ISMS附属書Aを徹底解説!初心者でもわかる管理策の要点とスムーズなISO審査対応
- 【監修者】金光壮太(ISOトラストのコンサルタント)
- 3月24日
- 読了時間: 9分
▼ 目次
1. はじめに
1.1. 本記事の目的と想定読者
ISMS(情報セキュリティマネジメントシステム)を導入するとき、ISO27001の附属書Aがとても重要だと聞いたことはありませんか?しかし、「附属書Aってどんな内容が書いてあるの?」「全部の管理策を導入しなきゃいけないの?」と戸惑う方も多いでしょう。本記事では、ISOコンサルタントの経験と他社事例をもとに、初心者でも理解しやすいようISMS附属書Aのポイントとスムーズな審査対応について解説します。
こんな方におすすめ
これからISMS認証(ISO27001)を取得したい企業のセキュリティ担当者
「附属書Aの管理策をどう使えばいいの?」と悩む運用初心者
審査で「適切な管理策が選択されていない」と指摘された経験のある方
1.2. ISMSと附属書Aの位置づけ
ISMS規格本文では、リスクアセスメントと管理策導入の基本を定めている
附属書Aは、その中で「これらの管理策(コントロール)を参考にして、必要なものを選んで導入しよう」とリスト化されたもの
審査でも「附属書Aの管理策が適切に選ばれ、実装されているか」が重要なチェックポイント
1.3. この記事で得られるメリット
附属書Aの構造とメリットを体系的に理解できる
初心者にもわかる管理策の選定方法と運用ノウハウがわかる
審査対応でよくある疑問点や不備を回避し、スムーズにISO認証取得できる
2. ISMS附属書Aとは?基本概念の整理
2.1. ISO27001と附属書Aの関係
ISO27001本文: リスクマネジメントのプロセスやISMSの運用要求事項を提示
附属書A: 上記を実際の対策に落とし込むための“管理策”の一覧表
例:アクセス制御、暗号化、ログ監視、人事セキュリティ、物理セキュリティ など
プロのアドバイス: 「附属書Aを全部やらなくてはならない」と思い込むのは誤解。自社のリスクアセスメントで必要と判断したものを導入し、必要ないものは“不採用”理由を明確に示せばOK。
2.2. 管理策とは何か?
管理策(コントロール): 情報セキュリティリスクを軽減するための具体的な施策やルール
例:
パスワードポリシー
ウイルス対策ソフト導入
机上文書の施錠
従業員のセキュリティ教育
初心者の誤解: 「管理策=ツール導入だけ」ではなく、教育や手順書作成、契約管理なども含む
2.3. 初心者が誤解しやすいポイント
すべての管理策を導入する必要はない
自社リスクに応じて不要な策は“除外”
ただし、なぜ除外したかの理由を文書化し、審査員に説明できるように
附属書Aはアップデートされる(ISO27001:2022など)
カテゴリ構成が変わることもあるので、バージョン情報に注意
3. 附属書Aの構成:管理策カテゴリーと概要
3.1. ISO27001:2022版での構成変更
従来版(2013年版)は14カテゴリ→ 2022年版ではテーマごとに再編
プロの体験談: アップデートに伴い、カテゴリ数が減ったり統合された管理策が出てきたりするため、既存運用のマッピングがポイントになる
3.2. 代表的な管理策カテゴリーと例
組織的管理策
例:情報セキュリティ方針、責任分担、リスク評価手順
人的管理策
例:採用時の契約、教育・訓練、離職者のアカウント廃止ルール
物理的管理策
例:サーバールーム入退室管理、防犯カメラ、鍵管理
技術的管理策
例:アクセス制御、暗号化、脆弱性管理、ログ監視
3.3. 管理策の選び方:リスクアセスメントとの連携
詳細リスク分析: まず組織特有のリスクを洗い出し、被害が大きそうなものから優先的に管理策を当てはめる
不採用策: 自社でリスクが低く対策不要と判断した場合、根拠と理由を文書化。審査で「なぜ採用しないのか」を聞かれる
4. ISMS附属書Aを導入するメリット
4.1. 抜け漏れ防止
プロの視点: セキュリティ対策を自前でゼロから考えると漏れが発生しやすいが、附属書Aを参照すれば主要リスクをカバーしやすい
他社事例: 製造業A社は、更新審査で何度も「ここが無対策ですね」と指摘されていたが、附属書Aとリスク表を付き合わせる方法に切り替えたら指摘が激減
4.2. 審査での評価
審査員のチェックポイント: 管理策の導入状況を見て「ここはISO27001の附属書Aを考慮しきれていない」と不適合を指摘されがち
効率的な報告: なぜ採用/不採用かを説明しやすく、監査資料も整備しやすい
4.3. 組織的なセキュリティ強化
部署間連携: 管理策が部門ごとにバラバラだった場合、附属書Aで統一水準を作れる
教育面: 各管理策がリスクと直結しているため、社員に説明するときも「附属書Aにこうあるから」という根拠が示せる
5. 実務で使える管理策の決め方:リスクアセスメントとの連動
5.1. ステップ①:リスク評価から管理策候補をピックアップ
優先リスク: 経営上大事な顧客情報や個人情報、外部攻撃で被害が大きい領域を最初にケア
附属書Aの“どの項目”がそのリスクを軽減できるかを対応表に落とし込む
5.2. ステップ②:経営層とコスト・優先度を検討
大きな投資が必要な管理策(例:高度な監視システム)を入れるかどうかは経営判断が重要
コンサル体験談: 金融機関などは規制上必要な管理策が多いが、中小企業では影響度が低い対策を後回しにするケースも
5.3. ステップ③:管理策文書化と運用設計
手順書やポリシー: 附属書Aの項目を導入すると決めたら、その運用ルールや責任分担を文書化
内部監査: 管理策が実際に回っているか、チェックリストを作ると楽に点検できる
6. 審査対応:附属書Aでよくチェックされるポイント
6.1. 管理策を採用or不採用の理由
審査員の質問例: 「この管理策はなぜ導入していないのですか?」→ 合理的理由(リスク受容、他策でカバーなど)が必要
プロのアドバイス: 不採用でも「うちの場合はこういうリスクだから必要ない」とロジックがあれば問題なし
6.2. 実運用・証拠書類の提示
“導入してます”だけでは不十分: 具体的に「社内規程」「ログ保管状況」「研修記録」など証拠を見せる必要
教育記録: フィッシング訓練や研修参加名簿など、管理策が実践されている証拠が大きな評価につながる
6.3. 改善サイクル(PDCA)の回り方
内部監査やマネジメントレビュー: 管理策が時代やリスク変化に応じてアップデートされているかを確認
インシデント対応: 付属書Aで導入した対策が有効だったか、見直しまで含めて継続改善
7. 成功事例:附属書Aを活用したISMS運用
7.1. 製造業A社:管理策テンプレートで短期間導入
背景: 全社リスクアセスメントで主要リスクを特定したが、対策選びに苦戦
対策: 附属書Aの各管理策をテンプレート化し、リスクとの関連を示した対応表を作成
成果: 運用ルールが統一され、初回審査でも不備がわずか。審査員から「管理策の選定が的確」と評価
7.2. IT企業B社:ベースライン策と附属書Aの併用で運用効率UP
事例: ベースライン策で必須の対策を全社にまず導入→ 附属書Aの中から追加策を選び、強化
結果: ISMS導入のコストを抑えつつ、段階的に高リスク対策を盛り込めた
7.3. 金融機関C社:高度な管理策選定でセキュリティ強化
背景: 金融業界ならではの厳しい規制と高いリスク(個人情報、金融資産)
対応: 附属書Aの管理策をほぼ採用し、さらに業界規定(FISCなど)も上乗せ
成果: インシデントが起きても被害が最小限に抑えられ、外部審査でも「先進的な対策」と評価
8. 失敗事例と回避策
8.1. 全項目を機械的に導入し、コスト超過
原因: “全部入れておけば審査も安心”という誤解
回避策: リスクアセスメントでの優先度判断が大切。不要な管理策はしっかり“不採用理由”を明確化
8.2. 改訂版ISOへの移行で管理策対応が追いつかない
原因: 2013年版から2022年版への移行など、カテゴリ変更に気づかず運用がズレる
回避策: マッピング表で旧→新管理策対応を整理し、定期的に附属書Aの変更点をチェック
8.3. 管理策を導入したが運用状況が確認できない
原因: 現場が形だけのルールで終わり、ログ監視やインシデント報告が徹底されていない
回避策: 定期的に内部監査や教育を行い、「本当に管理策が動いているか」を数値や記録で示す
9. Q&A:ISMS附属書Aに関する素朴な疑問
9.1. 「附属書Aは全部導入しないとダメ?」
答え: 必要な管理策を選ぶ形が正解。自社のリスクが低い場合は“不採用”可能だが、審査で理由を説明する必要がある
9.2. 「どこから手を付ければいい?」
答え: まずリスクアセスメントで“重大リスク”を特定し、それに対応する管理策を優先的に導入。段階的に強化が現実的
9.3. 「旧版(2013年版)からの移行はどうする?」
答え: 2022年版でカテゴリが大きく再編。移行猶予期間を確認し、既存の管理策を新しいカテゴリにマッピングし直す
9.4. 「小規模企業でも大変じゃない?」
答え: リスクが大きい管理策だけ導入し、あとは慎重に“受容”や“不採用”を選べばよい。文書化と運用実態が揃えば問題なし
10. まとめ:ISMS附属書Aを徹底解説!初心者でもわかる管理策の要点とスムーズなISO審査対応
10.1. 記事の総括:ポイント再確認
ISMS附属書Aは、ISO27001が示す“推奨管理策リスト”で、リスクアセスメントと組み合わせて導入範囲を決定
すべて導入は不要だが、不採用管理策の理由を明確にしなければ審査で指摘される
審査対応で注目されるのは“管理策が実際に運用されているか”→ ログや教育記録などエビデンスを用意
改訂版ISOに合わせ、カテゴリ変更への対応やマッピングを適切に行う
10.2. 次のアクション:導入・運用ガイド
リスクアセスメント: 自社リスクを優先度づけ
附属書A管理策選定: 不採用理由を残しつつ、必要策を優先導入
文書化・教育・運用設計: 手順書や社員研修、ログ監視など整備
監査・審査対応: 改善サイクルを回し、管理策の実効性を継続的に評価
あとがき
ISMS附属書Aは、情報セキュリティの国際標準に準拠した管理策のリストとして強力なツールです。ただし「すべてを一度に導入」する必要はなく、リスクアセスメントと自社のビジネス特性をよく考えたうえで、必要な管理策だけを最適に組み合わせるのが鍵。審査前には「選んだ(または選ばなかった)理由」を明確にし、実務で“本当に運用されている”エビデンスを揃えておけば、スムーズに審査合格へと近づけます。ぜひ本記事のステップを参考に、ISMS運用と審査対応に取り組んでみてください。
この記事の監修者情報
金光壮太 (ISOコンサルタント)
大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている
Comentarios