「情報セキュリティ対策をちゃんとやっているつもりだけど、どこまでやれば十分なのか分からない」——情シス担当者からこうした声をよく聞きます。クラウドサービスの急増、テレワークの定着、そしてサイバー攻撃の高度化が重なる中、情報セキュリティの範囲と優先順位を整理するのは年々難しくなっています。

この記事では、情報セキュリティの定義・CIA三要素・主要な脅威・対策の全体像・国際標準（ISMS）・SaaS時代における管理の考え方まで、中堅企業の情シス担当者が知っておくべき基礎知識を網羅的に解説します。

情報セキュリティとは何か（定義・3要素）

情報セキュリティの定義

情報セキュリティとは、組織が保有する情報資産を、さまざまなリスクから守るための取り組みの総称です。国際規格 ISO/IEC 27001 では、情報セキュリティを「情報の機密性・完全性・可用性を維持すること」と定義しています。

よく混同されるのがサイバーセキュリティとの違いです。

情報セキュリティはサイバーセキュリティよりも広い概念であり、紙の書類の管理や退職者の鍵返却なども含まれます。

CIA三要素：情報セキュリティの根幹

情報セキュリティはCIA三要素と呼ばれる3つの特性を維持することが基本です。

3つのバランスが崩れると問題が生じます。たとえばアクセス制限を厳しくしすぎると機密性は高まりますが可用性が下がります。自社の業務要件に合わせてバランスを取ることが重要です。

情報資産とは何か

情報資産とは、組織にとって価値ある情報のすべてを指します。

• デジタル資産: 顧客データ、設計書、財務情報、SaaSのアカウント情報
• 物理資産: 紙の書類、サーバー機器、USBドライブ
• 人的資産: 社員が持つ知識・スキル・権限

情シス担当者としては、「どこに何の情報資産があるか」を把握する情報資産台帳の整備が出発点です。

参考: IPAセキュリティ用語辞典 | 独立行政法人情報処理推進機構

参考: ISO/IEC 27001 情報セキュリティマネジメントシステム | 日本規格協会

なぜ企業の情報セキュリティが重要なのか

事業への直接的なダメージ

情報セキュリティインシデントが発生すると、企業が受けるダメージは多岐にわたります。

法規制の強化が進んでいる

情報セキュリティを強化しなければならない背景には、法規制の強化があります。

• 個人情報保護法（改正）: 漏洩時の報告義務、外国への第三者提供規制の厳格化
• J-SOX法（金融商品取引法）: 上場企業向けのIT統制、アクセスログ管理の義務化
• サプライチェーンセキュリティ: 取引先企業への情報セキュリティ要件の課題化が増加
• NISC・経産省のガイドライン: 中小・中堅企業向けセキュリティ対策ガイドラインの整備

中堅企業でも「取引先から情報セキュリティに関する質問書への回答を求められた」という事例は増えており、対策は経営上の必須事項になっています。

サプライチェーンリスクの高まり

大企業はセキュリティ対策が進んでいる一方、攻撃者は取引先の中堅・中小企業を踏み台にして大企業へ侵入する手口を多用しています。自社を守ることが取引先を守ることにもつながります。

参考: 個人情報保護委員会 | 個人情報保護法について

参考: IPA 情報セキュリティ白書 | 独立行政法人情報処理推進機構

企業が直面する主要な情報セキュリティの脅威

IPA「情報セキュリティ10大脅威 2025」から見る最新動向

IPAが毎年発表する「情報セキュリティ10大脅威」（2025年版・組織向け）では、以下が上位に挙げられています。

中堅企業が特に警戒すべき3つの脅威

1. 内部不正・アカウントの不正利用

退職した社員のアカウントが削除されていない、過剰な権限を持つアカウントが放置されている——これは中堅企業でよく見られるリスクです。特にSaaSが増えるほど、退職者アカウントの削除漏れが発生しやすくなります。

2. フィッシング・ソーシャルエンジニアリング

巧妙化したフィッシングメールや、電話・SNSを通じた詐欺的な情報収集が増加しています。技術的な対策だけでなく、従業員の判断力を高めるセキュリティ教育が必要です。

3. クラウド・SaaSの設定ミス

多くの企業がSaaSを導入する中、設定ミスによる情報公開や、野良SaaS（シャドーIT）の利用によるデータ漏洩リスクが高まっています。

参考: 情報セキュリティ10大脅威 2025 | IPA

参考: サイバー攻撃被害に係る情報の共有・公表ガイダンス | NISC

情報セキュリティ対策の全体像（技術・人・組織）

情報セキュリティ対策は「技術的対策」「人的対策」「組織的対策」の3層で考えるのが基本です。どれか1つでは不十分で、3つを組み合わせることで多層防御が実現します。

技術的対策

人的対策

• セキュリティ教育・訓練: 全従業員向けの定期的なeラーニング、フィッシング模擬訓練
• 誓約書・ポリシー周知: 入社時・退社時のセキュリティポリシー同意
• 内部不正防止: 異常なデータアクセスの検知、権限の定期見直し

組織的対策

• 情報セキュリティポリシーの策定: 全社的な行動基準を文書化
• インシデント対応手順（CSIRT）の整備: 発生時の役割・連絡フローを事前に確立
• リスクアセスメント: 定期的なリスクの特定・評価・対応計画の更新
• サプライチェーン管理: 取引先のセキュリティ要件の確認と契約への反映

情シス1〜3名体制での現実的な優先順位

参考: 中小企業の情報セキュリティ対策ガイドライン | IPA

参考: ゼロトラストセキュリティモデル | NIST SP800-207

情報セキュリティ管理の国際標準（ISMS・ISO27001）

ISMSとは

ISMS（Information Security Management System：情報セキュリティマネジメントシステム）とは、組織が情報セキュリティを継続的に管理・改善するための仕組みです。「一度対策すれば終わり」ではなく、PDCAサイクルを回し続けることが前提です。

ISO/IEC 27001 の基本

ISO/IEC 27001 は、ISMSの要求事項を定めた国際規格です。この規格に基づいた認証を取得することで、「組織として情報セキュリティ管理の仕組みが整っていること」を第三者機関が証明します。

ISMSで管理する主な管理策

ISO/IEC 27001:2022 の付属書Aには93の管理策が定義されています。主なカテゴリは以下のとおりです。

• 組織的管理策: 情報セキュリティポリシー、役割と責任、サプライヤー関係
• 人的管理策: 採用時のスクリーニング、教育・訓練、退職時の手続き
• 物理的管理策: 物理的なセキュリティ境界、クリアデスク・クリアスクリーン
• 技術的管理策: アクセス制御、マルウェア対策、バックアップ、ログ監視

認証取得を検討するタイミング

中堅企業でISMS認証取得を検討すべきタイミングの例です。

• 大企業との取引開始にあたり、ISMS認証を要件とされた
• 官公庁・自治体案件への入札要件としてISMS認証が求められた
• 顧客データを大量に扱うサービスを開始する予定がある

取得に向けては、情報資産の洗い出し→リスクアセスメント→管理策の適用→内部監査→審査、というプロセスを踏みます。情シス担当者だけでなく、経営層と各部門の責任者を巻き込むことが不可欠です。

参考: ISMS認証制度 | JIPDEC

参考: ISO/IEC 27001:2022 概要 | ISO

参考: ISMSユーザーズガイド | JIPDEC

SaaS時代の情報セキュリティ：ジョーシスが担う役割

SaaS管理が情報セキュリティの新たな課題になっている

クラウドサービスの普及により、企業が利用するSaaSの種類は年々増加しています。しかしその増加スピードに、情シス担当者のアカウント管理が追いつかないという問題が起きています。

ジョーシスが解決すること

Josys（ジョーシス）は、SaaS管理・アカウント管理・入退社自動化を提供するSaaSプラットフォームです。情シス1〜3名体制の中堅企業が、セキュリティリスクを下げながら業務効率を上げるための機能を提供しています。

SaaSアカウントの一元管理

社内で利用しているSaaSの種類を一覧で把握し、誰がどのSaaSのアカウントを持っているかを可視化します。不要なアカウントや過剰な権限を素早く特定できます。

入退社時の自動化

入社時：人事システムと連携し、必要なSaaSアカウントを自動発行。

退社時：退職者のSaaSアカウントを自動的に停止・削除し、削除漏れによる情報漏洩リスクを排除します。

アクセス権の棚卸し支援

定期的なアクセス権見直しをワークフロー化し、各部門責任者にレビューを依頼・回収するプロセスを効率化します。

情報セキュリティ対策としての位置づけ

JosysはISMS管理策のうち、特に以下の管理策の実装を支援します。

• アクセス制御（A.8.2〜A.8.5）: アカウントの発行・削除・権限管理の自動化
• 人的資源セキュリティ（A.6.1〜A.6.5）: 入退社時のアクセス管理手続きの体系化
• IT資産管理（A.8.1）: SaaSアセットの一覧管理と棚卸しの仕組み化

情シス担当者が本来集中すべきセキュリティ設計や戦略的な業務に時間を使えるよう、定型的なアカウント管理業務を自動化します。

参考: Josys公式サイト | SaaS・デバイス管理プラットフォーム

参考: SaaS管理の課題と解決策 | Josysブログ

まとめ

• 情報セキュリティはCIA三要素（機密性・完全性・可用性）を維持する取り組みであり、サイバーセキュリティより広い概念。物理的・人的脅威も含めて管理する必要がある。
• 企業の情報セキュリティは、事業継続・法規制対応・取引先からの信頼確保の観点で不可欠。個人情報保護法やJ-SOXへの対応も情シス担当者の重要な役割となっている。
• 対策は技術・人・組織の3層で設計する。人員が限られる中堅企業では、MFA導入・退職者アカウントの即時削除・バックアップ整備を優先的に実施することが効果的。
• ISMS（ISO/IEC 27001）は情報セキュリティ管理の国際標準。取引先要件・入札要件として求められるケースも増えており、PDCAサイクルでの継続的改善が求められる。
• SaaS時代においては、増え続けるアカウントの一元管理が新たなセキュリティ課題。Josysのようなプラットフォームを活用することで、入退社時の自動化・アクセス権棚卸しを効率化し、情報セキュリティレベルを高められる。