中小企業がISMS取得を求められたら、最初にやること｜ISO27001入門

ある日、営業部からこんな相談が来ます。

「大手の取引先から、ISMSを取ってないと今後の発注は難しいと言われたんですが……うち、取れますか？」

セキュリティの専任もいない、予算も潤沢ではない。それでも「取れません」とは言いにくい——担当者なら、心臓がヒヤッとする瞬間です。

この相談はとても多いものです。そしてISMSは、大企業だけのものではありません。むしろ人の少ない中小企業こそ、仕組みで情報を守る考え方が役に立ちます。この記事では、ISMSの全体像と「最初の一歩」、つまずきやすい“あるある”と対策を、実務目線で整理します。

ISMSとは？（まず30秒で）
「それ、うちもある」——ISMSが必要になる典型シーン
取得までの流れ（費用と期間の目安）
ISMSで必ず出てくる「適用宣言書（SoA）」とRCM
実務で効く3つの視点
ISMSあるある失敗 3選（と回避策）
まとめ

ISMSとは？（まず30秒で）

ISMS（情報セキュリティマネジメントシステム）とは、ひとことで言えば 「情報を守るための社内ルールと、それを回す仕組み」。その国際規格が ISO/IEC 27001（現行は2022年版） で、第三者審査に通ると「ISMS認証」を取得できます。

ISMS＝高価なセキュリティ製品を導入すること、ではありません。
ISMS＝ルールを決めて、運用して、記録して、改善し続けること。つまり、お金より先に必要なのは「仕組みづくり」です。

「それ、うちもある」——ISMSが必要になる典型シーン

取引条件になった：大手・官公庁・金融系との取引で、ISMSやPマークが要件に。
退職時にヒヤリ：辞めた人のアカウントやPCが、しばらく放置されていた。
「あの人しか分からない」：サーバー設定もパスワードも、特定の一人に集中。
クラウドが乱立：部署ごとに勝手にSaaSを契約し、誰が何を使っているか不明。

どれも「たまたま事故が起きていないだけ」の状態です。ISMSは、この“たまたま”を“仕組み”に変える取り組みです。

取得までの流れ（費用と期間の目安）

準備開始から取得まで、規模により半年〜1年程度が目安です。

適用範囲を決める（どの部署・サービスを対象にするか）
現状把握（ギャップ分析）：今の運用と規格の差を確認
情報資産の洗い出し・リスクアセスメント
規程・手順の整備
適用宣言書（SoA）の作成：採用/除外する管理策とその理由を一覧化
運用・記録：ルール通り運用し、記録を残す
内部監査・マネジメントレビュー
審査（第一段階＝文書審査 → 第二段階＝運用審査）→ 認証取得
取得後も維持審査・更新審査：取得は“ゴール”ではなく“スタート”

外部の取得支援サービスを使う場合は、先に「自社で何をやり、どこを任せるか」を決めてから、必要な人だけ比較するのがおすすめです。

ISMSで必ず出てくる「適用宣言書（SoA）」とRCM

ISMSでは、規格が示す管理策について「採用するか/しないか」と「その理由」を整理した 適用宣言書（SoA） を作ります。これがISMSの背骨です。その前段の整理として、内部統制でよく使う RCM（リスクコントロールマトリクス） の考え方をISMSに応用すると、頭の中が一気に整理されます（RCMはISMSの標準用語ではありませんが、リスク→対策→部署→記録を突き合わせる表として有効です）。

リスク	管理策（対策）	実施部署	記録（証跡）
退職者アカウントの放置	退職時の即時停止	情シス	停止記録
本番データの誤操作・不正	権限の最小化・申請承認	情シス	申請・承認ログ
委託先からの漏えい	秘密保持・渡す範囲の限定	管理部門	委託契約・点検記録

ポイントは、「記録（証跡）」の列まで埋めること。空欄なら、ルールはあっても“やった証拠”がない＝形骸化のサインです。

実務で効く3つの視点

(1) 「自社で何を担うか」を最初に決める

どこを自社運用で守り、どこを外部サービスやグループ共通基盤に任せるか——この役割分担（スコープ）の線引きを最初に決めると、後工程が楽になります。

⚠️ ただし範囲を絞りすぎると、取引先が「全社」での認証を求めている場合に要件を満たせないことがあります。取引先がどの範囲の認証を求めているかを先に確認しましょう。

(2) グループ会社・共通基盤の“現実”を織り込む

グループでは、ログ管理や本番・テスト環境の分離が教科書どおりにいきません。理想を100点に置くと止まります。「できない理由」と「代わりにどう守るか（代替策）」をセットで整理し、根拠をもって説明できる状態を作るのが実務です。

(3) 「取得して終わり」にしない

取得後も維持審査・更新審査が続きます。運用と記録、年1回の見直しを回し続けることが前提です。

ISMSあるある失敗 3選（と回避策）

完璧主義で止まる → まず1ページの基本方針＋効果の高いルールから
範囲を広げすぎ／狭めすぎ → 取引先要求と自社の体力の両にらみで決める
記録がない → ルールと同時に記録の置き場を決める

まとめ

ISMSは「製品」ではなく「情報を守る仕組み（ルール＋運用＋記録＋改善）」
取得フローは 適用範囲→現状把握→リスクアセスメント→規程→SoA→運用記録→内部監査→審査→維持 まで続く
スコープの線引き／グループ基盤の現実／記録（証跡） が実務のカギ

規程ひな形集（基本方針＋認証管理規程）を無料プレゼント

メール登録で、そのまま使える規程テンプレートを無料でお渡しします。全5規程＋連絡フロー＋様式集の「完全版」も準備中——ご登録の方へ先行ご案内します。無料テンプレートを受け取る（ダウンロード）

コンテンツ・掲載・取材に関するお問い合わせはこちら

出典・参考：ISO/IEC 27001:2022（ISO公式）、ISMS-AC、IPA など（公開時にリンク）。