ISO27001（ISO/IEC 27001）は、情報セキュリティマネジメントシステム（ISMS）の国際規格です。認証取得は組織の信頼性を内外に示す手段となり、取引先や顧客からの要求事項としても増えています。情シス部門にとっては、規格が要求する管理策の多くを実装する責任があり、認証取得・維持の中核を担う立場です。

しかし、現場では「規格の管理策が抽象的でどう実装すればいいかわからない」「IT管理として何をすべきか整理されていない」「監査で何が問われるか不明」といった声が頻発します。ISO27001のAnnex Aには93の管理策が列挙されており、リスクアセスメントに基づいて自社に必要なものを選定します。IT管理に直接関わる項目を絞り込み、実装のポイントを押さえれば、認証取得は十分に実現可能です。

ISO27001のIT管理に関する主要な管理策、認証取得の5ステップ、IT資産管理・アクセス制御・運用セキュリティの実装ポイント、SaaS時代の論点、情シス部門が陥りやすい落とし穴を解説します。情シス部門で認証取得プロジェクトを担当する現場担当者、ISMS事務局、内部統制の責任者を主な対象とした内容です。

ISO27001とは｜IT管理の観点からの基本

ISO27001は、組織が情報資産を適切に保護するためのマネジメントシステムを構築・運用するための国際規格です。現行版はISO/IEC 27001:2022で、Annex Aで定める管理策が93項目に整理されています（2024年に追補1が発行済み）。情報の機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）の3要素（CIA）を維持することを目的としています。

ISMSの構成は、PDCAサイクル（Plan-Do-Check-Act）を基盤とし、情報セキュリティ方針の策定、リスクアセスメント、管理策の実装、内部監査、マネジメントレビューといった要素から構成されます。情シス部門は、Annex Aの管理策のうちIT管理に直結する項目（アクセス制御、運用セキュリティ、通信セキュリティ、システム取得・開発・保守、サプライヤ関係など）の実装を主導します。

ISO27001の認証を取得することで、次のメリットが得られます。

• 取引先・顧客からの信頼獲得：BtoB契約での要求事項に対応
• 内部統制の強化：情報セキュリティ管理の標準化
• インシデント発生リスクの低減：管理策実装による予防効果
• 監査対応の効率化：体系化された証跡が監査要件に対応
• グループ会社や海外拠点との共通基盤：規格による国際的整合

認証取得には、第三者認証機関による審査を受け、初回認証取得後は年1回のサーベイランス審査、3年ごとの更新審査が必要です。維持管理を継続的に行うことが、認証の前提条件となります。

ISO27001でIT管理に直結する主要な管理策

Annex Aの93管理策は、組織管理（37）、人的管理（8）、物理管理（14）、技術管理（34）の4分類で構成されます。IT管理に直結するのは「技術管理」と「組織管理」の一部で、これらの実装が情シス部門の責任範囲となります。

アクセス制御（A.5.15、A.5.16、A.5.17、A.5.18）

ユーザーアクセスのプロビジョニング、認証情報の管理、権限の最小化、定期的なアクセスレビュー、特権アクセスの制限が要求されます。IDaaS、SSO、多要素認証、SCIM連携、IGAといった仕組みで実装します。

利用者の責任とアカウント管理（A.5.16、A.5.17、A.6.1〜A.6.8）

入社・異動・退職時のアカウント払い出し・更新・削除、利用規程、職務分掌、機密保持契約、教育訓練といった項目です。人事システムとIDaaSの連携、SaaS管理プラットフォームによる自動化が、現代的な実装の中心です。

暗号化（A.8.24）

伝送中・保管中のデータ暗号化、暗号鍵管理、デジタル署名の運用が要求されます。HTTPS、TLS、ファイル暗号化、ディスク暗号化、PKI基盤などで対応します。

物理的・環境的セキュリティ（A.7.1〜A.7.14）

入退室管理、設備のセキュリティ、機器の安全な廃棄、リモートワーク環境のセキュリティといった項目です。MDMによるリモートワイプ、データ消去証明書、入退室管理システムなどで実装します。

技術的管理策（A.8）

変更管理、バックアップ、ログ記録、マルウェア対策、技術的脆弱性管理、ネットワークセキュリティ、容量管理、システム監視といった広範な項目です。SIEM、EDR、脆弱性管理ツール、構成管理データベース（CMDB）などで実装します。

サプライヤ関係（A.5.19〜A.5.23）

ITベンダー、SaaSベンダー、外部委託先のセキュリティ管理が要求されます。SaaS選定時の評価、契約条項、定期的な評価、インシデント発生時の連携体制が含まれます。

ISO27001認証取得の5ステップ

ISO27001の認証取得プロジェクトは、計画から認証取得までに9〜18カ月を要するのが一般的です。情シス部門は5ステップのうち複数で中心的な役割を担います。

ステップ1：プロジェクト計画とスコープ定義

ISMS構築の対象範囲（組織、業務、システム）を決定し、推進体制、スケジュール、予算、外部コンサル活用の有無を計画します。情シス部門は対象システムの一覧化、IT管理体制の現状把握を担当します。

ステップ2：リスクアセスメント実施

組織が保有する情報資産を一覧化し、機密性・完全性・可用性の観点で脅威・脆弱性・影響度を評価します。情シス部門は、IT資産（PC、サーバー、ネットワーク機器、SaaS、データベース）の棚卸しと評価を主導します。

ステップ3：管理策の選定と実装

リスクアセスメント結果に基づき、Annex Aの93管理策から自社に必要なものを選定し、実装計画を策定します。情シス部門は、IT管理に関わる管理策（アクセス制御、ログ管理、暗号化、運用セキュリティなど）の実装を担当します。

ステップ4：運用と内部監査

策定したISMSを実際に運用し、3〜6カ月の運用実績を蓄積します。並行して内部監査を実施し、運用状況とギャップを評価します。情シス部門は、IT管理の運用状況の証跡（ログ、レビュー記録、インシデント対応記録）を確実に取得します。

ステップ5：認証審査

第三者認証機関による審査（第1段階：書類審査、第2段階：実地審査）を受審し、認証取得を実現します。指摘事項があれば是正し、継続的な改善を実施します。認証取得後は、年1回のサーベイランス、3年ごとの更新審査が続きます。

IT資産管理が果たす役割

ISO27001の管理策で頻繁に参照されるのが、IT資産管理です。情報資産の特定と評価、所有者と管理者の明確化、ライフサイクル管理が要求され、情シス部門の中核業務となります。

情報資産の一覧化と分類

組織が保有する情報資産（ハードウェア、ソフトウェア、データ、SaaS）を網羅的に一覧化し、機密性レベル別に分類します。Excel管理では半年で陳腐化するため、IT資産管理ツールやSaaS管理プラットフォームによる自動収集が必須です。

資産の所有者と管理者

各資産に対し、所有者（ビジネスオーナー）と管理者（情シス部門）を明確化します。誰が何に責任を持つかが文書化され、監査時に提示できる状態を整えます。

ライフサイクル管理

調達、配備、利用、保守、廃棄の各フェーズで管理策を適用します。廃棄時のデータ消去、廃棄証明書の取得、退職者デバイスの回収、SaaSアカウントの削除といった具体的な手順を整備します。

棚卸しの定期実施

少なくとも年1回の棚卸しを実施し、台帳と現物の整合性を確認します。差異の是正措置と記録が、監査時の証跡となります。

アクセス制御の実装ポイント

アクセス制御はISO27001で最も重視される管理策の1つで、SaaS時代の課題が集中する領域でもあります。次のポイントを押さえることで、認証取得と業務効率化が両立します。

IDaaSによる統合認証

組織内のシステム・SaaSへのアクセスをIDaaS（Microsoft Entra ID、Okta、Google Workspaceなど）で統合します。SAML/OIDC連携により、シングルサインオンと多要素認証を全システムで標準化します。

多要素認証の徹底

パスワード単独では不十分なため、多要素認証（MFA）を全アクセスで必須化します。スマートフォンアプリ、ハードウェアトークン、生体認証など複数の方式を組み合わせ、リスクベースで適用します。

最小権限の原則

ユーザーには業務に必要な最小限のアクセス権限のみを付与し、特権アカウントは厳密に管理します。職務分掌の徹底、定期的なアクセスレビュー、特権アクセス管理（PAM）ツールの活用が標準解です。

ライフサイクル自動化

入社・異動・退職時のアカウント自動払い出し・更新・削除を、人事システムとIDaaS、SaaS管理プラットフォームの連動で実現します。手動運用では退職者残存アカウントが発生し、重大な統制違反となります。

アクセスレビューの定期実施

四半期または半期ごとにアクセス権限を見直し、不要な権限を整理します。ビジネスオーナー、情シス、内部監査の三者でレビューする運用が望ましいです。

SaaS時代のISO27001論点

SaaSの利用拡大により、ISO27001の実装には新たな論点が加わっています。これらを認識した上で、管理策を設計してください。

サプライヤとしてのSaaSベンダー管理

SaaSベンダーはサプライヤに該当し、A.5.19〜A.5.23の管理策が適用されます。SaaS選定時のセキュリティ評価、契約条項、定期的な評価、インシデント時の連携体制を整備します。SaaSが取得している第三者認証・監査報告・政府系評価制度（ISO27001、SOC 2 Type II、ISMAP等）の有無も評価項目となります。

シャドーITの統制

情シス部門の関与なく現場部門がSaaSを契約するシャドーITは、ISO27001の管理対象に入らない盲点となります。SaaS管理プラットフォームによる自動検出、経理データとの突合、新規契約承認フローの整備で対処します。

データの保管場所と転送

SaaSのデータが海外サーバーに保管される場合、データ主権、GDPR、APPI（個人情報保護法）への対応が論点となります。リスクアセスメント時にデータの保管場所と転送経路を明確化します。

SaaS設定のセキュリティ

SaaSの初期設定が不十分だと、設定ミスによる情報漏えいが発生します。SSPM（SaaS Security Posture Management）ツールによる設定監視、CISベンチマークなどを活用したベースライン設定が推奨されます。

ISO27001関連の用語集

ISO27001と社内コミュニケーションで頻出する用語を整理します。

• ISMS（Information Security Management System）：情報セキュリティマネジメントシステム
• ISO/IEC 27001：ISMSの国際規格
• ISO/IEC 27002：ISMSの実装ガイド
• ISO/IEC 27017：クラウドサービス向けセキュリティ管理策
• ISO/IEC 27018：クラウド事業者の個人情報保護
• Annex A：ISO27001の管理策一覧
• CIA：機密性・完全性・可用性
• リスクアセスメント：脅威・脆弱性・影響度の評価
• 残留リスク：管理策実施後に残るリスク
• 適用宣言書（SoA）：選定した管理策の一覧
• 内部監査：組織内で実施する監査
• サーベイランス審査：年1回の維持審査
• 更新審査：3年ごとの再認証審査
• ISMAP：政府情報システムのためのクラウドサービスのセキュリティ評価制度（ISMAP）
• SOC 2：米国公認会計士協会（AICPA）のTrust Services Criteriaに基づくサービス組織の内部統制に関する報告書

参考：IT用語辞典 e-Words

ジョーシスでISO27001のIT管理を効率化する

ISO27001のIT管理項目を効率的に実装したい情シス部門には、Josysが現実的な選択肢になります。Josysは、SaaS、デバイス、アカウントを統合管理するAI駆動型アイデンティティガバナンスプラットフォームで、ISO27001の管理策のうちアクセス制御、IT資産管理、サプライヤ管理、アクセスレビューといった主要項目を効率的に実装できます。

国内外700社以上の導入実績があり、事例によっては、IT工数を最大50%、ITコストを最大75%削減した報告もあります。350以上のSaaSアプリと連携し、人事システム、IDaaS、MDMとの統合運用で、ISO27001の管理策実装と運用証跡の自動取得を支援します。監査対応工数の削減に貢献した事例もあり、認証取得・維持の負荷軽減を支援します。

Josysの製品概要を5分で理解する資料をダウンロードする

Josysの無料デモを予約して、自社の課題に合うかを確認する

よくある質問（FAQ）

ISO27001のIT管理実務でよく寄せられる質問にお答えします。

Q1：ISO27001の認証取得には何カ月かかりますか

組織規模、現状の管理レベル、外部コンサル活用の有無により異なりますが、9〜18カ月が一般的です。中堅企業で初めての取得であれば12カ月程度を見込むケースが多く、一定期間の運用実績を蓄積してから審査受審するのが一般的です。

Q2：ISO27001とPマーク、SOC 2の違いは何ですか

ISO27001は情報セキュリティ全般のマネジメントシステム、Pマークは個人情報保護に特化した日本独自の認証、SOC 2は米国公認会計士協会（AICPA）のTrust Services Criteriaに基づくサービス組織の内部統制に関する報告書です。BtoB取引が多い組織はISO27001、個人情報を多く扱う組織はPマーク、米国顧客が多い組織はSOC 2を優先する傾向があります。

Q3：管理策93項目すべてを実装する必要がありますか

リスクアセスメントの結果、自社にとって不要と判断した管理策は適用宣言書（SoA）で除外できます。ただし、IT管理に関わる主要管理策（アクセス制御、ログ管理、暗号化、サプライヤ管理など）は、ほとんどの組織で必要となります。

Q4：SaaS時代に特に注意すべき管理策は何ですか

サプライヤ関係（A.5.19〜A.5.23）、アクセス制御（A.5.15〜A.5.18）、ID管理（A.5.16〜A.5.17）、ログ管理（A.8.15〜A.8.16）が特に重要です。SaaS管理プラットフォームの活用が、これらの管理策の効率的実装に不可欠です。

Q5：認証取得後の維持管理で重要なことは何ですか

PDCAサイクルを継続的に回すこと、リスクアセスメントを年1回見直すこと、内部監査を年1回以上実施すること、運用記録（ログ、レビュー、インシデント対応）を確実に保管することが基本です。サーベイランス審査と更新審査に向けた継続的な準備が必要です。

まとめ

ISO27001のIT管理は、適切なツールと運用体制を整えることで、効率的に実装できます。ここまで紹介した管理策、5ステップの認証取得プロセス、SaaS時代の論点を起点に、自社の認証取得・維持を進めてください。SaaSとデバイス、アカウントを横断管理したい中堅・準大企業の情シス部門には、Josysが現実的な選択肢となります。