ISO 27001

要約 

ISO 27001は、情報セキュリティリスクを管理するためのグローバル標準です。これは、セキュアなISMSを構築・維持する方法を定義しており、スコープ設定、リスクアセスメント、附属書Aの管理策、監査などが含まれます。

SOC 2よりもプロセスが重いですが、その範囲はより広範です。国際的に事業を展開している場合や、スケーラブルでリスクベースのセキュリティフレームワークを導入したい場合には不可欠です。

ISO 27001 スコアカード概要：

• 開発者の労力: 中程度から高い（セキュアなSDLCポリシーへの準拠、リスク評価への参加、A.12/A.14のような管理策の証拠提供が必要です）。
• ツールコスト: 中程度から高い（監査費用が大きく、ISMSソフトウェア、セキュリティツールが必要となる可能性あり）。
• 市場への影響: 非常に高い（世界的に認められた標準であり、国際ビジネス、規制産業、大企業にとって重要です。）
• 柔軟性: 高い（フレームワークアプローチ、SoAを介したリスクに基づく管理策の選択）。
• 監査の厳格度: 高（初期認証のためのステージ1および2、年次監視監査、プロセスと文書化に重点を置きます）。

ISO 27001とは何ですか？

ISO/IEC 27001は、情報セキュリティに焦点を当てた主要な国際標準です。国際標準化機構（ISO）と国際電気標準会議（IEC）が共同で開発したもので、組織の状況において、情報セキュリティマネジメントシステム（ISMS）を確立、導入、維持、継続的に改善するための要件を規定しています。

ISMSは単なる技術ツールの集合体ではなく、機密性の高い企業情報を安全に管理するための体系的なアプローチです。これには、人、プロセス、テクノロジーが含まれます。核となる考え方はリスク管理であり、脅威と脆弱性を特定し、リスクを評価し、許容可能なレベルまで軽減するための対策を実装します。

ISO 27001の主要な構成要素：

• 条項4-10: これらは、ISMS自体の必須要件を定義しています。具体的には、組織の状況理解、リーダーシップのコミットメント、計画（リスクアセスメントと対応）、支援（リソース、意識向上、文書化）、運用、パフォーマンス評価（監視、内部監査、マネジメントレビュー）、および改善です。
• 附属書A: これは、14のドメインにグループ化された114の情報セキュリティ管理策の参照セットを提供します（ただし、2022年版では4つのテーマに93の管理策に改訂されています）。組織は、リスクアセスメントの結果に基づき、適用宣言書（SoA）を通じて附属書Aから関連する管理策を選択します。すべての管理策が必須ではありません。特定されたリスクに対処するために必要なもののみが適用されます。

ISO 27001は、アテステーションレポートをもたらすSOC 2とは異なり、外部監査（ステージ1およびステージ2）に合格した後、正式な認証につながります。この認証は通常3年間有効であり、維持するためには年次サーベイランス監査が必要です。

なぜそれが重要なのか

ISO 27001認証は、特にグローバルに事業を展開するテクノロジー企業や機密データを扱う企業にとって、大きな意味を持ちます。

• 国際的な認知度：これは情報セキュリティ管理に関する最も広く認知された国際標準であり、世界的な信頼性を高めます。
• 包括的なセキュリティ管理: 構造化されたリスクベースのアプローチを強制し、技術的なコントロールだけでなく、全体的なセキュリティ体制を向上させます。
• 顧客とパートナーからの信頼：SOC 2と同様に、セキュリティを真剣に捉えているという強力なシグナルを顧客やパートナーに示し、契約やRFPでしばしば要求されます。
• 法的および規制遵守: ISO 27001 ISMSを実装することで、体系的なリスク管理を実証し、さまざまな法律や規制（GDPRなど）の要件を満たすのに役立ちます。
• 侵害リスクの低減: 適切に実装されたISMSは、セキュリティインシデントの発生可能性と影響を明らかに低減します。例えば、トヨタはサイバー攻撃後に生産停止に直面しました。堅牢なISMSは、このような混乱を防ぐのに役立ちます。
• 組織とプロセスの改善: セキュリティ対策に構造をもたらし、責任を明確にし、セキュリティ意識の高い文化を育みます。

SOC 2が米国のSaaS顧客の要求によって推進されることが多いのに対し、ISO 27001は、セキュリティ管理システム全体に対するより広範で国際的に認められた保証を提供します。

何を、どのように実装するか (技術的側面とポリシー側面)

ISO 27001の実装は、ISMSとリスク管理を中心に据えた構造化されたプロセスです。

1. スコープの定義: ISMSがカバーする組織のどの部分、場所、資産、技術を明確に決定します。
2. リーダーシップのコミットメント: トップマネジメントから合意とリソースを得ましょう。
3. ポリシーの定義: 高レベルのセキュリティポリシー（例：情報セキュリティポリシー、許容可能な利用ポリシー）を作成します。
4. リスク評価: 情報資産、脅威、脆弱性、および既存のコントロールを特定します。リスクの発生可能性と影響を分析します。
5. リスク対応: 許容できないリスクを軽減するためにコントロール（主に附属書Aから）を選択します。これを適用宣言書（SoA）に文書化し、含まれる/除外されるコントロールを正当化します。
6. コントロールの実装: 選択された技術的および手続き的コントロールをデプロイします。多くはSOC 2と重複しますが、 ISO 27001 附属書Aには特定のカタログが記載されています。
   
   • A.5 情報セキュリティポリシー: 経営陣の指示。
   • A.6 情報セキュリティの組織: 内部組織、モバイルデバイス、テレワーク。
   • A.7 人事セキュリティ: 雇用前、雇用中、雇用後のセキュリティ責任。
   • A.8 資産管理: インベントリ、所有権、適切な利用、分類、メディアの取り扱い。
   • A.9 アクセス制御: ビジネス要件、ユーザーアクセス管理、ユーザーの責任、システム/アプリケーションアクセス。(RBAC、MFAなどを含む)
   • A.10 暗号化: 暗号制御、鍵管理に関するポリシー。
   • A.11 物理的および環境的セキュリティ: セキュアエリア、機器セキュリティ。
   • A.12 運用セキュリティ: 手順、変更管理、マルウェア対策、バックアップ、ログ記録、監視、脆弱性管理。（SAST、SCA、パッチ適用などを含む）
   • A.13 通信セキュリティ: ネットワークセキュリティ管理、情報転送。（ファイアウォール、転送中の暗号化を含む）
   • A.14 システムの取得、開発、保守: 開発におけるセキュリティ要件、セキュア開発ポリシー、テストデータセキュリティ。（セキュアSDLCプラクティス）
   • A.15 サプライヤー関係: サプライヤー契約におけるセキュリティ、サプライヤーサービスの監視。（ベンダー管理）
   • A.16 情報セキュリティインシデント管理: 責任、対応、インシデントからの学習。
   • A.17 事業継続管理における情報セキュリティの側面: 計画、実装、検証。（災害復旧）
   • A.18 コンプライアンス: 法的／契約上の要件の特定、知的財産権、プライバシー（PII保護）、情報セキュリティのレビュー。
7. トレーニングと意識向上: 従業員に対し、ポリシーとセキュリティ責任について教育します。
8. 監視とレビュー: コントロールの有効性を継続的に監視し、内部監査を実施し、マネジメントレビューを開催します。
9. 継続的改善: 監視、監査、および変化するリスクに基づいてISMSを更新します。

焦点はマネジメントシステム、つまりリスクを特定し、コントロールが実装され、監視され、改善されることを保証するプロセスにあります。

避けるべきよくある間違い

ISO 27001を効果的に導入することは、これらの頻繁なエラーを回避することを意味します。

1. 不正確なスコープ設定: ISMSのスコープを広すぎ（管理不能）または狭すぎ（重要な資産・プロセスをカバーしない）に設定すること。現実的かつリスクに焦点を当ててください。
2. 経営陣のコミットメント不足: ISO 27001を、目に見えるリーダーシップのサポート、リソース、および事業目標への統合なしに、単なるITプロジェクトとして扱うこと。
3. リスクアセスメントの不備: 主要な資産、脅威、脆弱性を正確に特定できない表面的なリスクアセスメントを実施し、効果のない対策を選択してしまっています。
4. Annex Aへの「チェックボックス」アプローチ: 評価で特定された特定のリスクと関連付けずに、Annex Aの管理策を実装すること。管理策はリスクに対処するべきです。
5. 不十分な文書化：ポリシー、手順、リスク評価、SoA（適用宣言書）、およびコントロール運用の証拠を適切に文書化できていないこと。監査人は証拠を必要とします。
6. 継続的改善を忘れる: 認証を最終目標と見なすこと。ISO 27001は、ISMSの継続的な監視、内部監査、マネジメントレビュー、および更新を要求します。
7. リソース不足: 十分な時間、予算、または専門知識なしに、すべての取り組みを一人または一つのチームに割り当てること。これは組織全体の取り組みです。

監査人が尋ねること（開発者向け）

ISO 27001の監査人は、マネジメントシステムと実装された管理策の両方を評価します。開発チームは、附属書Aの管理策に関して、次のような質問を受ける可能性があります。

• セキュア開発ポリシーを提示してください。(A.14.2.1)
• "要件フェーズ中にセキュリティ要件が特定されることをどのように保証しますか？" (A.14.1.1)
• "オープンソースライブラリにおける脆弱性管理プロセスについて説明してください。（A.12.6.1 - 技術的脆弱性管理に関連）"
• "開発、テスト、および本番環境はどのように分離されていますか？" (A.12.1.4 / A.14.2.6)
• 最新のメジャーリリース前に行われたセキュリティテストの証拠を提示してください。(A.14.2.8 / A.14.2.9)
• "開発者向けに異なる環境へのアクセス制御をどのように管理しますか？" (A.9)
• テストデータの取り扱いと保護に関する手順を提示してください。(A.14.3.1)
• "デプロイ前にコード変更はどのようにレビューされ、承認されますか？" (A.12.1.2 / A.14.2.3)

彼らはプロセスと証拠に焦点を当てます。ポリシーを策定し、それに従っており、それを証明できるか、が問われます。

開発チームのためのクイックウィン

ISO 27001は広範ですが、開発チームは以下のステップで大きく貢献できます。

1. SDLCの文書化: 現在の開発プロセス（テストおよびデプロイメントのステップを含む）を文書化します。これはA.14管理策の基礎となります。
2. SAST/SCAの実装: CI/CDパイプラインの早期段階で、自動化されたコードおよび依存関係のスキャンを統合します。これにより、A.12およびA.14の一部に対応します。
3. コードレビューを形式化する: PRにレビューと承認が必須であることを確認します。これをGitプラットフォームで追跡します。（A.14.2管理策に対応）
4. 環境の分離: 異なる認証情報とネットワーク制御を使用して、開発、テスト、および本番環境を明確に分離します。（A.12.1.4に対応）
5. シークレット管理: シークレットボルトを導入し、ハードコードされたシークレットをスキャンします。（A.9 / A.12 / A.14コントロールに対応）
6. 依存関係のパッチ適用：脆弱な依存関係を特定し、更新するプロセスを確立します。（A.12.6.1に対応）

これを無視すると...（失敗の結果）

ISO 27001監査に不合格となること、またはこの基準を無視することは、以下につながる可能性があります。

• 認証の喪失: 既存の認証は停止または取り消される可能性があります。
• 契約上の罰則／損失: 認証の取得または維持の失敗は、契約違反となったり、特に国際的な入札から失格となったりする可能性があります。
• 評判の損害: 不合格はセキュリティ体制の弱さを示唆し、グローバルな顧客やパートナーとの信頼関係を損ないます。
• 監査の厳格化: 認証機関は、将来のサーベイランス監査の頻度または厳格さを高める可能性があり、コストと労力が増加します。
• 規制上の問題: 非準拠は、法的または規制上のセキュリティ要件（GDPRなど）を満たしていないことを示す可能性があります。
• 市場機会の喪失: ISO 27001が事実上の要件となっている市場や分野に参入できなくなります。

よくあるご質問

ISO 27001とSOC 2の違いは何ですか？

ISO 27001は、国際標準とリスクアセスメントに基づいて、組織全体の情報セキュリティマネジメントシステム（ISMS）を認証します。SOC 2は、主に米国市場のニーズによって推進され、特定のサービスコミットメント（トラストサービス規準）に関連する管理策についてアテステーションレポートを提供します。両者は管理策において重複することがよくありますが、アプローチ、スコープ、および成果（認証とレポート）が異なります。

ISO 27001は必須ですか？

いいえ、一般的には自主的な標準ですが、契約上の要件となることや、特定の規制産業や国際市場で事業を行う上で不可欠となることがよくあります。

ISO 27001認証にはどのくらいの期間がかかりますか？

導入には、成熟度に応じて6〜12ヶ月以上かかる場合があります。その後、認証プロセス (ステージ1および2の監査) が続きます。既存のISMSは、認証監査の前に約6ヶ月間の運用が必要です。

ISO 27001の費用はいくらですか？

相当な投資が必要です。3年間のサイクルにおける監査費用は、数万ユーロ/ドルに達する可能性があり、これに加えて内部リソース、コンサルティング費用、ツール費用もかかります。小規模企業の場合、監査費用だけで3年間で15,000ユーロ以上かかるという概算もあります。

114（または93）の付属書Aの管理策すべてを実装する必要がありますか？

いいえ。リスクアセスメントおよびリスク対応計画に基づき、適用宣言書 (SoA) において各管理策の採用または不採用について正当な理由を説明する必要があります。

その認証の有効期間はどのくらいですか？

通常は3年間ですが、その期間中に有効性を維持するためには、年次サーベイランス監査に合格する必要があります。3年後には再認証監査が求められます。

監査は誰が行いますか？

認定された独立した外部認証機関です。内部監査も必要ですが、認証にはつながりません。