ISMS認証は、国際規格に基づき、組織全体の情報セキュリティレベルを継続的に改善していくための仕組みづくりを目的としています。そのため、対象となるのは、ISMAPのようなクラウドサービス事業者だけでなく、インターネットに繋がる、あらゆる組織が対象となります。
認証・評価機関
ISMAPは、監査法人(ISMAP監査機関)による監査が行われます。政府機関が求める厳しい基準を満たすクラウドサービスを評価し登録されます。
一方、ISMS認証は、国際規格であるISO/IEC 27001に基づき、組織の情報セキュリティマネジメントシステムが適切に構築・運用されているかを第三者機関(ISMS認証機関)が審査し、合格することで認証を取得できます。
有効期限
ISMAPの有効期限は、登録の対象となった監査期間の末日の翌日から1年4ヶ月後までとなっており、有効期限までに登録の更新を申請する必要があります。加えて、実質的に毎年更新審査があるため、継続的なセキュリティ対策が必要です。
ISMS認証の有効期限は、初回審査の登録判定の翌日を登録日として3年。有効期限が到来する3〜4ヶ月前に更新審査を受けることで、認証期限を3年間延長することができます。再認証審査までの間、毎年維持審査を受ける必要があることから、ISMAPと同様に継続的なセキュリティ対策が求められます。
基準
ISMAPでは、ISMAP評価基準に基づいて第三者機関がセキュリティ対策の実施状況などを審査します。この評価基準は、政府が定めた詳細なセキュリティ基準であり、事業者はこの基準に基づいてセキュリティ対策を実施する必要があります。
一方、ISMS認証では、ISO/IEC27001などの国際規格を基準に、第三者機関がISMSの構築や運用状況を審査します。ISMS認証を取得するためには、この規格の要求事項を満たす必要があり、継続的な改善のほか、情報セキュリティマネジメントの全般的な事項を規定しています。
監査・審査費用
ISMS認証の費用は企業の規模や従業員数、対象とする業務範囲によって異なりますが、数十万~数百万円程度とされています。企業規模が大きくなると費用も増える傾向にあります。
ISMAPの監査費用は、数百万円から数千万円と非常に高額です。特に大規模なクラウドサービスを提供する企業にとっては、審査のための費用が大きな負担となることがあります。しかし、この費用を負担することにより、政府機関との取引において大きな利点を得ることができるため、クラウド事業者にとっては重要な投資といえるでしょう。
ISMAPとISMS認証の共通点とは
ISMS認証とISMAPは、それぞれ別の仕組みのため完全に代替することはできません。しかし、どちらも情報セキュリティに関する仕組みであるため共通点もあります。ここからは、ISMS認証とISMAPの共通点について解説します。
情報セキュリティ管理の重視
どちらも組織の情報資産の機密性、完全性を確保することを目的としています。つまり、情報漏洩や不正アクセス、システム障害などから、組織の情報資産を保護するため、情報セキュリティ管理を重視する対策が求められているのが共通点です。
文書化された管理体制
ISMS認証とISMAPの両方とも、情報セキュリティ対策を文書化して明確に管理することを求めています。これにはセキュリティ対策の方針や手順書を作成し、それを実際の業務で適用することも含まれます。文書化された管理体制は、外部監査を受ける際にも重要で、組織が定めたルールに従いセキュリティ対策を行っていることを証明するものでもあります。
継続的な改善
継続的な改善は、ISMAPとISMS認証に共通する重要な要素です。技術の進歩や新たな脅威の出現、関連する法規制の変更など、情報セキュリティを取り巻く環境は常に変化しています。情報セキュリティレベルを常に高い水準に維持するためには、継続的な改善が欠かせません。
ISMS認証とISMAPはどちらを行うべき?
ISMS認証とISMAPは、どちらも情報セキュリティのリスクを考える際に役立つものですが、どちらを優先的に導入すべきかは、組織の状況や目的によって異なります。
例えば、政府機関との取引を目指している場合や、公共入札への参加を考えているクラウドサービス提供者にとっては、ISMAPが有用といえるでしょう。一方で、一般企業との取引や社内の情報セキュリティ体制を強化するために、広く国際的に認知された信頼性を示したい場合には、ISMS認証が適していると言えるかもしれません。
もしも、情報セキュリティの専門家やコンサルティング会社に相談するのも一つの手です。組織の状況や目的に合う、最適な認証制度の選定や導入支援により、効率的な認証取得を進められるでしょう。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。