ISO/IEC 27000シリーズ規格

ISO/IEC 27001 の成り立ち

電子的にプログラム可能な最初のコンピュータであるコロッサス* が1943年に開発されて以来、コンピュータの世界は想像を超える速度で進化してきました。今日では、20億ものコンピュータがあると推定されています。コンピュータにより、私たちの生活は、人類史上かつてなかったほど、利便性が増し、安全が確保され、より自由なコミュニケーションが取れるようになっています。

*コロッサス Colossusは第二次世界大戦中にドイツの暗号通信を読むための暗号解読器として英国で開発、使用された電子管を使った計算機。

しかし、ICT (Information and Communication Technology) への依存度が高まるということは、ICT リスクに曝される危険性が高まるということです。ICT に問題が起こったり、望むような運用ができなかった場合、せいぜいまごつくぐらいならまだしも、最悪の場合、組織が法的な問題に巻き込まれたり、評判を落としたり、財務上ダメージを受けるといったことにもなりかねません。したがって、組織の情報セキュリティに対するすべてのリスクを体系的に検討し、それらのリスクを管理するための方針と手順を決める必要があります。組織は、自分たちの情報資産に対するすべての脅威を管理するために、管理策や対策を設計し、実施し、維持し、継続的に改善していかなければなりません。つまり、組織は情報セキュリティマネジメントシステム (ISMS) を確立する必要があるということです。

ISO/IEC 27001 は、企業がISMS を確立し、顧客のセキュリティ上の脅威に真剣に対応していることを実証することを可能にする枠組みを提供しています。数万の組織がすでにISO/IEC 27001によるISMS を実施しており、ICT の欠陥が報告されるにつれ、急速に広まってきています。この規格は、組織がプロセスと管理策を確実にすることを知っているという保証を提供しています。また、関連のベストプラクティスの開発や強化、並びに継続的改善の実施を推進します。

ISO/IEC 27001 の源を辿るとBS 7799-2 へと行き着きます。この規格は、1999年にBSI (英国規格協会) により発行されました。「情報セキュリティマネジメントシステム – 仕様及び利用の手引き」という題名のついた BS 7799-2 は、情報セキュリティマネジメントシステム (ISMS) をどのように実施するかに関する最初の規格でした。

BS 7799-2 は2002年に更新されましたが、2005年にも大きな改訂がありました。この年の終わりについにISO とIECは BS 7799-2 を正式なISO 規格、ISO/IEC 27001 としました。このとき、題名が「情報技術 – セキュリティ技術 – 情報セキュリティマネジメントシステム – 要求事項」と変更されました。

ISO/IEC 27001の2005年版では、組織のISMS を確立し、実施し、運用し、監視し、レビューし、維持し、改善するためにプロセスアプローチを採用することが要求されていました。セキュリティ問題に起因するビジネスリスクを評価すること、また、そのようなリスクに対して適切な管理策を適用することにより対処する戦略を開発することに大きな重点が置かれています。

ISO/IEC 27001 への適合の要は、すべての組織は適合宣言書 (Statement of Applicability =SoA) を作成しなければならないということでした。これは規格の附属書 A に示された管理目的と管理策のうちどれを組織は導入するのかを詳述するものです。これらの管理策はセキュリティ方針、人々、プロセス、物理的環境、機器、仮想環境、アクセス、インシデントの取扱い及び事業継続を軸として展開されています。さらに、組織は、附属書 A の管理目的と管理策のどれは実施しないのか、そしてそれはなぜかを宣言することが要求されていました。

2005年版から2013年版へ

2005年版の規格の中核となる要求事項は、私たち皆が知っているマネジメントシステムの要素に基づいています。すなわち、経営者のコミットメント、資源の提供、要員の力量、文書管理、内部監査、マネジメントレビュー及び改善です。

2013年に、ISO/IEC 27001 の第2版が発行されました。2005年版と2013年版の主たる違いは以下です;

• 新しい改訂版規格は、すべての新しいマネジメントシステム規格に共通の上位構造 (HLS) を用いて書かれています。これにより、組織が1つ以上のマネジメントシステムを運用している場合、統合がより簡単になります。
• 用語の変更がなされましたが、定義はISO/IEC 27001 から除かれ、ISO/IEC 27000 「情報セキュリティマネジメントシステム – 用語」へと移されました。
• リスクアセスメントの要求事項は、リスクマネジメント規格BS ISO 31000と整合が取られました。
• 経営者のコミットメントに関する要求事項は、「リーダーシップ」に焦点が置かれています。
• 予防処置は、「リスク及び機会に対処する活動」に置き換わりました。
• 適用宣言書の要求事項については同様ですが、リスク対応プロセスによって管理策を決定する必要性について本文で、より明確に説明されています。
• 附属書A の管理策は、脅威の変化を反映し、重複を除き、より論理的な分類になるよう変更されました。暗号及び供給者関係におけるセキュリティに追加がありました。
• 目標の設定、パフォーマンスの監視と指標

ISO/IEC 27000 シリーズ規格

情報技術に関連するISO/IEC 27000シリーズの規格は、ISO の中でもっとも多くの種類のあるものの1つです。ISO では、現在、47の27000シリーズ規格があります。何といっても、情報システムセキュリティの「中核」の規格はISO/IEC 27000、ISO/IEC 27001、ISO/IEC 27002ですが、ICT に関連するものは、デジタル証拠の分析Analyzing Digital Evidence (ISO/IEC 27042) から情報セキュリティ経済Information Security Economics (ISO/IEC 27016) 、侵入防止Intrusion Prevention (ISO/IEC27039) までと幅広くあります。

ISO/IEC JTC 1/SC 27 は、ISO/IEC 27000シリーズの規格の開発と維持を担当する合同技術小委員会です。この小委員会は2017年4月18日～22日の日程でニュージーランドのハミルトンで会合を持ちました。

この会合では、ISO/IEC 27000:2016 の小さな改訂の提案、そしてISO/IEC 27009:2016 (情報技術 – ISO/IEC 27001 のセクター固有の適用 – 要求事項 -- Security techniques -- Sector-specific application of ISO/IEC 27001 -- Requirements) を早期に改訂するという提案が採択されました。また、予定されているISO/IEC 27002:2013 及びISO/IEC 27005:2015 (情報技術 – 情報セキュリティのリスクマネジメント -- Security techniques -- Information security risk management) の改訂のために専門家が招かれていました。

なお、情報セキュリティ管理策の監査に関する手引きであるISO/IEC DTS 27008  (2014年8月から改訂作業中) の国際規格案 (DIS) が登録され、投票のために発行されています。また、情報セキュリティマネジメントシステム監査の手引きであるISO/IEC FDIS 27007及びエネルギー設備産業のプロセス管理における情報セキュリティの手引きである ISO/IEC FDIS 27019、情報セキュリティマネジメントシステム専門家の力量要求事項を規定するISO/IEC 27021がそれぞれ国際規格最終案 (FDIS)  として登録され、投票に向け発行されています。

ISO/IEC 27000ワーキンググループ1の次のミーティングは、2017年10月ベルリンで、開催される予定です。

◎情報セキュリティ関連では以下の記事もあります

>>ISO/IEC 27002 の改訂と ISO/IEC 27001 - 今後の変更点

>>ISO/IEC TS 27022:2021 – 情報技術 – 情報セキュリティマネジメントプロセスに関するガイダンス

>>ISO/IEC 27014: 情報セキュリティ, サイバーセキュリティ, プライバシー情報保護―情報セキュリティのガバナンス

>>ISO/IEC 27035 - 情報セキュリティインシデントが発生したとき、組織は何をすべきか？

>>ISO/IEC 27005:2018 情報技術－セキュリティ技術－情報セキュリティリスクマネジメント

>>ISO/IEC 27017:2015 – 情報技術 – ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範