【実録】4ヶ月でISMS取得!ツール活用と審査機関選定のポイント

お知らせ

はじめに

この記事では、完全リモートワークの当社が、2025年7月下旬から約4ヶ月間でISMS(情報セキュリティマネジメントシステム)認証を取得した実体験を、時系列でお伝えします。審査もすべてリモートで実施し、オフィスレスでもISMS取得が可能であることを実証できました。

取得のきっかけ

きっかけは、2025年6月のN-KPT(振り返り)でのことでした。弊社代表の平野が「Pマークを取得したい」と発言したことから、情報セキュリティ認証の取得が検討されることになりました。

当初は、Pマーク(プライバシーマーク)とISMSのどちらを取得すべきかで悩みました。両方の認証制度について調べた結果、当社のようなB2Bビジネスを展開している企業にとっては、ISMSの方がより役立つと判断。ISMS認証の取得を決意しました。

Pマークは主に個人情報の取り扱いに特化した認証であるのに対し、ISMSは情報セキュリティ全般をカバーする包括的なマネジメントシステムです。B2Bビジネスでは、顧客企業から情報セキュリティ体制について問われる機会が多く、ISMSの方がより広範な信頼性を示せると考えました。

特に、短期間での集中取得を目指し、効率的な進め方を模索することから始まりました。

この記事の対象者

  • これからISMS取得を検討している担当者の方
  • 効率的にISMS取得を進めたい方
  • ツール活用や審査機関選定で迷っている方
  • 完全リモートワーク企業でISMS取得を検討している方
  • リモート審査に対応できるか不安な方

タイムライン:7月下旬からの猛烈なスタート

全体の流れ(実績)

時期 主な活動
6月 N-KPTの振り返りで平野社長がPマーク取得を提案
7月上旬 PマークとISMSの比較検討、ISMS取得を決定
7月下旬 ツール契約・キックオフ
8月〜10月 ISMS構築(規程作成・リスクアセスメント)
11月 内部監査・リモート審査
12月上旬 認証取得

スピード感が鍵だった

7月に「とりあえず相談」から始め、月末には契約を完了させたスピード感が、その後のスケジュールを大きく楽にしました。ISMS取得は長期戦になりがちですが、初期段階での迅速な意思決定が、全体の流れをスムーズにしたと実感しています。

準備フェーズ:ツールの導入(7月)

セキュアナビとの出会い

当初、ISMS構築を自力で進めることも検討しましたが、規程類の作成やリスクアセスメントの実施には相当な時間と労力がかかると判断。そこで、ISMS構築を支援するツールの導入を検討することにしました。

契約までのプロセス

  • 7/11: トライアル環境申し込み
  • 7/18: クラウドサインにて電子契約締結
  • 7/31: 支払い完了

約3週間で契約まで完了。特に、トライアル環境で実際に触ってみたことで、ツールの使いやすさを実感できたのが良かったです。

ツールを選んだ決め手

SecureNavi(セキュアナビ)を選んだ最大の理由は、構築のガイドが明確で、次に何をすべきか迷わない点でした。ISMS取得は初めての経験でしたが、ツール内のガイドに沿って進めることで、「今、何をすべきか」が常に明確でした。これにより、無駄な時間をかけずに効率的に進められました。

セキュアナビの構築ガイド画面

審査機関の選定:ここが最初の正念場

選定の軸

審査機関を選ぶ際に重視したポイントは以下の2点です。

  1. 自社の規模に合っているか
  2. 希望の時期(10〜11月)に審査が可能か

比較検討の裏側

実際に数社に打診したところ、以下のような状況に直面しました。

  • 「年内の審査枠がいっぱい」という回答
  • 「組織規模(少人数)を理由とした辞退」

ISMS取得を検討している企業は多く、審査機関のスケジュールは非常に混み合っていることが分かりました。また、小規模組織の場合、審査機関によっては対応を断られるケースもあるようです。

決定した機関

最終的に、ドイツ品質システム認証株式会社(DQS)に決定しました。

選定の決め手は以下の通りです。

  • 見積りから打ち合わせまでスムーズ
  • こちらの希望日程に柔軟に対応いただけた
  • 小規模組織への対応実績がある
  • 営業担当の方の気さくな雰囲気:打ち合わせの際、営業担当の方の気さくな雰囲気を感じ、気さくな方がより柔軟に審査してくれると判断しました。実際、審査の際も建設的で柔軟な対応をいただけました。
  • ISMS-ACのロゴも取得できる:DQSはISMS-AC(情報セキュリティマネジメントシステム適合性評価制度)の認証機関でもあり、ISMS-ACのロゴも取得できる点が良かったです。このロゴは、ISMS認証を取得したことを示す公式のマークとして、Webサイトや名刺などに使用できます。

アドバイス

審査機関は混み合っていることが多いため、構築と並行して早めに動くことが重要です。理想としては、ISMS構築を開始した時点で、並行して審査機関の選定も進めることをおすすめします。

構築フェーズ:ISMSの形を作る(8月〜10月)

SecureNaviでの作業

文書作成の自動化

SecureNaviでは、必要な規程類のテンプレートが用意されており、自社の状況に合わせてカスタマイズしていく形で進めました。特に以下の点が助かりました。

  • 文書を作っているという意識をせずに、セキュアナビの画面から情報を入力していくだけで文書が作成される:従来の「文書を作成する」という作業感覚ではなく、質問に答える感覚で進められるため、心理的な負担が軽かったです
  • 規程の骨子が既に用意されているため、ゼロから作成する必要がない
  • 各規程の関連性が明確で、整合性を保ちやすい
  • 更新履歴の管理が自動化されている
  • やるべきタスクが明確:初めての作業なので何をやるべきかわからない状況でしたが、SecureNaviを使うことで、それを調べるための時間が省けました
  • 分からないことは、すぐにチャットや月1回のWeb打ち合わせで質問できる環境がある

質問への回答が非常に迅速なため、進捗を止めずにスムーズに作業を進められました。実際、ほとんどの疑問が1日以内に解決でき、とても助かりました。

リスクアセスメントの実施

リスクアセスメントは、ISMS構築の中でも特に重要な作業です。SecureNaviのガイドに沿って、以下のステップで進めました。

  1. 情報資産の洗い出し
  2. リスクの評価
  3. リスク対応策の決定

ツール内でリスクを可視化できるため、優先順位の判断がしやすかったです。

一番大変だったのは資産管理でした。情報資産を洗い出す作業は、思っていた以上に時間がかかりました。とはいえ、当社の規模だと持っている資産も少なく、全てクラウドで運用しているため比較的素早く進められたと思います。オンプレミスのサーバーや複雑なネットワーク構成がない分、資産管理の範囲が明確で、作業がスムーズでした。

社内体制の整備

ISMS構築は、通常業務と並行して進める必要があります。効率的に情報を集約するため、以下のような体制を整えました。

  • 定期的な進捗確認会議:隔週1回、SprintReview内で進捗を共有。月1回のSecureNavi担当者との打ち合わせでは、資産登録での具体的な質問や不明点を解決していきました。
  • 情報の一元管理:SecureNavi上で全ての情報を管理し、関係者がいつでも確認できる状態に
  • 役割分担の明確化:各資産の担当者を明確にし、必要な情報を迅速に収集。リスクアセスメントは主に各資産の担当者が行い、分担しながら進めました。

審査フェーズ:2段階のハードル(11月)

第1段階審査(11月4日)・第2段階審査(11月25日〜26日)

当社は完全リモートワークのため、第1段階審査・第2段階審査ともに全てリモートで実施しました。

第1段階審査は、主に文書の整合性チェックが中心です。提出した文書類を審査員の方にご確認いただき、以下の点をチェックされました。

  • 規程類の整合性
  • リスクアセスメントの妥当性
  • ISMSの適用範囲の明確性

結果として、不適合もなく通過することができました。これは、SecureNaviで構築した文書の整合性が高かったことと、事前準備をしっかり行えたことが大きかったと思います。

続く第2段階審査(11月25日〜26日)は、2日間にわたる実態審査となり、こちらもリモートで実施されました。実際の運用の様子を画面共有しながら説明することで、現場の運用実態もきちんとアピールできました。

審査の流れ
  1. 初日: 経営層へのヒアリング、主要な規程の運用状況の確認
  2. 2日目: 各部門での実務の確認、記録類の確認
実際の運用説明

リモート審査では、画面共有機能を使って、実際に使用しているシステムの画面を見せながら、以下の点を説明しました。

  • アクセス管理の実態
  • 情報の取り扱い方法
  • インシデント対応の手順
  • クラウドサービスの利用状況

画面を見せながら説明することで、文書だけでなく、実際の運用が適切に行われていることを示すことができました。リモート審査でも、画面共有を活用することで、オフィス訪問と同様に詳細な確認が可能であることが分かりました。

審査を終えて

審査員の方は非常にプロフェッショナルで、単なるチェックだけでなく、今後の改善に役立つ視点もいただけたことが印象的でした。また、今回担当してくださった審査員の方がSecureNaviについても詳しく理解されており、ツールの進め方や画面構成もご存知だったため、説明や質疑も非常にスムーズに進めることができました。審査は緊張する場面もありましたが、建設的な対話を通じて、ISMSの質を高めることができたと感じています。

まとめと今後

取得後の変化

ISMS認証を取得してから、社内のセキュリティ意識が一段階上がった実感があります。具体的には、

  • 情報の取り扱いに対する意識が向上
  • セキュリティに関する会話が日常的に行われるようになった
  • 規程に基づいた運用が定着しつつある

これから取得する方へ

4ヶ月という短期間でISMS取得を実現できたポイントをまとめます

  • ツール(SecureNavi)を使い倒す
    • ガイドに沿って進めることで、迷いなく効率的に構築できる
    • 文書の整合性が保たれ、審査準備がスムーズ
    • チャットや月1回のWeb打ち合わせで質問できる環境を活用する
  • 審査機関の選定は「時期」と「相性」を重視して早めに動く
    • 審査機関は混み合っているため、構築開始と同時に選定を開始
    • 自社の規模や希望時期に柔軟に対応してくれる機関を選ぶ
    • 営業担当の方の雰囲気も判断材料にする:気さくな方が柔軟な審査をしてくれる可能性が高い
  • 社内体制を整える
    • 定期的な進捗確認で、情報を迅速に集約
    • 役割分担を明確にし、効率的に作業を進める
  • 完全リモートワークでもISMS取得は可能
    • リモート審査にも対応している審査機関を選ぶ
    • 画面共有を活用して、オフィス訪問と同様の確認が可能
    • クラウドベースの資産管理は、むしろ管理しやすい場合がある

次のステップ

ISMS認証取得はゴールではなく、継続的な改善のスタートです。今後は、

  • 維持審査に向けて、日常的な運用の定着化
  • 定期的な見直しを通じたISMSの改善
  • 社内のセキュリティ意識のさらなる向上

を目指していきます。

おわりに

ISMS取得は決して簡単な道のりではありませんが、適切なツールと審査機関を選び、効率的に進めることで、短期間での取得も可能です。完全リモートワークの企業でも、リモート審査を活用することでISMS取得は十分に実現可能であることを、当社の経験からお伝えできればと思います。

この記事が、これからISMS取得を検討されている方、特にリモートワーク企業の方の参考になれば幸いです。

ご質問やご相談がございましたら、お気軽にお問い合わせください。

投稿者プロフィール

Kent
Kent
ケントです。大学卒業後、キヤノンでエンジニアとして7年働いた後、会社立ち上げから参画。現在はCrenaにフルコミットしています。
ラーメン、コーヒー、ガジェット、そしてプログラミングが好きな32歳。

関連記事