担当者1人、4ヶ月でISMS初回認証を取得しました（準備期間2ヶ月半）

1. はじめに

弊社では、2024 年 9 月から 2025 年 1 月の 4 ヶ月間に、ISMS のマネジメントシステム構築から初回認証審査、そして ISMS 認証の取得までたどり着きました。この記事では、弊社の ISMS 初回審査を受けるまでの流れや、弊社の取り組みについて解説します。

今回の初回認証は、コンサルを利用せず、担当者１人で自力でやってみました。中小企業や１人情シスなど、担当者が限られていることは多いかと思います。そんな場合でも、外部に頼りすぎず、ISMS の構築から運用まで内製化することも可能ですので、ぜひ参考にしてみてください。

2. ISMS 認証にチャレンジした理由

弊社の場合、創業から 3 期目とまだまだ事業規模が小さいことと、外注先との協業により事業を運営している都合上、ISMS の管理体制の構築から審査まで担当者 1 名で進めました。

認証取得の必要性を感じた理由としては、弊社がシステムコンサルティングや受託開発を提供しているなかで、顧客企業の新規事業計画のような機密情報に触れたり、契約情報や入金履歴、個人情報のような機密データを扱う機会が増えたことがきっかけです。また、弊社が企画する独自ソフトウェアも法人の業務効率化を支援するため、取り扱うデータが機密情報になるため、そのセキュリティ体制を準備する必要があります。情報の取り扱いについては、これまでの経験をもとに個別対応はしていますが、より包括的・客観的にマネジメント体制が整備するためにも、ISMS 認証取得にチャレンジしたいと考えるようになりました。

また、昨今、ランサムウェアや情報漏洩の事件も増えており、直接知っている企業のインシデントが報道されるようになったなど、セキュリティに関する事件・事故が他人事には思えなくなったこともあります。

セキュリティ事故は信用問題に繋がるため、普段のマネジメント体制を ISO の基準で準備することで、顧客からの信用獲得と、社内の自信につながります。

3. 担当者 1 人での準備することに

後述のように、社外コンサルタントに依頼することも検討しましたが、今回は利用していません。その理由は、コンサル費用が高額であり補助金の枠を超えてしまうこと、SecureNavi のような支援ツールがあること、ChatGPT のような生成 AI により調査業務を進めやすくなったことが挙げられます。

とはいえ、今回の初回認証審査を受ける決断をした 2024 年 9 月の段階では、ISMS の経験があったわけでもなく、また、国際規格 ISO/IEC 27001 や、その JIS 規格である JIS Q 27001 についても理解していない状態でした。

一定の不安があったものの、SecureNavi の説明をうけ、1 人で進めた企業が他にもあると聞けたことが、今回の初回認証審査を進めるきっかけになりました。本記事も、ISMS 初回認証審査を 1 人で受けることを検討している方の参考になりましたら幸いです。

4. ISMS とは

企業のセキュリティ対策のフレームワークにはいくつかありますが、そのなかでも網羅的なセキュリティフレームワークとして ISMS（情報セキュリティマネジメントシステム）があります。ISMS とは、情報セキュリティを管理し、リスクを適切に制御するための仕組み＝マネジメントシステムです。国際規格 ISO/IEC 27001 に基づき、情報の機密性・完全性・可用性を確保することを目的とします。リスクアセスメントを実施し、適切な管理策を導入・運用しながら、継続的な改善を行います。これにより、サイバー攻撃や情報漏洩などの脅威に対し、情報資産を安全に管理し、信頼性を向上させます。

東京都産業労働局の Web ページより引用

5. 初回認証のスケジュール

弊社が実際に ISMS 初回認証を進めたスケジュールを図にしてみました。当初、どのようなタスクがあるのか分からない状態から始め、9〜10 月の時点では先行きが見えない中で進めましたが、11 月にはペースを掴み始め、なんとか４ヶ月で完了させることができました。

6. 初回認証にかかる予算

初回認証に臨むうえで、分かりにくいのがその費用です。ここでは実際に弊社が初回認証審査を進めるうえで見積りをとった、実際の金額を記載します。

6-1. 認証機関 40 万円〜100 万円

ISMS の認証審査をうけるうえで、認証機関は必須です。認証審査では、現地に審査員が派遣され、企業の事業実態の把握からマネジメントシステムの構築の状況の確認までを行います。

企業規模や認証範囲、関連する事業所数によって認証機関側の工数も変わるため見積りは必須です。弊社の場合、担当者 1 名で事業所数も１つのみですので、認証機関の工数は最小限となりますが、見積りを取り寄せると 40 万円〜100 万円の幅がありました。

今回は ISMS-AC に所属する認証機関に絞りましたが、認証機関によっては海外の認定機関にも所属していたり、審査基準に違いがあったりするようで、それが費用にも反映されているようです。

見積りでは、以下のような点も比較・確認すると良いでしょう。

支払い方法 ・一括後払いだけでなく、一括前払いや一部前払いの場合もある実費精算 ・見積りとは別に、交通費、宿泊費が追加になる場合も維持・更新 ・初回審査の費用だけでなく、維持審査や更新審査も見ておくとよい契約内容 ・単年度契約もありますが、認証機関によって初回認証〜再認証までの 4 年間の一括契約になる場合があります。その場合は途中で認証機関を変える場合の中途解約条件も確認すると良いでしょう。

現在、2025 年 10 月 31 日期限となる ISO/IEC 27001:2022 への移行のため、ISMS 取得企業各社が期限前に改訂版への移行対応を進めています。そのため、審査員のキャパシティの都合上、対応できない認証機関もある点に留意する必要があります。 ISMS の改訂とは ISO/IEC 27001 は定期的に改訂が行われており、これまで 2013 年（ISO/IEC 27001:2013）、2022 年（ISO/IEC 27001:2022）に改訂されています。ISO/IEC 27001 の改訂にともない、JIS Q 27001 も改訂されるため、2023 年 9 月に JIS Q 27001 が 9 年ぶりに改訂されました。

ISMS 適合性評価制度 ISO/IEC 27001:2022 への対応について(更新版)
認証の移行期限は 2025 年 10 月 31 日（改訂版発行月の末日から 3 年）
※期間内に改訂版への移行を行わない場合、現行版の ISMS 認証は失効となります。

6-2. ISMS コンサル 60 万円〜

ISMS 認証取得を支援するコンサルティング会社も複数存在します。初回認証審査では、ISO で定められたフレームワークへの理解が乏しいため、このようなコンサルティング会社に依頼をして、運用体制を構築していくのも有用です。

ただし、それなりの費用がかかることと、外部に任せてしまうことで ISMS に対する理解が乏しいまま進んでしまうことに対する懸念もあり、今回は採用を見送りました。後述する SecureNavi を利用できたことも、コンサルティングを利用しないことの判断につながったと思います。

参考として、弊社で検討した懸念とメリットを記載します。知見者の協力を得られるメリットはありますので、状況に応じて採用可否は変わってくると思います。

コンサルタントに任せることの懸念

• ISMS の理解が浅いまま進むことで、マネジメントシステムがブラックボックス化してしまう
• それにより、ISMS の形骸化、経費の増加、マネジメントシステムが育たない可能性
• 理解が浅いことで本来不要な仕組みを導入してしまう不安
• ISMS には詳しいかもしれないが、IT やセキュリティの最新トレンドに対しては知見がない可能性への不安

コンサルタントに任せるメリット

• ISMS 取得にかかる作業時間の削減
• 社内メンバーだけでは不足する知識、人員の補強

6-3. SecureNavi 40 万円（初期費用＋４ヶ月分）

SecureNaviは、ISMS における SmartHR のようなものです。 セキュリティマネジメント体制を構築するためのタスク管理や、文書管理を支援してくれます。SecureNavi の手順に沿って進めるだけでも、ある程度の体制構築ができます。

ただし、画一化された役所手続きを効率化した SmartHR はと違って、ISMS は企業の事業実態によって考え方や運用方法が様々で複雑です。そのため、SmartHR ほど簡単に進めることができない点は理解しておく必要があります。

とはいえ、基本的な手続きや最低限の必要文書はありますので、とにかく早く体制構築に着手するうえでは有用だと感じています。

6-4. 品川区の ISO 支援補助金 60 万円

今回、ISMS の初回認証を受けるに当たり、品川区のISO 認証取得支援という補助金を利用させていただきました。これは、品川区の事業者に対して ISO の新規認証取得にかかる費用について、その 3 分の 2、最大 60 万円まで補助していただけるものです。（令和 6 年度時点）

ISO の認証を受けることで、経営のレベルを上げることができたり、新規取引先の開拓につながりますが、新規取得はハードルが高いものです。このような補助を受けることで、新規取得のハードルが下がれば、チャレンジしたい企業は多いのではないでしょうか。少なくとも弊社は、この補助金のお陰で新規取得の決断をすることができました。

品川区以外にも、様々な地域で同様の補助金が提供されているようです。ここでは、参考として東京都 23 区内の主な ISO 認証補助を掲載します。（2025 年 3 月 13 日時点）補助金には募集時期や期限がありますので、実際に利用される際には各自治体などにお問い合わせください。

• 品川区 ISO 認証取得支援
• 港区 ISO 等取得支援事業補助金
• 目黒区 国際規格（ISO）取得支援事業
• 世田谷区 ＩＳＯ・環境認証等活用促進補助金（補助金）
• 荒川区 ISO 認証等取得補助
• 練馬区 各種認証等の取得支援事業
• 足立区 ISO 認証取得助成金
• 江戸川区 ISO 認証取得、エコアクション 21 認証取得、プライバシーマーク認定取得助成金

7. 認証機関の選定

認証機関は、ISMS 認証の審査を担当する機関です。初回認証に向けて、どの認証機関に審査をしてもらうかを選ばないとなりませんが、料金だけで選定するだけでなく、どの認定機関に所属しているかも気にしておくと良いでしょう。

認定機関とは認証機関を審査し、その能力を認定する機関です。認証機関が適切な手続きを実施し、適正な認証業務を行っているかを評価・監督します。

日本では、JIPDEC（一般財団法人 日本情報経済社会推進協会）が運営する ISMS-AC（ISMS 認証機関認定センター）が有名で、JAB や JSA といった認定機関も存在します。海外では、アメリカの ANAB（ANSI National Accreditation Board）、イギリスの UKAS（United Kingdom Accreditation Service）が代表的です。

審査を担当する認証機関は、少なくとも１つの認定機関に属しており、認証機関によって複数の認定機関に属している場合もあります。

一般企業にとって、最終的には外部から見たときの印象の違いになると思いますが、国内展開企業であれば ISMS-AC 所属の認定機関を選択するのが無難なようですし、海外展開を見据える場合は ANAB や UKAS といった海外の認定機関も考慮にいれると良いでしょう。

認証機関とは企業や組織の ISMS が国際標準（ISO/IEC 27001 など）に適合しているかを審査し、認証を発行する機関です。

ISMS-AC に所属する認証機関はリンク先から一覧を確認することができます。（2025 年 3 月時点で 27 社）相見積りを請求するうえで、この一覧が有用だと思います。
ISMS 認証機関一覧

また、ISMS だけでなく、将来 ISMS クラウドセキュリティの取得も検討するようであれば、初回認証の際に ISMS クラウドセキュリティの対応が可能な認証機関に相談するのが良いでしょう。
ISMS クラウドセキュリティ認証機関一覧

弊社では、ISMS-AC の所属先のうち、補助金の都合上、年度内に審査に協力いただくことができ、料金や契約内容についてもバランスの良かったアイエムジェー審査登録センター株式会社に依頼しました。

8. SecureNavi で初心者が引っかかるポイント

SecureNavi は、ISMS 認証の自動化・効率化を謳っていますが、ユーザーとしてはどうしても引っかかる部分がありました。ツールをある程度使い、ヘルプメニューやサポートも確認したものの、どうしても気になるポイントがありました。

もちろん、ISMS に必要な手続きの大半を効率化し、ある文書に変更があった場合に、関連する文書に変更反映するうえでは有用な機能も多分にありますし、それらの機能によるメリットも享受しています。

ここでは SecureNavi に対するケチをつけるというよりも、よりスムーズに進めるうえでのポイントを記載しています。

8-1. メニューが理解しづらい

SecureNavi を利用していて、つまずくのがこの部分でした。

ISMS の審査準備を進めるうえでのタスク管理表があり、その順番に手続を進めていくうえでは進めやすいと感じました。しかし作業が進むに連れて、過去に見たページをもう一度見たかったり、とある設定をしたい場合にその設定画面に行きたいというような場合に、期待するページに直感的に辿り着くことができず、管理画面のメニューを１つ１つ見ていかないと行きたい画面にたどり着けないことが何度もありました。

特に審査当日の審査員とのやりとりの中で、スムーズに文書にたどり着けないことがあったのは悩ましかったです。

SecureNavi を使いこなすうえでは、管理画面に頼りすぎず、Spreadsheet やエクセルで作業内容や設定管理をしておく必要があると思います。

8-2. ISO/IEC 27001 の理解不足による悩み

SecureNavi では「ガイドに沿って進めていくだけで、認証取得の準備が完了」と謳っていますが、ISO/IEC 27001 を解説しているわけではありませんので、ISO/IEC 27001 の理解が必要です。

これはあるべき論ではなく、ISMS の審査自体が ISO/IEC 27001 への適合性を判断しているわけで、SecureNavi も ISO/IEC 27001 に準拠して作られています。そのため、ISO/IEC 27001 を理解しておくことが、SecureNavi の理解にも繋がります。

実際、ISO/IEC 27001 に対する知識がゼロの状態から始めましたが、SecureNavi を利用するうえで引っかかったポイントは、SecureNavi のサポートで解消された部分も一部あったものの、最終的には ISO/IEC 27001 の理解が必要でした。特に第一段階審査で、ISO の理解が足りないことにより、審査員の確認しているポイントを理解できなかったときは流石にマズいと感じました。

なお、ISO/IEC 27001 の体系や詳細を理解するうえで、特別に書籍を購入する必要はないと考えています。その理由は、以下のような有用なサイトがあり、ISO/IEC 27001 の詳細な解説を無償で確認できるからです。これを利用することで、ISMS の準備を十分に進めることができました。

情報セキュリティ関連規定（サンプル）

東京都産業労働局 令和５年度中⼩企業サイバーセキュリティ対策継続支援事業 （サマリー）

第 7 章、第 9 章、第 11 章を中心に、具体的な解説や文書例があります。ISMS の審査準備に直結する内容がありますので役に立ちました。また、他の章もセキュリティの学習コンテンツとして非常にまとまっており、有用です。

• 第 7 章. セキュリティフレームワーク
• 第 9 章. 管理策のテーマと属性
• 第 11 章. リスクマネジメント

8-3. 実運用に必要な資料は別途準備が必要

SecureNavi は、「Excel・Word による数十種類のファイル作成がゼロに」と謳っていますが、これは ISMS の認証審査に必要な最低限の書類の話であることは認識しておくべきです。マーケティング・メッセージを鵜呑みにして、ISMS の体制構築が SecureNavi のみで完結すると考えてはなりません。

特に情報資産とそのリスクを洗い出し、リスク対応を決めていくうえで、具体的な運用手順や管理表が必要です。これらの手順書や管理表は、企業の実態に応じて個別に準備する必要があります。

9. 最後に

弊社では、ISO/IEC 27001 の知識がない状態から、担当者１名で約４ヶ月で ISMS 認証取得まで進めることができました。準備や審査の中でスムーズに行ったところもあれば、知識がなかったことにより引っかかったポイントもあります。当記事では、弊社が認証取得を進めるうえで気づいたことや、引っかかったポイントを記録し、同様に担当者１名で初めて ISMS 認証の取得に挑戦する方の参考になりましたら幸いです。

また、Re-Build ではシステムコンサルからシステム開発までご提供しています。今回の SecureNavi を利用した ISMS 認証も弊社実績がございますので、お困りの際にはぜひご相談ください。

一般的な ISMS コンサルタントとは違い、基本的な内容は SecureNavi に任せ、企業ごとの状況に応じた対応の検討・運用開発のご支援をいたします。基本的な内容を SecureNavi に任せることで、コンサルティング費用の最適化ができ、システムやセキュリティの最新トレンドを踏まえた独自運用の開発支援が可能です。

お問い合わせはこちら