ISO 27001 とは？　コンプライアンスと認証

ISO 27001 の概要

サイバー攻撃から情報を守るために、組織が取るべき対策の概略を示すセキュリティ管理の基準です。

国際標準化機構と国際電気標準会議が共同で制作しており、ISO 27001 には、情報資産を損失や不正アクセスから守るためのルールや義務、そして認証によって組織のセキュリティへの取り組みを示す方法が定められています。

情報保護の方針、手順、管理、報告体制、リスク評価方法、そして組織の構造などが含まれています。

‍

ISO 27001 の重要性

また、企業はISO 27001に準拠することで、最も重要な情報を守るための対策を講じていることを顧客や取引先に示すことが可能です。

さらに、ISO 27001の道筋をたどり試験に合格することで、将来の雇用主に対し、ISMSの運用や監査が行える知識と能力を証明できます。

世界的に認められた規格であり、企業や社会全体の可能性を広げます。

‍

ISO 27001 の仕組み

企業の情報が常に秘密に、安全に、かつ必要なときに利用できる状態にすることが主な目的です。そのため、まずリスク評価を行い、情報にどのような被害が及ぶかを把握し、そのリスクを防ぐための対策を講じます。

つまり、ISO 27001 の核は、潜在するリスクを見つけ出し、体系的な安全対策で対処することにあります。

ISO 27001 の監査では、企業は適用対象となる全ての管理策を「適用範囲声明」という文書で明示する必要があります。

‍

ISMSとは何か、なぜ必要か

企業の重要な情報を守るためには、確立されたISMSが欠かせません。リスク管理プロセスの導入により、どのような規模や業種の企業でも、最も大切な情報を守ることが可能です。

今日のデジタル社会で情報漏洩のリスクが増大する中、ISMSは企業のサイバーセキュリティ強化に不可欠です。ISMSの利点は以下の通りです。

• 攻撃への耐性向上: ISMSは、サイバー攻撃に備え、対処し、回復する能力を高めます。
• 情報の一元管理: 企業の全情報を一箇所で整理・管理できます。
• 多様な情報の保護: 紙媒体、クラウド、デジタルとあらゆる形態に対応します。
• セキュリティ対策コストの削減: リスク評価と予防策により、不必要な防御技術への投資を抑制します。

‍

ISO 27001 の要求事項と管理策

規格は2つの主要な部分に分かれています。まずは用語の定義や要求事項を規定する以下の項目です。

• Introduction — 情報リスクに体系的に対応する方法を述べています。
• Scope — どの規模・種類の企業にも適用可能なISMSの基準を定めます。
• Normative References — ISO 27001 適合を判断するための補助的な規格（ISO/IEC 27000のみ）を掲載します。
• Terms and Definitions — 規格内の専門用語を詳しく説明します。
• Organizational Context — 企業がISMSを構築する上で影響を及ぼす内外の要因を定義し、企業自身がISMSを開始、実施、維持、改善することを求めます。
• Guidance — 経営陣がリーダーシップを発揮し、方針策定や情報セキュリティの役割分担を指示します。
• Planning — 情報リスクの検出、評価、対応策の策定プロセスおよび目的を明確にします。
• Support — 十分な資源の配分、認識の向上、関連文書の整備を可能にします。
• Operation — 情報リスクの分析、対応、変更管理、文書管理の方法を示します。
• Valuation of Performance — 情報セキュリティ管理策の監視、評価、分析を求めます。
• Development — 監査結果に基づき、ISMSの継続的な改善を要求します。

各企業の独自の要件に最も適した管理策を選択し、必要に応じて追加しても構いません。

ISO 27001 の管理策は以下の分野に分類されます。

• サイバーセキュリティ規格 — 企業のセキュリティ方針や全体戦略に合わせた策定と見直しを保証します。
• 情報セキュリティの組織体制 — 特定の活動の責任者を明確にします。
• 人材セキュリティ — 従業員や契約者が自らの役割を理解するようにします。
• 資産管理 — 企業が貴重な情報を整理し、誰が何を守るかを管理します。
• アクセス管理 — 従業員が必要な情報にのみアクセスできるよう制限します。
• 暗号化 — 重要な情報の秘匿性と完全性を保つために暗号化を実施します。
• 物理的・環境的セキュリティ — ソフトウェア、ハードウェア、文書の紛失、損傷、盗難を防ぎ、施設への不正アクセスや破壊を防止します。
• データセンターの運用保護
• 情報システムのセキュリティ — デジタル資産の完全性を維持します。
• システムの調達、開発、維持 — 公共ネットワークや内部システム上でサービスを提供するシステムの保護を目的とします。
• サプライヤーとの関係 — 第三者との契約義務を管理します。
• 情報セキュリティインシデント管理 — セキュリティ事故の管理と報告の体制を整えます。
• 業務継続のための情報セキュリティ管理 — システム停止の防止または短縮を目指します。
• 適合性 — 関連する方針や原則に従い、非適合のリスクを低減します。

‍

ISO 27001 を支える規格

具体的な課題に関する指針を提供し、ISO 27001 の枠組みを補完する27Kシリーズの他の規格は以下の通りです。

• ISO/IEC 27000 は27Kシリーズ規格の基本概念を定義しています。
• ISO/IEC 27002 は管理策の実施に関する指針を示し、具体的な対策方法を明確にします。
• ISO/IEC 27004 は情報セキュリティの測定基準を提供し、ISMSの効果を評価する方法を詳述することでISO 27001を補完します。
• ISO/IEC 27005 は情報保護リスクの管理方法を定め、リスク評価や対応策の実施方法を示すことで、最も難しい部分の支援を行います。
• ISO/IEC 27017 はクラウド上の情報を守るための推奨事項です。
• ISO/IEC 27018 はクラウドストレージサービス内で個人情報を安全に保つための提言です。
• ISO/IEC 27031 は情報通信技術の業務継続性を確保するための考慮事項を規定し、情報セキュリティと業務継続性を結びつける重要な規格です。

‍

ISO 27001 認証とは

ISMS分野における最高峰の規格であり、リスク評価と適切な対策の実施により、情報への脅威を管理または軽減します。

ISO/IEC 27001 認証を取得することで、取引先、ベンダー、その他の関係者に、企業が重要情報を安全かつ確実に管理できることを示せます。

‍

ISO 27001 を取得するために必要なこと

ISO 27001 は世界的に認められたISMSの情報セキュリティ規格です。取得のためには、以下の手順を踏みます。

• ISMSの範囲を定め、企業の情報に関連する資産、脅威、リスクを特定します。
• 情報の秘匿性、正確性、利用可能性に対するリスクを洗い出すため、徹底したリスク評価を実施します。
• 認識されたリスクを軽減するための対策計画を策定し、実施します。
• ISMSの範囲、目的、管理策を明記した戦略や方針、その他の文書を整備します。
• 効果的な実施と監視を行うため、経営層の関与と支援を確保します。
• 管理策と標準作業手順を適用し、その効果を監視・評価し、必要に応じて調整します。
• 内部監査を実施し、基準が満たされているか、改善点があるかを定期的に確認します。
• 運用状況を定期的にチェックし、改善点を明らかにします。
• 第三者の認証機関による評価を受け、ISMSがISO 27001の要件を満たしていることを確認します。

これらの手順をすべて完了することで、企業は重要情報の安全性への取り組みを示し、ISO 27001に沿ったデータの信頼性、完全性、利用可能性を証明できます。

ISO 27001 認証の準備

以下の手順が、重要情報の安全確保と規制要件の充足のため、企業のISO 27001認証取得の準備に役立ちます。

• ステップ1: ISO 27001 チェックリストに基づくISMSを整備する。
• ステップ2: リスクを特定し、対策を講じる。
• ステップ3: ISO 27001に沿った手順と対策を整備する。
• ステップ4: ISOに認められた認証機関に適合性を確認してもらう。
• ステップ5: 定期的な監査を実施し、ISO 27001基準の遵守を確認する。

‍

ISO 27001 認証の利点

ISO 27001 規格の採用には様々なメリットがあります。

• 取引先やパートナー、関係者の情報保護に配慮していることを示せます。
• 消費者、供給業者、ベンダー、ビジネスパートナーなど、外部関係者の情報の秘密保持と保護に対する取り組みを示します。
• 国際的に認められたISMSの標準規格です。
• リスク対応力や準備の徹底を示すことで、競合他社との差別化が可能です。
• 無駄なコストや手間を削減し、時間と資金の節約につながります。
• 規制の厳しい業界との提携が容易になります。
• 人材や協業面でも、優秀な人材の獲得につながる可能性があります。
• 潜在的なリスクへの対応コストを抑える手助けとなります。
• 政府機関からの罰則リスク（例: GDPR）を低減します。
• 情報の盗難や不正利用から守ります。
• これを導入することで、情報漏洩時の影響と費用を軽減できます。

‍

ISO 27001 認証プロセス

ISO/IEC 27001 認証を取得するには、規格作成機関から認定を受けた認証機関と協力する必要があります。評価対象は以下の3つの情報セキュリティ分野です。

• 重要情報が不正アクセスから守られているための対策は何か。
• 情報の完全性、つまり改ざんが発覚せずに行われるかどうか。
• 必要なときに権限を持つ利用者がすぐにアクセスできるかどうか。

認証監査の目的を理解すると、数々のセキュリティ管理策によって脆弱性を検出し、対策を講じることが基本であると分かります。

認証機関がISMSの方針、手順、実践を確認し、基準への適合性を評価します。

認証の有効期間は3年で、その間、監査人が定期的に現場を確認し、基準が維持されているかをチェックします。認証企業は、継続的な適合性を示すため、年次の内部監査を実施する必要があります。

‍

ISO 27001 認証の費用

認証の費用は、企業の規模や複雑さ、認証の範囲、選択する認証機関、そしてコンサルタントの専門知識のレベルなど、様々な要因によって変動します。

ISO 27001 認証取得にかかる費用の主な例は以下の通りです。

• 企業の規模や複雑さにより、ギャップ分析やリスク評価のためのコンサルタント費用は数千ドルから数万ドルに及ぶ場合があります。
• 必要な方針や手順、その他の文書作成費用も、数千ドルから数万ドルになる可能性があります。
• 従業員へのISO規格の教育や研修費用も、数千ドルから数万ドルになる場合があります。
• 基準遵守を維持するための定期的な内部監査の年間費用は、数千ドルから数万ドルに及ぶ場合があります。
• 企業の規模や複雑さ、認証の範囲によっては、認証機関による審査費用も、数千ドルから数万ドルになる可能性があります。

総費用は数千ドルから数十万ドルに及ぶ場合があり、企業は認証取得のコストと利点を十分に検討する必要があります。

‍

結論

結局のところ、効果的なISMSの構築とその実施方法を定義する国際規格であり、組織内の情報の秘密性、完全性、利用性を守るための基盤を築きます。企業が規格の要求事項に従い、自らのリスクや脆弱性、対策の有効性を明確にすることで、関係者に対する情報保護への取り組みを示すことができます。

ISO 27001 認証は、企業の評価、顧客信頼、競争力の向上にも寄与します。企業は、時間と資源の大きな投資となる認証取得のコストと利点を慎重に検討するべきです。