▼ 目次

1. はじめに

2. パフォーマンス評価の基礎：なぜ重要なのか？

3. 具体例で学ぶパフォーマンス評価：どんな指標を測る？

4. 測定手順：どのように数値を集め、評価するか

5. 改善のコツ：パフォーマンス評価結果を運用に活かす

6. 審査で評価されるポイント：ISMSパフォーマンス評価の観点

7. 他社事例：パフォーマンス評価で成功した企業

8. 失敗事例と回避策

9. Q&A：ISMSパフォーマンス評価に関する疑問

10. まとめ：ISMSのパフォーマンス評価とは？具体例で学ぶ測定手順と改善のコツをわかりやすく解説

1. はじめに

1.1. 本記事の目的と想定読者

ISMS（Information Security Management System）を運用する場合、パフォーマンス評価が非常に重要です。ISO27001では、単にセキュリティ対策を並べるだけでなく、その効果がどれだけ出ているかを客観的に測定し、継続的な改善につなげることが求められます。しかし、「具体的にどの指標をどのように測ればいいの？」と迷う初心者も多いでしょう。

• この記事の目的:

  1. ISMSにおけるパフォーマンス評価の意味と必要性を理解する

  2. 具体的な指標例や測定のやり方、改善のヒントをつかむ

  3. 審査でも評価される“PDCAサイクル”の運用ポイントを学ぶ

• 想定読者:

  • 初めてISMS認証（ISO27001）を取得しようとしている企業の担当者

  • ISMSを運用中だが“測定指標の設定”で悩んでいる管理者

  • 審査対応で「効果測定が不十分」と指摘を受け、改善したい方

1.2. ISMSにおけるパフォーマンス評価とは？基本の考え方

パフォーマンス評価は、ISMSで行ったセキュリティ対策が実際にどの程度成果をあげているのかを確認する仕組みです。ISO27001の規格では、“計画（Plan）→実行（Do）→確認（Check）→改善（Act）”のPDCAサイクルを回す際に、Check段階で測定指標を用いてパフォーマンスを評価し、次の改善に活かすことが必須とされています。

• 測定指標（KPI）: 例としてインシデント件数、教育受講率、システム稼働率など

• 改善のサイクル: 測定→ 分析→ 改善策立案→ 対策実施→ 再び測定、という流れを継続

1.3. 本記事で得られるメリット

1. 測定指標の具体例を把握し、自社で何を測ればいいかイメージできる

2. 測定手順やツールの具体例を知り、日常業務で導入しやすくなる

3. 審査員に評価されやすいポイント（運用記録やエビデンスの残し方）を理解し、認証取得・更新をスムーズに行える

2. パフォーマンス評価の基礎：なぜ重要なのか？

2.1. ISO27001の要求事項とパフォーマンス評価

ISO27001では、パフォーマンス評価を通じて、組織が立てた情報セキュリティの目的やリスク対策が実際にどれだけ有効かを確認するよう求められています。

• 内部監査や外部審査でも「どうやって成果を測っているか？」と必ず質問されがち

• 証拠として具体的な数値やログ、報告書などがあると納得度が高い

2.2. PDCAサイクルとの連動

1. Plan: 目的・指標を設定

2. Do: セキュリティ対策を実行

3. Check: 対策の成果を測定し、数値データなどで可視化

4. Act: 結果を見て改善策を考え、次の計画へ反映

5. コンサル視点: 形だけの計画に終わらず、数値で評価してこそ「運用している」と審査員にアピールしやすい

2.3. 初心者が理解すべき用語

• KPI（Key Performance Indicator）: 目標達成度を測る重要指標

• インシデント件数: 漏えいやウイルス感染、ダウンタイムなどのセキュリティ事故

• レビュー会議: 結果を持ち寄り、管理者や経営層が改善策を決める場

3. 具体例で学ぶパフォーマンス評価：どんな指標を測る？

3.1. インシデント件数と対応速度

1. 指標の例:

   • インシデント件数を年間○件以下に抑える

   • インシデントの初動対応を1時間以内に開始

2. 測定手順:

   • インシデント報告書の数を集計（種類・規模も分ける）

   • 初動対応の時間をログ化（報告から対応までのタイムスタンプ）

3. コンサル経験談: 製造業A社は「インシデント件数を前年比20%減」を目標に設定→ 通報システムを改善し、実際に事故率が下がり審査でも好評価

3.2. 教育受講率・スキルテスト合格率

1. 指標の例:

   • 社員のセキュリティ教育受講率を95%以上

   • フィッシング演習合格率を80%以上

2. 測定手順:

   • eラーニングや研修の受講ログを定期的に確認

   • 演習メールを定期的に送り、誤クリック率を集計

3. 他社事例: IT企業B社は社員全員がフィッシング演習を年4回受け、騙される人が激減→ インシデントが大幅減少

3.3. システム稼働率・ダウンタイム

1. 指標の例:

   • システム稼働率を99.9%に保つ

   • ダウンタイム合計を年間○時間以下

2. 測定手順:

   • 監視ツールを使い、サーバーやネットワークの稼働ログを自動収集

   • 停止があった場合の時間を記録、原因分析も行う

3. TIP: 金融機関C社はDRサイトの切り替え訓練成績を指標化し、障害時の復旧スピードを向上

3.4. バックアップ検証とリストア成功率

1. 指標の例:

   • 月1回の復旧テスト成功率を100%にする

   • バックアップデータの保管期間遵守率を95%以上

2. 測定手順:

   • バックアップ完了ログとリストア試験結果を記録

   • 定期的にファイル復元テストを行い、成功率や復旧時間を集計

3. メリット: ランサムウェアなどに備えて有効。審査でも“実際にテストしてる”と証拠を示せば高評価

4. 測定手順：どのように数値を集め、評価するか

4.1. データ収集の方法（ログ・報告書・ツール）

• インシデント報告書: 報告日時・内容・対応者を書き込み、件数や対応速度を集計

• 監視ツール: ネットワーク稼働率、サーバー稼働率を自動計測。ダウン検知時のアラート履歴も残す

• 教育プラットフォーム: eラーニングの受講率・テスト結果を自動記録

4.2. 分析・可視化

1. 集計ソフト/BIツール: ExcelやBIダッシュボードでグラフ化し、月次・四半期で推移を可視化

2. レポート作成: 会議で使うために簡単なスライドor PDFでまとめ、コメント欄に原因や対策を記述

3. TIP: 製造業A社は週1回IT部会議でインシデント件数と原因報告を共有→ 現場の意識が高まり対策が早い

4.3. レビュー会議と改善アクション

• PDCAのCheck → Act: 指標と実際の数字を照らし合わせ、達成度・問題点を洗い出す

• 改善計画: 事故多発なら“教育強化、システム強化”など追加施策を立て、次のサイクルで実行

• コンサル視点: “目標未達でも理由と対策が明確なら審査員にも評価される”

5. 改善のコツ：パフォーマンス評価結果を運用に活かす

5.1. 社員意識の向上と連携

1. 目標指標を全社員と共有: 例：インシデント件数や教育率を社内ポータルで公開

2. インセンティブや表彰: 結果が良い部署に表彰制度を作るとモチベーションUP

3. 成功事例: IT企業B社は“インシデントゼロ”達成チームを社内ニュースで紹介→ 従業員全体の意識向上に繋がった

5.2. 内部監査や審査対策との結びつき

1. 指標と管理策の関連性: “インシデント削減”ならファイアウォールや教育の成果を数値で示す

2. 審査員への説明: 「この指標をこう測って、こう改善しました」と論理的に示せれば高評価

3. 経験談: 製造業A社は定期監査で“指標→ 実績→ 改善”の流れがしっかり見えていたため、審査で“PDCAが機能”と評価

5.3. 継続的な再評価と目標リニューアル

1. 年度ごとの見直し: 達成しやすくなったら新しい指標を追加、脅威が増せば優先度変更

2. TIP: サービス業D社は在宅勤務が増えたことを踏まえ、“VPN接続時の問題件数”を新たな指標に加えた

6. 審査で評価されるポイント：ISMSパフォーマンス評価の観点

6.1. 目標とリスクアセスメントの整合性

• 審査員: 「設定指標が主要リスクに対応しているか？」を注視

• 回避策: リスク表を見せながら「このリスクに対して、この指標で測っている」と説明

6.2. 実績データやログの保管

• 質問例: 「インシデント件数の集計期間は？」「教育受講率はどの記録を参照？」

• TIP: ログや集計レポートをすぐ提示できる仕組み（ExcelやBIダッシュボードなど）を整備

6.3. 改善サイクル（PDCA）が回っているか

• 審査員: “指標が悪かった場合、どう原因分析し、どんな対策を実施？”をチェック

• コンサル視点: 未達でも問題なし。改善意識と実行のプロセスを示すと評価される

7. 他社事例：パフォーマンス評価で成功した企業

7.1. 製造業A社：定量化したインシデント対策

• 指標: インシデント件数年間30→ 20以下、対応までの平均時間4時間以内

• 運用: インシデント報告システムをリニューアルし、受付から対応開始までを自動でタイムスタンプ

• 結果: 重大事故が減り、審査で“明確な数値管理”として高い評価を得た

7.2. IT企業B社：教育受講率とフィッシング演習成功率

• 指標: 受講率95%以上、演習成功率80%以上

• 施策: eラーニング管理システムでログを集計→ 月次会議で報告し、不参加者は上司経由でフォロー

• 審査: “社員のセキュリティ意識が高い”と認定され、更新審査もスムーズ

7.3. 金融機関C社：システム稼働率とDR訓練

• 目標: 稼働率99.99%、DR切替訓練年2回成功率100%

• メリット: 災害時や大規模障害時も復旧時間（RTO）を短縮→ 顧客信頼度向上

• 審査: “可用性に力を入れたISMS運用”として、外部監査でも好評価

8. 失敗事例と回避策

8.1. 数値化せず抽象的な目標だけ

• 原因: “セキュリティを強化する”“インシデントを減らす”など漠然

• 回避策: 具体的指標（例：インシデント件数○%削減）を設定し、社員が何を目指すのかハッキリさせる

8.2. ログや報告が残っていない

• 原因: 報告や研修が口頭ベースで終了→ 証拠不足

• 回避策: システムor Excelなどでデータ集計。内部監査で都度確認し、抜け漏れ防止

8.3. 目標未達でも原因を追わず放置

• 原因: 達成できなかった理由が曖昧で、次期計画に反映しない

• 回避策: PDCAサイクルを形だけでなく、原因分析→ 改善策実行→ 次年度目標調整の一連フローを徹底

9. Q&A：ISMSパフォーマンス評価に関する疑問

9.1. 「初心者でもリスク評価を数値化できる？」

• 回答: 十分可能。インシデント数や教育率など、最初はわかりやすい指標から始めると良い

9.2. 「指標設定に使えるフレームワークは？」

• 回答: ISO27002の管理策やNIST CSFを参考に“KPIのヒント”を得られる。自社リスクに合わせて選定

9.3. 「目標未達だと審査不合格に？」

• 回答: 未達自体が不合格の理由にはならない。原因と改善策がしっかり示されれば“継続的改善”として評価される

9.4. 「短期と長期目標を両方設定すべき？」

• 回答: 状況により。まず1年単位の目標を立てつつ、中長期視点でも大きなビジョン（例えば3年後のランサムウェア対策完了など）を立てると良い

10. まとめ：ISMSのパフォーマンス評価とは？具体例で学ぶ測定手順と改善のコツをわかりやすく解説

10.1. 記事の総括：ポイントの再確認

1. パフォーマンス評価はISMS運用の中核で、対策成果を数字やエビデンスで示す方法

2. 具体例: インシデント件数、教育受講率、システム稼働率、バックアップテスト成功率など

3. 測定手順: ログ収集→ 集計・可視化→ 定期レビュー→ 改善策実行

4. 改善のコツ: 社員意識・内部監査・審査対応を連動させ、PDCAを強化。目標未達でも原因と対策を明確に

5. メリット: 組織全体が目的を共有しやすくなり、実際にリスクが下がる＆審査でも高評価を得やすい

10.2. 次のアクション：測定を始めるためのステップ

1. 自社リスクを再確認し、目的や指標を決める（インシデント削減、可用性UPなど）

2. データ収集体制: インシデント報告書、監視ツール、教育ログなどの仕組みを整備

3. 定期レポート/レビュー会議: 月次や四半期で数値を振り返り、問題点を即改善策へ反映

4. 審査対策: これまでの実績＋改善計画をまとめて審査員に提示

あとがき

ISMSのパフォーマンス評価は、企業が取り組んでいる情報セキュリティ対策がどれだけ効果を発揮しているかを冷静に見極めるカギです。明確な指標を使って“数字”や“事実”に基づいた判断をすれば、PDCAサイクルをしっかり回して、本当に必要な改善策を打ち出しやすくなります。本記事で紹介した具体例や測定手順、改善のコツを参考に、ぜひ自社のリスクや目標に合わせてパフォーマンス評価を始めてみてください。そうすれば、審査員にも“しっかり運用しているISMS”として認められ、セキュリティ事故のリスクも確実に下げることができるはずです。

この記事の監修者情報

金光壮太 (ISOコンサルタント)

大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている