ISMS認証の取得を検討し始めると、費用の全体像がつかみにくいと感じる方は多いのではないでしょうか。審査機関への支払い、コンサルへの依頼、社内担当者の工数——発生する費用の種類が多く、しかも取得時・維持時・更新時と時期もバラバラです。「結局いくらかかるのか」が見えないまま、予算の検討が止まってしまうケースも少なくありません。
ISMS認証にかかる費用は、大きく①審査費用、②コンサル費用、③内部人件費の3種類です。取得パターン(コンサル利用の有無)と企業規模によって総額の構造が変わるため、「相場の数字」だけを見ても自社の予算感は掴めません。3種類の費用がそれぞれいつ・いくら発生するかを時系列で整理することが、正確な見積もりの第一歩になります。
ISMS認証にかかる費用を整理するとき、まず知っておきたいのは費用の性質の違いです。同じ「費用」でも、必ず発生するものとそうでないもの、見積もりに現れるものと現れないものがあります。以下の3種類に分けて把握すると、抜け漏れのない予算計画が立てやすくなります。
| 費用の種類 | 性質 | 支払い先 | 見積もりへの反映 |
|---|---|---|---|
| ①審査費用 | 必須 | 認証機関(外部) | ◎ 明示される |
| ②コンサル費用※ | 任意 | コンサル会社(外部) | ◎ 明示される |
| ③内部人件費 | 必須 | 自社担当者(内部) | △ 見積もりに現れない |
※注釈1:コンサル費用は契約上は任意ですが、初回取得時は利用するケースが一般的です。
①審査費用には登録審査料のほか、審査員の交通費・宿泊費、認証機関への年間登録料などが含まれます。見積書では別建てで提示されることが多いため、合計額で確認しましょう。
注意が必要なのは③内部人件費です。担当者がISMS構築・運用に費やす時間は給与として通常どおり支払われるため「新たな支出がない」と見なされがちですが、本来業務から割かれた工数は実質的なコストです。とくにコンサルなしで取得を目指す場合、この隠れたコストが想定以上に膨らむことがあります。
なお、組織の規模や既存環境によっては、これら3種類に加えてセキュリティツールの導入費用や従業員教育の研修費が発生するケースもあります。
以降のセクションでは、この3種類を順に掘り下げます。
※参考:ISMS-AC|情報セキュリティマネジメントシステム(ISMS)適合性評価制度の概要
審査費用は認証機関への支払いが必須となる外部コストです。取得時の初回審査だけでなく、毎年の維持審査、3年ごとの更新審査でも継続的に発生します。変動要因を理解してから相場を見ると、金額の幅が大きい理由が分かります。
審査費用は「審査工数(審査員×日数)」をベースに算出されます。この工数が増えるほど費用が上がる仕組みで、工数に影響を与える主な要因は以下のとおりです。
なお、審査工数の算出ルールは国際規格 ISO/IEC 27006 で定められており、認証機関が独自に増減させられるものではありません。
| 要因 | 費用への影響 |
|---|---|
| 従業員数・部門数 | 対象が増えるほど審査工数が増加 |
| 適用範囲(全社 vs 一部署) | 範囲が広いほど工数・費用が増大 |
| 拠点数 | 複数拠点の場合は現地審査・出張費が加算 |
| 業種・情報のリスクレベル | 機密情報が多い業種は審査が慎重になり工数増 |
| 既存の体制整備状況 | 文書・管理体制が整っていると審査が短縮される場合あり |
このなかで自社が直接コントロールできるのが適用範囲の設定です。全社適用か、特定の事業部門や拠点に限定するかで、初回審査費用は大きく変わります。まずスモールスタートで認証を取り、段階的に範囲を広げていく方法は、初期コストを抑える最も直接的な手段です。
※参考:ISMS-AC|情報セキュリティマネジメントシステム(ISMS)適合性評価制度の概要
審査は取得から3年間のサイクルで3種類あります。初回審査を基準にすると、維持審査は概ね初回の1/3程度、更新審査は2/3程度が目安とされています。
| 審査の種類 | 発生タイミング | 〜30名 規模の目安 |
31〜100名 規模の目安 |
101名〜 規模の目安 |
|---|---|---|---|---|
| 初回審査(取得) | 1年目 | 50〜80万円程度 | 80〜120万円程度 | 120万円〜 |
| 維持審査 | 毎年 (2・3年目) |
15〜30万円程度 | 30〜50万円程度 | 50万円〜 |
| 更新審査 | 3年ごと (4年目) |
35〜60万円程度 | 60〜90万円程度 | 90万円〜 |
※金額はあくまで目安です。実際の費用は認証機関・適用範囲・業種によって異なります。詳細は各認証機関にお問い合わせください。
注意したいのは、維持審査・更新審査の費用を初年度の予算計画に含め忘れるケースです。3年間の認証維持にかかる審査費用の総額は、初回審査費用の2〜2.5倍程度になります。稟議書や予算申請の際は、3年間累計で試算する習慣をつけておくと見通しが立てやすくなります。
審査機関から届く見積書には、直接の審査費用しか記載されていないことがほとんどです。実際には以下の費用が別途発生するため、事前に確認が必要です。
| 費用項目 | 内容 |
|---|---|
| 審査員の交通費・宿泊費 | 審査機関から現地までの交通費、遠方の場合は宿泊費が実費請求されます。自社の所在地と審査機関の距離によっては数万円単位の差が生じます |
| 登録料 | 初回認証取得時と更新時に別途発生します。3〜5万円程度が相場ですが、機関によって異なります |
| 再審査費用 | 審査で重大な不適合が指摘された場合、是正後に再審査を受けるための費用が追加で発生します。準備不足による審査失敗は想定外の出費につながるため、事前の体制整備が重要です |
コンサル費用は任意ですが、多くの企業が活用しています。「フルサポートかアドバイスのみか」という2択で考えるよりも、依頼できる作業のメニューを把握した上でスコープを決めるほうが、自社の状況に合った選択がしやすくなります。
コンサルへの依頼範囲は会社によって柔軟に設定できます。以下は主な作業メニューの例です。自社でできる部分を担当し、ノウハウが不足している箇所だけをスポットで依頼する、というアプローチも十分に有効です。
| フェーズ | 依頼できる作業の例 |
|---|---|
| 現状分析・計画 | ギャップ分析、適用範囲の設定支援、プロジェクト計画立案 |
| ISMS構築 | リスクアセスメント実施、規程・手順書の作成、管理策の選定支援 |
| 教育・訓練 | 従業員向けセキュリティ教育の実施、内部監査員の育成 |
| 審査対策 | 認証機関の選定支援、模擬審査・是正対応、審査当日の立ち会い |
| 認証取得後の運用 | 内部監査の代行・支援、文書改訂支援、維持審査・更新審査の準備 |
依頼範囲が広くなるほど費用は上がりますが、社内担当者の工数負担は大幅に減ります。逆に、依頼範囲を絞りすぎると「アドバイスは受けたが実作業は全部自社」という状態になり、コンサル費用の削減効果が薄れることもあります。
コンサル費用の相場は支援範囲によって大きく異なります。おおよその目安は以下のとおりです。
契約形態としては「期間固定型(6か月・18か月など)」と「月額型」の2パターンが一般的です。期間固定型は取得までの総額が見えやすく、月額型は取得後の運用支援まで含めて継続的に活用しやすいという特徴があります。
| 支援の形態 | 年間費用 の目安 |
特徴 |
|---|---|---|
| アドバイスのみ | 30〜50万円程度 | 費用は抑えられるが、実作業はすべて自社対応。ノウハウがないと工数が膨らみやすく、自社で作成した文書に無駄なルールが残り、取得後の運用負荷が増えるリスクもある |
| 構築支援+運用サポート | 50〜150万円程度 | 文書作成・審査対策まで一貫して支援。担当者の負担を大幅に軽減でき、実務に即した必要最低限のルール設計がしやすい |
| 認証取得後の運用サポートのみ | 月額数万円〜 10万円程度 |
取得後の維持・運用フェーズで活用。維持審査の準備や文書改訂を継続支援 |
「安いプランを選んだが社内工数が想定の3倍かかった」という声は珍しくありません。コンサル費用だけで比較するのではなく、自社が実際に動かせるリソースと照らし合わせて選ぶことが、トータルコストを抑えるポイントです。
コスト削減の観点から「自社だけで取得できないか」を検討する担当者は多いでしょう。結論から言えば、以下の条件をすべて満たしていれば現実的な選択肢になりますが、一つでも欠けると取得期間の長期化や審査失敗のリスクが高まります。
特に注意が必要なのは、「コンサルなし=費用が安い」とは限らない点です。
たとえばISMS担当者が業務時間の50%を1年間ISMS構築に充てた場合、月給30万円・社会保険料等の企業負担込みで考えると、人件費換算で200万円超になります。コンサルに50〜100万円を支払って取得期間を数か月短縮するほうが、組織全体のコストは低く抑えられるケースも十分あります。また、コンサルに依頼すれば、文書化のノウハウや審査での頻出論点を踏まえた効率的な構築が可能で、取得後の運用負荷の軽減にもつながります。コンサルなしを選ぶ際は、外部費用の節約額と内部工数の増加分を比較してから判断することをおすすめします。
費用の種類と相場を把握したところで、実際の予算感を「3年間の外部支出累計」として整理します。内部人件費はパターンや担当者の工数によって大きく変わるため、以下の表では外部支払いのみを対象にしています。
| パターン | 1年目(初回審査+コンサル) | 2年目(維持審査+コンサル) | 3年目(維持審査+コンサル) | 3年間累計(外部費用) |
|---|---|---|---|---|
| コンサルあり × 小規模(〜30名) | 120〜230万円 | 65〜130万円 | 65〜130万円 | 250〜490万円 |
| コンサルあり × 中規模(31〜100名) | 170〜320万円 | 80〜200万円 | 80〜200万円 | 330〜720万円 |
| コンサルなし × 小規模(〜30名) | 50〜80万円 | 15〜30万円 | 15〜30万円 | 80〜140万円 |
※上表の金額は審査費用+コンサル費用の外部支出のみの概算です。内部人件費・設備投資・ツール導入費は含まれていません。実際の費用は認証機関・支援内容・適用範囲によって変動します。
表を見ると「コンサルなし×小規模」の外部費用は確かに低く抑えられます。ただし前述のとおり、内部人件費を加えると逆転するケースがあります。とくに初めてISMSを取得する組織では、規格の解釈・文書作成・内部監査の準備といった作業に想定以上の時間がかかりがちです。外部費用の数字だけで「安い選択肢」を判断しないことが重要です。
ISMS費用の削減は、単純に「高いものを安くする」という話ではありません。費用構造のどこに手を入れるかによって、コスト削減の効果も変わります。判断に迷いやすい3つの論点を整理します。
適用範囲の設定は、審査費用・コンサル費用・内部工数のすべてに影響を与えます。スモールスタートと全社適用の考え方を整理すると、次のようになります。
| アプローチ | メリット | 留意点 |
|---|---|---|
| スモールスタート(1部署・1拠点) | 初期費用・審査工数が少ない。認証取得のノウハウを組織に蓄積できる | 適用範囲外の部署は認証の効力が及ばない。取引先から全社認証を求められる場合は注意 |
| 全社適用 | 社内に統一した情報管理体制が敷ける。取引先への訴求力が高い | 初期の審査費用・工数が大きくなる。組織変更や人員増加の影響を受けやすい |
段階的拡大のイメージ:
【Phase 1】情報システム部門のみで認証取得 → 【Phase 2】開発部門・営業部門に拡大 → 【Phase 3】全社適用
取引先や入札要件で「全社ISMS認証」を求められるケースは増えていますが、まず1部署で取得して運用実績を積んでから拡大するアプローチは、リスクと費用を分散させる現実的な方法です。
国内で認定を受けているISMS認証機関は複数存在し、費用体系は機関によって異なります。同じ規模・同じ適用範囲でも、機関を変えると審査費用に差が出ることがあります。複数機関から見積もりを取ることは費用管理の基本ですが、比較の際に確認すべき項目は金額だけではありません。
| 確認項目 | ポイント |
|---|---|
| 交通費・宿泊費の扱い | 審査費用の見積もりに含まれているか、実費別途請求か |
| 維持・更新審査の費用体系 | 初回だけでなく3年間のトータルで比較する |
| 審査工数の根拠 | 自社の従業員数・適用範囲に対して適切な工数が設定されているか説明を求める |
| 審査員の専門性 | 自社の業種・業務内容に精通した審査員が対応できるか |
「安さだけで選んだ審査機関との相性が悪く、審査当日に想定外の指摘が集中した」という事例もあります。費用は判断材料の一つであって、唯一の基準にはなりません。
※参考:ISMS-AC|ISMS認証取得組織検索(認証機関一覧)
ISMSの審査費用やコンサル費用そのものを直接対象とする国の補助金は、現時点ではほぼ存在しません。ただし、ISMS構築の過程で導入するセキュリティツール・機器の費用については、以下のような制度を活用できる可能性があります。
| 制度名 | 運営 | 概要 |
|---|---|---|
| デジタル化・AI導入補助金(旧:IT導入補助金) | 国(中小企業庁) | 中小企業のITツール導入を支援する制度。セキュリティ対策ツールの導入費用が対象になるケースがあります |
| サイバーセキュリティ対策促進助成金 | 東京都中小企業振興公社 | 中小企業のサイバーセキュリティ対策設備の導入費用を一部補助する制度です |
ただし、補助金・助成金は申請要件・公募期間が設けられており、認証取得のスケジュールとタイミングが合わないケースもあります。また、国の補助金は基本的にツール導入が対象で、ISMS取得費用そのものを賄えるわけではない点に注意が必要です。活用を前提にプロジェクト計画を立てるのではなく、申請可否を確認してから予算に組み込むのが現実的な対応です。自治体によっては独自の支援制度を設けているケースもあるため、地元の商工会議所や中小企業支援センターへの問い合わせも有効です。
※参考:デジタル化・AI導入補助金(旧:IT導入補助金)公式サイト、東京都中小企業振興公社|サイバーセキュリティ対策促進助成金
ISMS認証にかかる費用は、3種類で構成されます。
取得パターンと企業規模によって総額の構造が大きく変わるため、「相場の数字」だけを参考にすると実態とのズレが生じやすくなります。
予算立案で迷ったときの判断の順序は、まず外部費用(審査費+コンサル費)で3年間の概算レンジを押さえ、次に自社担当者の工数を人件費に換算して総額を試算することです。コンサルなし取得が「安い選択肢」になるかどうかは、この内部コストの試算なしには判断できません。
「何にいくらかかるか」の全体像は掴めてきたものの、自社の状況に照らしてどの取得パターンが適切かを判断するのは容易ではありません。ユービーセキュアでは、現役のセキュリティコンサルタントが個社の状況をヒアリングしながら課題と方針を整理する無料相談を受け付けています。「何から手をつけるべきか」という段階からでもお気軽にご相談ください。