ISO 27001 とは何か

ISO/IEC 27001 は、情報セキュリティ管理システム(ISMS: Information Security Management System)に関する国際規格です。International Organization for Standardization(ISO)と International Electrotechnical Commission(IEC)が共同で策定しており、組織が情報資産を適切に管理・保護するための要件を定めています。

現行バージョンは ISO/IEC 27001:2022 で、2022年10月に発行されました(前バージョン: 2013年版)。

なぜ ISO 27001 が重要か

  1. 国際的な信頼の証明: 取引先・顧客・規制機関に対してセキュリティ管理レベルを客観的に示せる
  2. 法規制対応の基盤: 個人情報保護法・GDPR・SOX 法などの法令遵守を体系的に支援
  3. サプライチェーンリスクの管理: 大手企業がサプライヤーに ISMS 認証取得を要件とするケースが増加
  4. 継続的改善の仕組み: 一度取得して終わりではなく、PDCA サイクルで継続的にセキュリティを改善
ポイント

ISO 27001 の認証を取得している組織は世界で 5 万件以上(2023年時点)あり、日本はその中で最も多くの認証取得件数を誇る国の一つです。

2022年版(ISO 27001:2022)の変更点

2013年版から2022年版への主な変更点は以下のとおりです。

管理策の再構成

2013年版:

  • 14のカテゴリ
  • 114の管理策(Annex A)

2022年版:

  • 4つのテーマ(組織的・人的・物理的・技術的)
  • 93の管理策(Annex A)
    • 新規追加: 11の管理策
    • 統合・削除によって全体数は減少

11の新規管理策(主なもの): 5.7 脅威インテリジェンス 5.23 クラウドサービスの情報セキュリティ 5.30 事業継続のための ICT の準備 8.9 構成管理 8.10 情報の削除 8.11 データマスキング 8.12 データ漏えいの防止 8.16 監視活動 8.23 Web フィルタリング 8.28 安全なコーディング

ヒント

2013年版の認証を取得している組織は 2025年10月31日までに 2022年版に移行することが求められていました(移行期限はすでに到来)。現在新規取得する場合は 2022年版が対象となります。

PDCA サイクルと継続的改善

ISO 27001 は PDCA(Plan-Do-Check-Act)サイクルに基づいた継続的改善の枠組みを採用しています。

Plan(計画):

  • 組織の状況の理解(内外の課題、ステークホルダーの期待)
  • ISMS の適用範囲の定義
  • リスクアセスメントの実施
  • リスク対応計画の策定
  • セキュリティ目標の設定

Do(実施):

  • リスク対応策の実装
  • 管理策の導入(Annex A の管理策)
  • 従業員への教育・訓練
  • 手順書・ポリシーの整備と運用

Check(評価):

  • 内部監査の実施(年1回以上)
  • マネジメントレビューの実施
  • セキュリティ指標のモニタリング
  • インシデント・不適合の記録

Act(改善):

  • 不適合・インシデントへの是正措置
  • セキュリティ改善施策の実施
  • 次のサイクルへのフィードバック

リスクアセスメントの手順

ISO 27001 の中核をなすのがリスクアセスメントです。組織の情報資産に対するリスクを特定・分析・評価し、適切な対策を選択します。

ステップ 1: 情報資産の特定

情報資産の例:

  • データ: 顧客情報DB、財務データ、設計図、ソースコード
  • システム: 社内サーバー、クラウドサービス、ネットワーク機器
  • ソフトウェア: 業務アプリケーション、OS、セキュリティソフト
  • 人: 従業員、業務委託先、システム管理者
  • 物理: データセンター、オフィス設備、記録媒体

ステップ 2: リスクの特定と分析

リスク = 脅威 × 脆弱性 × 資産価値

評価例(5段階スコアリング): 資産: 顧客個人情報データベース 脅威: 外部からの不正アクセス(脅威レベル: 4) 脆弱性: パッチ未適用の Web アプリ(脆弱性レベル: 4) 資産価値: 機密性=5, 完全性=4, 可用性=3 リスクスコア: 4 × 4 × (5+4+3)/3 = 64(高リスク)

ステップ 3: リスク対応の選択

リスク対応の4つのオプション:

  1. リスク修正(対策実施)

    • 管理策を導入してリスクを許容レベルまで下げる
    • 例: WAF の導入、パッチ適用の自動化

  2. リスク回避

    • リスクを生じさせる活動そのものをやめる
    • 例: 不要な個人情報の収集をやめる

  3. リスク共有(転嫁)

    • サイバー保険・外部委託でリスクを移転する
    • 例: サイバー保険の加入

  4. リスク受容

    • リスクが許容基準以下と判断し、意図的に受け入れる
    • 例: 低頻度・低影響のリスクとして受容

管理策の構成(4テーマ・93項目)

テーマ別の管理策数

  1. 組織的管理策(37項目)

    • 情報セキュリティポリシー
    • 役割と責任の割り当て
    • 脅威インテリジェンス
    • サプライチェーンセキュリティ
    • インシデント管理
    • 事業継続管理

  2. 人的管理策(8項目)

    • 採用・在職中・退職時のセキュリティ
    • 教育・訓練・意識向上
    • 懲戒プロセス

  3. 物理的管理策(14項目)

    • 物理的セキュリティ境界
    • クリアデスク・クリアスクリーン
    • 機器の管理・廃棄

  4. 技術的管理策(34項目)

    • アクセス制御
    • 暗号化
    • 脆弱性管理
    • マルウェア対策
    • 安全なコーディング
    • ネットワークセキュリティ

ISMS 認証取得のステップ

認証取得のプロセス

Phase 1: 準備段階(3〜6ヶ月)

  1. 経営層のコミットメント確保
  2. 推進体制の構築(ISMS 委員会設置、推進担当者の任命)
  3. ギャップ分析(現状と ISO 27001 要件の差異確認)
  4. 適用宣言書(SoA: Statement of Applicability)の作成

Phase 2: 構築段階(6〜12ヶ月) 5. ISMS 文書体系の整備(ポリシー・手順書・記録様式) 6. リスクアセスメントの実施 7. 管理策の実装 8. 従業員教育の実施

Phase 3: 審査段階(2〜3ヶ月) 9. 内部監査の実施 10. マネジメントレビューの実施 11. 第一段階審査(文書審査): 審査機関が文書体系を確認 12. 第二段階審査(実施審査): 審査機関が現場で運用状況を確認 13. 是正処置の対応 14. 認証書の発行

Phase 4: 維持・更新(3年サイクル)

  • 年1回: サーベイランス審査(維持審査)
  • 3年ごと: 更新審査
注意

認証取得後も年次のサーベイランス審査(維持審査)が必要です。審査の準備だけに集中して「取得したら終わり」という運用になると、形骸化した ISMS となりリスクが高まります。日常的な PDCA サイクルの回転が重要です。

NIST との対応関係

ISO 27001 と NIST CSF(Cybersecurity Framework)・NIST SP 800-53 は目的が近く、対応関係があります。

ISO 27001 ← → NIST CSF の対応例:

ISO 27001 A.5.7 (脅威インテリジェンス) ↕ NIST CSF: ID.RA (リスクアセスメント)

ISO 27001 A.8.8 (技術的脆弱性の管理) ↕ NIST CSF: DE.CM (継続的モニタリング)

ISO 27001 A.5.26 (情報セキュリティインシデントへの対応) ↕ NIST CSF: RS.RP (対応計画)

メリット:

  • NIST CSF で成熟度を評価しながら ISO 27001 の認証取得を目指せる
  • 両フレームワークを並行して活用することで、より包括的な管理が可能
理解度チェック

ISO/IEC 27001:2022 の Annex A における管理策の4つのテーマとして正しいものはどれですか?

理解度チェック

ISO 27001 のリスク対応における「リスク共有(転嫁)」に該当する例として正しいものはどれですか?