ISO27001と情報セキュリティマネジメントシステム(ISMS)
掲載:2021年03月02日
改訂:2022年11月22日
改訂者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
ガイドライン
ISO27001は情報セキュリティマネジメントシステム(Information Security Management System: ISMS)の国際規格です。国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で発行し、情報セキュリティのベストプラクティスが集約されたもので、様々な業種・業態で広く活用されています。また、近年ではISMAP(政府情報システムのためのセキュリティ評価制度)やFedRAMP(米国政府機関におけるクラウドセキュリティ認証制度)のベースとなるなど、情報セキュリティを検討する上でまず押さえておきたい規格として注目を集めています。本稿ではISO27001のメリット、構成や特徴、関連規格などについて解説します。
なお、ISO27001の最新版(2022年11月現在)である「ISO/IEC27001:2022」について詳細はこちらをご覧ください。
ISO27001のメリット
ISO27001を導入するメリットは、次の3つです。
- 国際的な知見に頼ることで、効果的・効率的に管理できる手法を手に入れる
- 信頼性ある規格を「錦の御旗」に掲げることで、社内の統率をとりやすくする
- 認証取得による「お墨付き」を得る
以下、順を追って説明します。
国際的な知見に頼ることで、効果的・効率的に管理できる手法を手に入れる
ISO27001は前述の通り、情報セキュリティのベストプラクティスを集約した国際規格です。そうした国際的な知見が集約されたISO27001を導入することで、効果的・効率的に自組織の情報セキュリティを管理する手法を手に入れることができます。
信頼性ある規格を「錦の御旗」に掲げることで、社内の統率をとりやすくする
ISO27001という世界的に名の知られた優れた国際規格を、組織内に教科書として掲げることによって、社員の意思統一を図りやすくなります。会社には通常、既に何らかの情報セキュリティルールがある上、部署によってもばらつきがあります。このような環境下で情報セキュリティルールの統一化を目指すには、意識統一を図るための指針が必要です。ISO27001導入によって、「この信頼性ある教科書に従って現状のルール・意識の統一化を図っていこう」という号令を社内に対してかけやすくなります。
認証取得による「お墨付き」を得る
ISO27001には認証制度(ISMS適合性評価制度と呼びます)があります。独立・公平の第三者機関による客観的な審査を通じて「この組織は間違いなくISO27001に則ったマネジメントシステムを導入・運用しています」という「お墨付き」を得る制度です。第三者のお墨付きを得れば、「しっかりと情報保護をしてくれるだろう」という安心感を与え、ステークスホルダー、特に取引先の信頼を勝ち得ることができます。官公庁等の入札資格には、ISMS 認証取得を必須要件としている場合もあります。また、認証取得により、自組織の情報セキュリティマネジメントシステムの形骸化防止と実効性向上にもつながります。
ISO27001の構成と特徴
ISO27001の構成(章立て)は大きく三つに分類されます。一つ目が大項目1~3の、適用範囲や文書内で使用される用語などの基礎となる部分、二つ目がどのような組織であっても適用させる必要がある「要求事項(4.組織の状況~10.改善)」、三つ目は組織がリスクアセスメント実施結果に基づいて、導入するかどうかを決定する「要求事項(附属書Aの管理目的及び管理策)」です。
詳しい全体の構成は以下の通りです。
| 大項目 | 小項目 |
|---|---|
| まえがき | |
| 0. 序文 | 0.1 概要 0.2 他のマネジメント規格と両立性 |
| 1. 適用範囲 | |
| 2. 引用規格 | |
| 3. 用語及び定義 | |
| 4. 組織の状況 | 4.1 組織及び状況の理解 4.2 利害関係者のニーズ及び期待の理解 4.3 情報セキュリティマネジメントシステムの適用範囲の決定 4.4 情報セキュリティマネジメントシステム |
| 5. リーダーシップ | 5.1 リーダーシップ及びコミットメント 5.2 方針 5.3 組織の役割、責任及び権限 |
| 6. 計画 | 6.1 リスク及び機会に対処する活動 6.1.1. 一般 6.1.2. 情報セキュリティリスクアセスメント 6.1.3. 情報セキュリティリスク対応 6.2 情報セキュリティ目的及びそれを達成するための計画策定 |
| 7. 支援 | 7.1 資源 7.2 力量 7.3 認識 7.4 コミュニケーション 7.5 文書化した情報 |
| 8. 運用 | 8.1 運用計画及び管理 8.2 情報セキュリティリスクアセスメント 8.3 情報セキュリティリスク対応 |
| 9. パフォーマンス評価 | 9.1 監視、測定、分析及び評価 9.2 内部監査 9.3 マネジメントレビュー |
| 10. 改善 | 10.1 継続的改善 10.2 不適合および是正処置 |
| 附属書A(規定) | 管理目的及び管理策 |
※出典:ISO27001:2022を基に筆者作成
ところで、文書の構成はISOマネジメントシステム規格同士で統一化されています。例えば、「4.組織の状況」という章立ては、ISO9001(品質マネジメントシステム)でもISO14001(環境マネジメントシステム)でも、同様に登場します。逆に言えば、共通化されていない(他の規格とは文言の異なる)箇所があった場合には、それはその規格の特徴そのものであるということができます。
ではISO27001において他のマネジメントシステムとは異なっている目次箇所はどこでしょうか。上表の下線部がこれに該当します。これらは他のマネジメントシステム規格の目次には登場しない文言です。
「リスクアセスメント」や「リスク対応」という言葉が目立ちますが、これらがISO27001を支える大きな特徴の一つです。つまり、「情報セキュリティマネジメントシステムでは、リスクアセスメントを実施して、組織としての当たりどころを決めて必要な対策を決め、実行することが重要である」ということです。なぜなら「組織がどんな情報資産を重要視しているのか、それはどれくらい重要なのか、どこにどうやって保管されているのか」という問いへの答えによって、組織が抱えるリスクの大きさも、導入すべき対策の広さも深さも変わってくるからです。
ISO27000ファミリー規格
ISO27001以外のISMSに関連する規格の標準化が進められており、まとめて「ISO27000ファミリー規格」と呼んでいます。
ISO27000ファミリー規格は主に用語、要求事項、ガイドライン、セクター固有のガイドライン、サイバーセキュリティガイドラインの5種類について書かれています。「ISO/IEC 27102 サイバー保険のためのISM指針」「ISO/IEC 27019 エネルギー業界のための情報セキュリティ管理策」など、特定の業界に関わる規格も発行されており、その業界特有の情報セキュリティについて指針や管理策などを導入することができます。
| ISO/IEC番号 | 規格内容 | 状態 |
|---|---|---|
| ISO/IEC 27000 | ISMS 概要及び用語 | 発行済み |
| ISO/IEC 27001 | ISMS 要求事項 | 発行済み |
| ISO/IEC 27002 | 情報セキュリティ管理策の実践のための規範 | 発行済み |
| ISO/IEC 27003 | ISMSの手引き | 発行済み |
| ISO/IEC 27004 | ISMー監視、測定、分析及び評価の手引き | 発行済み |
| ISO/IEC 27005 | 情報セキュリティリスクマネジメントに関する指針 | 発行済み |
| ISO/IEC 27006 | ISMS 認証機関に対する要求事項 | 発行済み |
| ISO/IEC27558 (-> ISO/IEC27006-2) |
ISO/IEC 27701 認証機関に対する要求事項 | 作成中 |
| ISO/IEC 27007 | ISMS監査の指針 | 発行済み |
| ISO/IEC TS 27008 | ISO/IEC TS 27008 IS 管理策の評価(assessment)のための指針 | 発行済み |
| ISO/IEC TS 27008 | IS 管理策の評価(assessment)のための指針 | 発行済み |
| ISO/IEC 27009 | セクター規格への27001適用に関する要求事項 | 発行済み |
| ISO/IEC 27010 | セクター間及び組織間コミュニケーションのための情報セキュリティマネジメント | 発行済み |
| ISO/IEC 27011 | ISO/IEC27002に基づく電気通信組織のための情報セキュリティ管理策の実践の規範 | 改訂中 |
| ISO/IEC 27013 | ISO/IEC27001とISO/IEC2000-1との統合導入についての手引 | 改訂中 |
| ISO/IEC 27014 | 情報セキュリティのガバナンス | 改訂中 |
| ISO/IEC TR 27015 | 金融サービスに対する情報セキュリティマネジメントの指針 | 廃止 |
| ISO/IEC TR 27016 | ISM-組織の経済的側面(Organizational economics) | 発行済み |
| ISO/IEC 27017 | ISO/IEC27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範 | 発行済み |
| ISO/IEC 27019 | エネルギー業界のための情報セキュリティ管理策 | 発行済み |
| ISO/IEC 27021 | ISMS専門家の力量に関する要求事項 | 改訂中 |
| ISO/IEC 27022 | ISMS プロセスに関する手引 | 作成中 |
| ISO/IEC TR 27023 | ISO/IEC27002改訂版のマッピング | 発行済み |
| ISO/IEC TS 27100 | サイバーセキュリティの概要及びコンセプト | 作成中 |
| ISO/IEC TS 27101 | サイバーセキュリティフレームワーク策定の指針 | 作成中 |
| ISO/IEC 27102 | サイバー保険のためのISM指針 | 発行済み |
| ISO/IEC TS 27103 | サイバーセキュリティとISO及びIEC規格 | 発行済み |
※2022年11月現在
出典:「ISO/IEC27000ファミリーについて JIPDEC」を基に筆者作成
ISO27001に関する近年の動き
冒頭でも述べた通り、近年ではISO27001を他の情報セキュリティ評価・認証制度等のベースとする動きがあります。例えば、ISMAPにおける管理基準はいくつかのガイドラインを参照・組み合わせて構成されていますが、その一つとして採用されているのがISO27001です。管理者や実務担当者が実施すべき事項がISO27001に沿って定められています。また、FedRAMPのベースとなるNISTSP800-53は、ISO27001の管理策とのマッピングがとられています。このため、既にISO27001を導入している組織であれば、それを基に認証対応を進めることが可能になります。
こうした動きはISO27001が情報セキュリティの基盤として世界的に浸透していることの証左であり、今後さらに広がっていくことも考えられます。
ISO27001の仕組みを導入するには
ISO27001を組織に導入するには、準備が必要です。まず、認証制度や審査プロセス、ISO27001が求めている中身の正確な理解に基づいて、プロジェクト体制を組むことが必要です。メンバーの少なくとも一人はISO27001の規格を理解していなければなりません。整備には早くて3~4ヶ月、一般的には8~10ヶ月くらいの時間を要します。
運用を開始してから定着するまでには、実際に数ヶ月間の運用を経て、ルール上の不備や不遵守を発見し、そこからまた改善活動を回す必要があります。但し、誤った進め方をして、組織に役立つどころか、足を引っ張る仕組みが導入されてしまう可能性もあります。したがって、組織の体力にもよりますが、せめて導入年度は、コンサルティング会社を活用することをおすすめします。
