この記事は corp-engr 情シスSlack(コーポレートエンジニア x 情シス)Advent Calendar 2020 #1 の10日目です。 今年情シスSlackは3本のアドベントカレンダーが実施されておりますので、是非3本とも覗いていってください!
- 【初心者優先枠】corp-engr 情シスSlack(コーポレートエンジニア x 情シス) Advent Calendar 2020 #2
- corp-engr 情シスSlack(コーポレートエンジニア x 情シス)Advent Calendar 2020 #3
また、情シスSlackはこちらの参加リンクから参加可能です
はじめに
「所属企業でISO27001を取得することになった」「転職先が27001を取得していて運用しなければいけなくなった」
情シスやコーポレートIT、総務、法務、セキュリティ部門などをやっていると、こういった状況に置かれることは多いかと思います。私はしばしばこういった方々から「ISMS取得してるんですが、PPAP対策とかどうするのが一番良いんだろう」とか「ISMS取っててその縛りでこういう設定ができなくて困ってる」とかそういった相談を受けたりします。
そんな中で「障害になってるのはどのような規程ですか?」とか色々と深堀りしてみると単にその人の会社内でそういうルールを作っているせいであって、ISMSが理由では無いことが分かったりします。そして私は気づきました。
「そう!!!誰も!!!要求事項原文を読んでいないのである!!!」
実はISO/IEC 27001および、それに準拠した日本工業規格版のJIS Q 27001のいずれも要求していることは非常にシンプルなのです。物事を難しくしているのは大抵が自分たちで作ったルール(多くの場合外部のISMSコンサルにおんぶに抱っこで作ってもらったルール)なのです。
なおISMSコンサルの各社さんは大抵の場合間違いないものを作ってくださいますし、ISMS認証規格の取得において、専門家のいない組織においては非常に協力なパートナーとなりますので、是非活用するべきだと思います。
ただ、「要求事項を満たす為に何をしたら良いか」が分からなくとも「何を要求されている規格なのか」はITやセキュリティの専門家でなくとも理解しておかなければなりませんし、理解が難しいものでもありません。
というわけで本記事では、ISMS 認証規格のうち27000シリーズの全体像と、27001の要求事項をざっくり解説したいと思います。
そもそも ISMS, ISO/IEC 27001 とは
ISMSとはInformation Security Management System(情報セキュリティマネジメントシステム)の略称です。しばしば「ISMSを取得している」というセリフを聞きますがこれは完全完璧に誤った日本語です。ISMSとは取得するものではなく構築するものです。
ISMSを正しく構築し、滞りなく運用出来ているかどうかを認証する規格が「ISO/IEC 27001」です。ISOとは国際標準化機構、IECとは国際電気標準会議のことを表しており、ISOとIECが共同で作っている規格なので「ISO/IEC 27001」と表されます。(以下ISO/IECは省略します)
ISMSとは27001を取得していようと、していなかろうと各組織において独自に構築することは可能ですが、組織の情報資産をセキュアに保つ為の理想的なISMSを構築するための様々な要求事項を取りまとめているのが27001やそれに付随する27000シリーズの規格群なのです。
さて、ここでまた「27000シリーズ」という新たな言葉が出てきました。詳しくはWikipedia先生におまかせしますが、以下のような規格群があります。(重要なものを太字にしています)
- ISO/IEC 27000 - ISMS 規格群の概要と用語集
- ISO/IEC 27001 - 組織の ISMS を認証するための要求事項
- ISO/IEC 27002 - 情報セキュリティ管理策の実践のための規範
- ISO/IEC 27003 - ISMS 実装ガイド
- ISO/IEC 27004 - 情報セキュリティの監視、測定、解析及び評価
- ISO/IEC 27005 - 情報セキュリティのリスクマネジメント
- ISO/IEC 27006 - ISMS の審査及び認証を行う機関に対する要求事項
- ISO/IEC 27007 - ISMS 監査の指針
- ISO/IEC 27008 - 情報セキュリティ管理策のアセスメントの指針
- ISO/IEC 27017 - ISO/IEC 27002 に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範
- ISO/IEC 27018 - パブリッククラウド上の個人情報の保護の実践のための規範
- ISO/IEC 27035 - インシデント管理。複数の部から成る規格群。
- ISO/IEC 27701 - プライバシー情報マネジメントシステム(PIMS)規格
これらの中で、日本企業が多く取得しているのは「27001」と「27017」かと思われます。ざっくり言うと前者はISMSの構築における一般的な要求事項を定めたもの、後者はISMSの中でもクラウドサービスの利用および提供にフォーカスした規格となっており、Webサービスを提供している企業が取得することが多いようです。ちなみに私の所属する株式会社スタディストは27001と27017の両方取得しています。
27701はGDPRなど各国の個人情報保護規則に対応出来るように作られた汎用的な新しい国際標準です。今後徐々に日本でも取得企業が増えてくると予想され、Pマ○クを駆逐してくれるんじゃないかと期待してます(○マーク滅ぶべし)。但し、27017と同様に27001を取得していることを前提とした拡張認証規格なので単体で取得することは出来ません。
27001は何を求めているのか
さて、ここからが本題です。「組織の情報資産をセキュアに保つ為の理想的なISMSを構築するための様々な要求事項を取りまとめているのが27001」としましたが、この規格は一体どういったことを求めているのでしょうか?
パスワードの管理方法、電子メールによるファイルの送付方法、セキュリティエリアの区分方法、など色々思い浮かぶかと思いますが、このいずれも要求事項には含まれていません。
では要求事項とはどれを参照すれば良いかというと購入する必要があります。私の知る限りでは英語の原文をISOの公式サイト、日本語に翻訳されたものをJSA(日本規格協会)の公式サイトから入手することが可能です。
27001の要求事項原文はこちらです。名前が「ISO/IEC 27001」ではなく「JIS Q 27001」となっていますが、これはISO/IECをベースとしてJIS(日本産業規格)が邦訳したもので、中身は同じなので日本語で要求事項を読みたければこれを買っておけば間違いありません。ちなみにこれは審査員に教えてもらった情報なのですが、著作権の関係でISOが出している原文が1万円〜3万円ほどするのに対し、JIS規格だと3,000円〜5,000円で買えるので、お財布にも優しいです。
目次
要求事項は以下のようなコンテンツで構成されています。
- 0 序文
- 0.1 概要
- 0.2 他のマネジメントシステム規格との両立性
- 1 適用範囲
- 2 引用規格
- 3 用語及び定義
- 4 組織の状況
- 4.1 組織及びその状況の理解
- 4.2 利害関係者のニーズ及び期待の理解
- 4.3 情報セキュリティマネジメントシステムの適用範囲の決定
- 4.4 情報セキュリティマネジメントシステム
- 5 リーダーシップ
- 5.1 リーダーシップ及びコミットメント
- 5.2 方針
- 5.3 組織の役割,責任及び権限
- 6 計画
- 6.1 リスク及び機会に対処する活動
- 6.2 情報セキュリティ目的及びそれを達成するための計画策定
- 7 支援
- 7.1 資源
- 7.2 力量
- 7.3 認識
- 7.4 コミュニケーション
- 7.5 文書化した情報
- 8 運用
- 8.1 運用の計画及び管理
- 8.2 情報セキュリティリスクアセスメント
- 8.3 情報セキュリティリスク対応
- 9 パフォーマンス評価
- 9.1 監視,測定,分析及び評価
- 9.2 内部監査
- 9.3 マネジメントレビュー
- 10 改善
- 10.1 不適合及び是正処置
- 10.2 継続的改善
- 附属書 A(規定)管理目的及び管理策
- 参考文献
- 解説
附属書Aとは
目次の最後の方にある「附属書 A(規定)管理目的及び管理策」というものはインターネット上にも転がってるので、ISMSに関わっていれば見たことある人が多いのでは無いかと思います。「この附属書Aこそが要求事項だ」と思っている方も多いのではないでしょうか?
こちらはJIS Q 27001の要求事項原文から抜粋してきたものですが、「JIS Q 27002」という文字が見えるかと思います。27002は「情報セキュリティ管理策の実践のための規範」を定めたもので、いわばガイドラインです。そのガイドラインをさらに要約したものがこの附属書Aとなっています。Part2ではいくつかの項目について詳しくみていきますが、27001の本来の要求事項は目次の「0 序文」〜「10 改善」までのたった10ページぐらいの文量で非常にシンプルです。シンプルすぎて「じゃあどうすりゃいいんだよ」がわかりにくいので、ガイドラインとして27002および附属書Aが存在しているのです。
つまりISMS担当者は何を参考にしたら良いのか
私は以下2つに目を通しておくことをオススメします。
- JIS Q 27001:2014情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項
- JIS Q 27002:2014 情報技術―セキュリティ技術―情報セキュリティ管理策の実践のための規範
27001の目次4〜10が要求事項であるため、これに準拠する形でISMSの運用方法を定めた文書である「マネジメントシステム管理マニュアル」を作成します。各項目について実際に組織内でどのようなルールにするかを27002や附属書A、余裕があれば27005(情報セキュリティのリスクマネジメント)などを参考に定めていけば良いということです。
また27017まで取得する場合は「JIS Q 27017:2016 情報技術―セキュリティ技術―JIS Q 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範」を参照し、クラウドサービスの利用と提供に関する管理策を作成すると良いでしょう。
まとめ
このあと、27001の要求事項原文からいくつか抜粋して解説しますが、ISMSの運用担当になった方に向けて基礎知識と何をやれば良いのかをざっくりまとめます。
- ISO/IEC 27001は情報資産をセキュアに保つためのISMS(情報セキュリティマネジメントシステム)の構築・運用のやり方を定め、それを認証するもの
- ISMSの認証取得・運用担当者になったら
ISMSコンサルをどこかにお願いしている場合はコンサルの方から頂く文書群をベースに作られると良いかと思いますが、ISMSコンサルの方々は必ず審査に合格するようにボリュームのあるドキュメントを作られる場合が多いかと思います。ただ、それをそのまま使ってしまっては運用が回らなかったりドキュメンテーションばっかりしていることになってしまったりするので、ある程度担当者が自社向けにカスタマイズしていく必要があります。そういった場合に「これは必要なんだっけ?」と立ち返る為には要求事項を知っていなければなりません。
みなさん、要求事項原文を読むのです。。。
余談ですが、弊社株式会社スタディストはLRM株式会社さんにISMSコンサルをお願いしており、今年ドキュメント量を3分の1程度までシュリンクすることに成功してます。LRMさんはドキュメント群のフォーマットのアップデートも積極的に行われており、かなり省エネなドキュメントのベースを作成頂けるのでオススメです。
おまけ 27001 要求事項原文 概要説明
要求事項原文から本体部分となる「4 組織の状況」〜「10 改善」の概要を解説します。実際にドキュメントを作る際は27002を参考に作ると良いでしょう。
また、審査員にもよりますがこの要求事項の目次の枝番ごとに審査が行われることが多い為、ISMSの運用を定めた後は要求事項と照らし合わせて網羅されているかを確認すべきです。
4 組織の状況
ISMSの意図した成果を達成する為に「外部および内部の課題」を策定すべきである、とされており、以下を定める必要があると書かれています
- 利害関係者のニーズ及び期待の理解
- ISMSに関する利害関係者
- その利害関係者の情報セキュリティに関連する要求事項
- ISMSの適用範囲の決定
- 組織の部門構成や職種、場所などをベースに適用範囲を決定する
5 リーダーシップ
5.1 リーダーシップ及びコミットメント
組織がISMSを正しく運用するために、トップマネジメント(経営者や情報セキュリティ責任者)が取るべきリーダーシップについて書かれています。例えば以下のような事項が求められています。
- 組織のプロセスへの ISMS 要求事項の統合を確実にする。
- ISMS に必要な資源が利用可能であることを確実にする。
- 有効な情報セキュリティマネジメント及び ISMS 要求事項への適合の重要性を伝達する。
- ISMS がその意図した成果を達成することを確実にする。
- ISMS の有効性に寄与するよう人々を指揮し,支援する。
5.2 方針
トップマネジメントが確立すべき情報セキュリティ方針の要件が示されています。
- 組織の目的に対して適切である。
- 情報セキュリティ目的(6.2 参照)を含むか,又は情報セキュリティ目的の設定のための枠組みを示す
- 情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
- ISMS の継続的改善へのコミットメントを含む。
情報セキュリティ方針は,次に示す事項を満たさなければならない。
- 文書化した情報として利用可能である。
- 組織内に伝達する。
- 必要に応じて,利害関係者が入手可能である。
6 計画
組織が対応すべきリスクや機会の定義方法、リスクアセスメントのプロセス、リスクへの対応方法、それらを実行する計画について記載されています。
特に「6.1.2 情報セキュリティリスクアセスメント」の項目はISMSの根幹と言っても良いくらい重要な部分です。
- 次を含む情報セキュリティのリスク基準を確立し,維持する。
- 1) リスク受容基準
- 2) 情報セキュリティリスクアセスメントを実施するための基準
- 繰り返し実施した情報セキュリティリスクアセスメントが,一貫性及び妥当性があり,かつ,比較可 能な結果を生み出すことを確実にする。
- 次によって情報セキュリティリスクを特定する。
- 1) ISMS の適用範囲内における情報の機密性,完全性及び可用性の喪失に伴うリスクを特定するために,情報セキュリティリスクアセスメントのプロセスを適用する。
- 2) これらのリスク所有者を特定する。
- 次によって情報セキュリティリスクを分析する。
- 1) 6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行 う。
- 2) 6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。
- 3) リスクレベルを決定する。
- 次によって情報セキュリティリスクを評価する。
- 1) リスク分析の結果と 6.1.2 a) で確立したリスク基準とを比較する。
- 2) リスク対応のために,分析したリスクの優先順位付けを行う。
これらを漏れなく行う為に附属書Aに示される管理策と比較するべきとされていますが、附属書Aは全てを網羅しているわけでは無いため追加の管理目的および管理作が必要となる場合があるとされています。
7 支援
ISMSの確立、実施、維持及び継続的改善を行う為に、組織が提供すべき資源や、担当者の力量、ISMSの運用について定めたドキュメントおよびその更新などについて示されています。
文書管理方針などを定める際にはこの項の要求事項をベースに定めます。
8 運用
主に「6 計画」で定めたリスクアセスメントやリスク対応についての計画を着実に実行するための必要事項が示されています。レビューの必要性などが含まれています。
9 パフォーマンス評価
ISMSが正しく実施されているかを組織内部で評価するための必要事項が示されており、内部監査やマネジメントレビューについて記載されています。
10 改善
内部監査やインシデント、継続審査などで不適合や改善の機会が見受けられた場合の対応方法が示されています。
原因特定やそれに対する是正処置を定め、その効果測定を行うことなどが求められています。
おわりに
いかがでしたでしょうか?27001はたった10ページほどのシンプルな要求事項なので、是非購入して読んでみてください。
スタディストでは、ISMSの文書群のスリム化や、計画およびインシデント対応などをタスク管理ツールBacklogでの管理に寄せるなどして効率的かつ実践的なISMS構築・運用に取り組んでいます。また、各部門に担当者を設置し全社でタスク管理ツールを使ったISMS運用が出来るよう改善を続けています。
また、現在情報システムおよびセキュリティは私が一名で統括しているのですが、一名増員することとなりました。もしご興味あれば @okash1n までDMください!
明日は情シスのお姉さんこと sumi さん(@suemin_jp)です!宜しくお願いします!