ISO 27001 (ISMS) 準拠ガイド: 重要なヒントと洞察

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。

このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第10回目となる今回は、「ISO 27001 (ISMS) 準拠ガイド: 重要なヒントと洞察」と題して、「ISMS」として広く知られている情報セキュリティ規格と、その内容、および認証を取得する方法をご紹介する、ITおよびサイバーセキュリティのコンサルタントRobert Grimmick氏のブログ記事をご紹介いたします。

HIPAA、CMMC、PCI、ISO、NIST......最近、組織が選択しなければならない潜在的なセキュリティフレームワークや認証の範囲は、アルファベット略語だらけで、コンプライアンスのスペシャリストでさえ眩暈がしてきます！

国・地域や業種に特化した選択肢が増え続ける中、ISO 27001規格は、世界中で業種を問わず適用できることから、人気の高い選択肢となっています。お客様の組織がISO 27001準拠への旅に乗り出すことを検討している場合には、この規格の内容、 ISO 27001認証を取得する方法、それからVaronisがどのように役立つのかについて、以下をお読みください。

おさらい：ISO 27001とは何でしょう？

ISO 27001規格は、正式にはISO/IEC 27001:2022 『情報セキュリティ、サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項』として知られており、主に情報セキュリティ管理システム (ISMS) の実装と管理に焦点を当てています。国際標準化機構 (ISO) と国際電気標準会議 (IEC) の共同製品であるISO 27001は、ISO/IEC 27000シリーズの12以上の標準規格の中で、最もよく知られています。また、ISO 27002以降は主に「メイン」規格のガイダンスおよび参考資料であるため、シリーズ内唯一の組織が認証を受けることができる規格でもあります。

他の規格やフレームワークとは対照的に、ISO 27001準拠を達成して実証するために、特定の技術的管理策を厳守する必要はありません。その代わりに、リスク管理と組織全体のセキュリティに対して包括的かつ積極的なアプローチを取ることに重点が置かれています。規格の「附属書A」にはたくさんの管理策が記載されていますが、ISO 27001の認証を受けたすべての組織が、これらの個々の管理策をすべて実施しているとは限りません。むしろ、各組織は、事業運営上の固有のリスクに基づいて、これらの管理策の適切なサブセットを適用します。

現代の組織の「情報」の大部分はデジタル化されていますが、方針や手順、専有知識、更には上級リーダーシップの賛同などは、無形資産であるため、失われたり取り込まれたりした場合には組織に悪影響を及ぼす可能性があります。組織の情報の機密性、完全性、可用性を維持するための、方針、手順、人、文書、管理策は、情報セキュリティマネジメントシステム (ISMS) と総称されます。

ISO 27001への準拠または認証は必須ですか？

簡単に答えると「ノー」です。ISO 27001への準拠を法的要件と混同して誤解している人がいますが、組織にフレームワークの実装を義務付ける法律がある国はごく少数です。もちろん、実際にはそれほど単純なものではなく、組織がISO 27001認証を必要とする場合があります。特にヘルスケアや金融のようなデリケートな業界では、契約書やベンダーの調達方針でSO 27001への準拠を要求することがあり、また実際に必要とされることがよくあります。また、正式には要求されていなくても、ISO 27001認証が一般的に期待されている市場セクターもあります。例えば、Varonisは、データセキュリティソリューションを求める企業のお客様が、選定候補となるベンダーがきちんとした会社であることを期待していることを認識しているため、当社が取得しているISO 27001を含むすべての認証の情報を「信頼とセキュリティ」ページから簡単にアクセスできるようにしています。

ISO 27001認証取得の方法

ISO 27001認証取得までの道のりは長く、全工程に1年以上かかることも珍しくありません。ISO自体がISO 27001の認証を与えているわけではありません。その代わりに、第三者の監査人や審査員が、発行されたISO規格に従って、組織が関連するベストプラクティスのすべてを効果的に実施していることを検証します。

この仕組みは、フレームワークが規定された技術的管理策ではなくリスク管理に重点を置いていることと同時に、認証を保証する普遍的な「ISO 27001準拠チェックリスト」が存在しないことを意味します。フレームワークをどのように実装するかは各組織の判断に委ねられており、審査員は各ケースをどのように評価するかについて、一定の専門的裁量を行使することになります。

しかし、審査員や審査機関を招聘する準備が整った組織であれば、認証を取得するためのプロセスは確立されています。認証審査は、次の3つに分かれています。

• 一次審査：外部審査員または認証機関が、組織のISMSの概要レビューを実施します。この審査での作業の多くは、組織がより詳細な二次審査に進む準備ができているかどうかを判断するためのものです。重要な文書の不足、マネジメントによる支援の不足、メトリクスの不十分な特定などの要因が見つかれば、ISO 27001の審査は中断してしまいます。

• 二次審査：より詳細な審査が実施され、規格に明記された要求事項を満たすために組織において具体的なセキュリティ管理策がどのように適用されているのかが確認されます。この審査では、審査員は、組織が一次審査で確認された文書に書かれているすべてのことを実際に実施している証拠を確認します。

• 維持審査：正式に認証を受けた後、組織はISO 27001認証を維持するために、年次で維持審査を受けなければなりません。これらの審査は、二次審査で実施される審査ほど厳格ではありませんが、要求事項のいずれかに適合しない場合、記載された有効期限の前にISO 27001認証が取り消される可能性があります。

ISO 27001の条項と管理策

2022年に発行されたISO 27001規格の最新改訂版は、「0」から「10」までの番号が付けられた11の条項と、具体的なセキュリティ管理策を列挙した「附属書A」で構成されています。序文を除き、主要な条項には、いくつかの副項目が含まれています。条項4から10は「要求事項」と見做され、組織はこれらの条項に明記された要求事項を満たさない限り、ISO 27001準拠の認証を得ることはできません。11個の主要な条項の内容は以下の通りです。

0. 序文：規格とその目的を紹介しています。

1. 適用範囲：情報セキュリティマネジメントシステムおよびリスク対応に関する要求事項の概略を提示しています。また、この規格が汎用的なものであり、あらゆる業種や規模の組織に適用できることを意図していることを表明しています。

2. 引用規格：ISO 27000と27001規格の関係を説明しています。

3. 用語及び定義：規格で用いられている用語について説明しています。

4. 組織の状況：最初の要求事項です。利害関係者、外部及び内部の課題、法的及び規制の要求事項を網羅しています。組織は、この要求事項の一環として、適用範囲、境界、適用可能性を決定しなければなりません。

5. リーダーシップ：真のISO 27001準拠には、トップマネジメントの全面的な支援が必要です。リーダーシップに関する要求事項では、機能的にISMSを実施し維持する際の上級管理層の責任を説明しています。審査手続きにはトップインタビューも含まれるため、マネジメントからのコミットメントは真に本物でなければなりません。

6. 計画策定：計画策定に関する要求事項では、リスクアセスメント、リスク対応、企業のより大きな事業目標に関連するISMSのパフォーマンスを測定するための指標の作成が含まれています。組織は、リスクのアセスメントと分析の基準を定義し、文書化をする必要があり、また、特定されたリスクにどのように対応するかを定める必要があります。

7. 支援：この要求事項では、ISMSを成功裏に実施し、支援するために必要な資源を挙げています。よく訓練された従業員、方針の効果的なコミュニケーション、文書の作成及び更新についての標準化された手続きなどについて考えます。

8. 運用：運用の要求事項では、計画策定の要求事項で作成したものの多くを実行に移します。「計画策定」が、リスクアセスメントの基準の定義する要求事項であったのに対して、「運用」はアセスメントの実際の実施と文書化の要求事項です。これはまた、リスク対応計画を実施する要求事項でもあります。

9. パフォーマンス評価：ISMSのパフォーマンスを測定することはISO 27001の実装を最大限に活用するために非常に重要です。「パフォーマンス評価」には、マネジメントシステムを構成する方針、手順、管理策をどのように監視し、評価するかについての要求事項が含まれています。また、定期的な内部監査とマネジメントレビューの実施も求めています。

10. 改善：最後の要求事項は、規格の要求事項に対する不適合と、情報セキュリティプログラムの継続的な改善の両方を扱っています。

ISO 27001 附属書 A：情報セキュリティ管理策一覧

ISO 27001規格書の要求事項では、主要な要求事項に加えて、組織の情報セキュリティプログラムをサポートするために使用できる管理目的と管理策の附属書が含まれています。附属書には、4つのカテゴリーに分類された93個の管理策が含まれています。これらの管理策と管理目的は、ベストプラクティスの参考資料として提供されていることに留意してください。ISO 27001規格の審査は、組織が各管理策を実施しているかどうかを調べることはもちろん、各管理策が必須の要求事項をどのように満たしているかという観点から行われます。

これらの管理策リファレンスの簡単な概要を以下に示します。

1. 組織的管理策

2. 人的管理策

3. 物理的管理策

4. 技術的管理策

ISO 27001への準拠を維持するためのヒント

ISO 27001認証の有効期間は3年間であり、その3年間の間に、毎年の維持審査が必要です。したがって、このフレームワークは単発のプロジェクトではなく、継続的な注意が必要な取り組みです。

事業が成長し、進化し続けるにつれて、ISMSの適用方法も変化します。過去10年間にオンプレミス環境からクラウドアプリケーションに移行した企業を考えてみてください：移行の前後で情報セキュリティへのアプローチ方法が大きく異なるのは当然です。

ISO 27001への準拠を維持するため、組織は、組織内のさまざまな利害関係者で構成される「タスクフォース」の結成を検討するでしょう。このタスクフォースは、定期的に会合を開いて、未解決の問題を検討し、ISMSの更新を検討することになります。

1. コンプライアンスを日々の業務に組み込む。フレームワークは、準拠を維持するために定期的に対処する必要があるだけのものではありません。

2. ライフサイクル全体を通じて上級マネジメントを関与させ続ける。トップレベルの利害関係者からの賛同は、最初の認定が達成されたからといって終了できるものではありません。

3. 全体的なセキュリティ態勢の一部として、フレームワークとISMSを監視および評価する。セキュリティインシデント？ISMSが結果にどのような影響を与えたかを評価し、是正措置があれば文書化します。

4. 新しいリスクを常に把握する。ISO 27001規格は、主にリスク管理に関する規格であることを忘れないでください。リスクは静的なものではなく、新たなサイバー脅威が出現し、ビジネスが成熟し続ける中で進化します。組織は、新たなリスクが発生した場合、継続的に評価および分析をする必要があります。

5. 定期的に内部監査とギャップ分析を行う。審査員による再認証で、重要な管理策がもはや有効に機能していないことに気づくようなことがあってはなりません。

6. 他の部門を巻き込む。附属文書Aの項目の一つに人的管理策が含まれていることにお気付きですか？つまりIT部門だけではなく、人事部門や社内の他の部門もISO 27001の継続的な維持に関与しなければなりません。

7. 文書化、文書化、文書化。組織が実施する活動の多くはISMSに適用できるものですが、適切に文書化されていなければ、将来の審査には役立ちません。

8. 文書化されていることを継続的に実施する。二次審査や再認証審査では、審査員は、文書に明記されたことが実際に実施されているかどうかの証拠を探すことをお忘れなく。会社の規定する方針に、従業員は毎年セキュリティ意識向上トレーニングを受ける必要があるとされている場合、従業員は実際にそのトレーニングを受ける必要があります。

9. 継続的に適用範囲を評価する。会社が新しい事業部門を開設したり、新しい地域に進出したりする場合、ISO 27001準拠の適用範囲は会社の新しい部分にまで拡大する必要がありますか？

VaronisがISO 27001認証をお手伝いする方法

リスクの特定と対処は、ISO 27001規格の中核をなすものです。しかし、見えていないもののリスクを軽減することはできません。誰が機密性の高いデータにアクセスしているのか、そのアクセスがどのように行われているのかを可視化できていない組織は、リスクの適切な特定や軽減ができません。Varonisが提供するData Access Intelligenceツールは、この可視性を実現する完璧なツールです。DatAdvantage Cloudは、企業の境界を越えて危害をもたらす可能性のある過剰な露出や設定不備について、これまでにない可視性を提供します。企業がISO 27001の成熟度を高める中で、Varonis Data Security Platformのその他のコンポーネントは効率を高め、規格認証の維持を支援します。

ISO 27001に関するよくある質問 (FAQ)

Q: ISO 27001の要求事項とは何ですか？

A: ISO 27001は情報セキュリティの規格です。ISO 27001認証を取得するためには、規格のあらゆる側面を網羅する情報セキュリティマネジメントシステム (ISMS) を維持する必要があります。その上で、認証機関に本審査を依頼することができます。

Q: ISO 27001認証を取得することにはどんな意味がありますか？

A: ISO 27001認証を取得するということは、組織が外部による審査に合格し、すべての準拠基準を満たしていることを意味します。つまり、サイバーセキュリティの評判を高めるために、規格に準拠したことを告知することができるようになったことを意味します。

Q: ISO 27001に準拠するためのプロセスはどのようなものですか？

組織は正式な認証を受けずにISO 27001フレームワークを実装することを選択できますが、「ISO 27001準拠」とは、一般的に、独立した審査により規格のすべての要件を満たしていることの認証を受けた組織のことを指します。規格への準拠は継続的に維持されなければなりません。

Q: 最新の ISO 27001規格は何ですか？

A: 最新の規格は、ISO/IEC 27001:2022の正式名称で知られています。ISO 27001の第3版として2022年に発行されました。

Q: ISO 27001はGDPR に準拠していますか?

A: ISO 27001 は主にISMSを構築するためのフレームワークであるため、欧州連合によって制定された一般データ保護規則 (GDPR) の特定の規則をすべて網羅しているわけではありません。ただし、データプライバシーシステムの確立を対象とするISO 27701と組み合わせると、組織はGDPRで指定された要件を完全に満たすことができます。

Q: SOX法とISO 27001の主な類似点や相違点は何ですか？

A: ISO 27001 は情報とデータの一般的な管理を対象としているのに対して、サーベンス・オクスリー法 (SOX) は、米国における財務情報の開示方法に特化したものです。幸いなことに、幅広いデータ管理を行う企業にとって、ISO 27001認証を取得することは、SOX規格への準拠を証明するのにも役立ちます。

Q: NISTとISO 27001の違いは何ですか？

米国政府機関である米国国立標準技術研究所 (NIST) は、NIST 800-53 や NIST 800-171 など、サイバーセキュリティとデータセキュリティに関連するいくつかの規格を発行しています。これらの出版物は、ISO 27001規格とは異なり、米国連邦政府機関とコントラクターに焦点を当てており、より規範的で管理策ベースの構造になっています。NIST規格に準拠するには、通常、規格で指定されているすべての管理策を実装する必要がありますが、ISO 27001への準拠では、組織が固有のニーズに合わせて管理策を調整できるリスクベースのアプローチを重視されています。

Q: 他のISOの目的は何ですか？

A: 国際標準化機構 (ISO) は、エネルギー管理からヘルスケアまで、あらゆるものに関する規格を発行しています。ISO 27001は最もよく知られている情報セキュリティ規格ですが、他にも数十のISO規格がセキュリティ技術（例、クラウドサービスなど）をカバーしています。一部のISO規格の中には、よりよく知られている同種の規格を実装するためのガイダンスやベストプラクティスを提供しているものもあります。

おわりに

ISO 27001への完全な準拠を達成することは困難な作業のように思えるかも知れませんが、お客様、パートナー従業員が機密データの扱いにますます懸念を持っている世界においては、それは大きな資産となり得ます。この規格に対する認証は、データセキュリティに対する強いコミットメントを示すものだからです。また、Varonisは、Data Security Platformを通じて、ISO 27001の旅をお手伝いします。

参考

・オリジナルブログ記事（英文） https://www.varonis.com/blog/iso-27001-compliance

・DatAdvantage Cloud https://www.varonis.com/ja/products/datadvantage-cloud

・Varonis Data Security Platform https://www.varonis.com/ja/products/data-security-platform

・ホワイトペーパー「ISO/IEC 27001:2022 Varonis Data Security Platform によるコンプライアンス対応」 https://view.highspot.com/viewer/6658b0739f9f5cce0c511d6f

・信頼とセキュリティ https://www.varonis.com/ja/trust

ブログ記事著者のご紹介

Robert Grimmick

Robertは、南カリフォルニアを拠点とするITおよびサイバーセキュリティのコンサルタントです。彼は、コンピュータセキュリティに対する最新の脅威について学ぶことが好きです。

（翻訳：跡部 靖夫）