ISMS新規格への対応状況、審査に向けた準備未完了が8割超　ゼタント調査

株式会社ゼタント（本社：東京都中央区、代表取締役：久保健）は、従業員数300名以下の企業におけるISMS（情報セキュリティマネジメントシステム）の決裁者や責任者、管理者を対象とした「ISMS改訂に伴う企業の対策行動に関する調査」を実施。ISMS新規格「ISO/IEC 27001:2022」は、2025年10月31日に移行期限を迎えることを受けて、ISMSの新規格「ISO/IEC 27001:2022」について、中小企業の対応状況を明らかにした。

調査概要

調査テーマ：「ISMS改訂に伴う企業の対策行動に関する調査」
調査方法：インターネット調査
調査期間：2024年10月11日〜10月15日
調査対象：全国20−60代男女、かつ、従業員数300名以下の企業のISMSに関する決裁者または責任者・管理者
有効回答：126名
調査主体：株式会社ゼタント
アンケーモニター提供元：GMOリサーチ&AI株式会社
出典元：株式会社ゼタント
※本調査においては、従業員数300名以下の企業を中小企業と定義して分析・考察

審査に向けての準備は82％が未完了。「とるべき対策がわからない」の声

本調査結果を見ると、ISMS新規格の審査に向けた準備の状況としては「審査に向けて対応中（53％）」との回答が最も高く、次いで「情報収集中（25％）」が続いている。

ISMS改訂による変更点の認知・理解については「とるべき対策はわからないが、ISMS改訂による変更点の内容まで理解している（49％）」との回答が多く、とるべき対策がわからないが故に、準備が進んでいない実情がうかがえる。

続いて、新規格に必須と言われるアイテムの導入状況を質問。WEBフィルタリングについて「システム会社に依頼して開発中/導入を進めている」は20％にとどまり、「委託するシステム会社の比較・検討中（26％）」「委託するシステム会社の情報を収集中（21％）」「必要な要件の確認中（22％）」など、未開発・未導入の企業が多く、この傾向は監視活動についても同様だという。

委託先・システム選定時に重視する点は？

システム会社およびシステム選定の重視点においては、「管理運用の手間がかからないこと」と「価格が安いこと」がともに40％と高い割合を示している。そこで、【最も重視する点】に絞った質問と回答を比較。その結果「管理者の運用の手間がかからないこと（15%）」「設定が簡単にできること（14%）」が上位となり、利用時のユーザビリティやオペレーションが最重視されていると報告した。

また、ISMS新規格対応に向けたシステム導入における課題としては「システムやサービスを判断して、選択するための知識やスキルがない（45％）」「新規格の要件を満たすシステムやサービスが見つからない（40％）」との回答が上位に。【最もハードルになっていること】の上位も同様の項目となっており、システム会社やシステムおよびサービスの選定段階に課題を抱えていることが判明した。

さらに、外部支援が必要だと感じることについては「新規格に合わせたルールの運用（47％）」「法規制や業界基準への適合（41％）」「従業員のセキュリティ意識の啓発（40％）」が上位に。一方で、【最も外部支援が必要と感じるもの】に絞り込んだ質問では「新規格に合わせたシステムの選定（20%）」が最上位に挙げられている。

まとめ

多くの中小企業がISMS新規格「ISO/IEC 27001:2022」の審査に向けた準備に取り組めていない状況にあることが明らかになった。システムやサービスについて判断・選択するための知識やスキルが不足していることが1番の障壁となっているようだ。

対応において、システム選定の段階で外部支援を必要とする声も多く挙げられている。およそ1年後の移行期限に向けて、外部支援の活用も検討しながら準備を進めていただきたい。