ISO/IEC 27001(アイエスオーアイイーシー にせん ななひゃく いち)とは | 意味や読み方など丁寧でわかりやすい用語解説

ISO/IEC 27001は、情報セキュリティマネジメントシステム（ISMS: Information Security Management System）に関する国際規格である。組織が保有する情報資産を様々な脅威から保護し、情報の「機密性」「完全性」「可用性」をバランス良く維持・改善するための枠組みを定めている。機密性とは、認可された者だけが情報にアクセスできることを確実にすることである。完全性とは、情報および処理方法の正確さ及び完全さを保護することである。そして可用性とは、認可された利用者が、必要な時に情報及び関連資産にアクセスできることを確実にすることである。この規格に基づく認証を取得することは、その組織が情報セキュリティに関して国際的な基準を満たす管理体制を構築し、適切に運用していることの客観的な証明となる。これにより、顧客や取引先からの信頼を獲得し、ビジネス上の競争力を高めることができる。

ISMSの核心は、PDCAサイクルと呼ばれるマネジメント手法を用いて、情報セキュリティを継続的に改善していく仕組みにある。PDCAとは、Plan（計画）、Do（実行）、Check（評価）、Act（改善）の頭文字を取ったもので、このサイクルを繰り返し回すことで、組織の情報セキュリティレベルをスパイラルアップさせることを目指す。まずPlanの段階では、組織が保護すべき情報資産を洗い出し、それらに対する脅威や脆弱性を分析してリスクを評価する。そして、そのリスクを低減するためのセキュリティ目標を設定し、具体的な対策の計画を立てる。次にDoの段階では、策定した計画に基づいて、具体的なセキュリティ対策を実施し、運用する。これには、従業員への教育訓練や、セキュリティ機器の導入、ルールの策定などが含まれる。Checkの段階では、実施した対策が計画通りに機能しているか、有効であるかを監視・測定し、評価する。内部監査や経営層による見直しもこの段階で行われる。最後にActの段階では、評価の結果明らかになった課題や問題点を是正し、ISMS全体の仕組みを改善するための措置を講じる。この一連のサイクルを絶えず回し続けることで、組織は新たな脅威の出現や事業環境の変化に柔軟に対応し、常に最適な情報セキュリティ状態を維持することが可能となる。

ISO/IEC 27001の規格文書は、大きく二つの部分から構成されている。一つは、ISMSを構築・運用するために組織が必ず満たさなければならない要求事項を定めた「本文」である。もう一つは、具体的な情報セキュリティ管理策のリストである「附属書A」である。本文では、組織の状況の理解、リーダーシップのあり方、リスクマネジメントの進め方、必要な資源の確保、運用の管理、パフォーマンス評価、継続的改善といった、ISMSを確立し、維持するための組織全体の枠組みが規定されている。

一方、附属書Aには、情報セキュリティのための方針群、組織的セキュリティ、人的資源のセキュリティ、資産の管理、アクセス制御、暗号、物理的及び環境的セキュリティ、運用のセキュリティ、通信のセキュリティ、システムの取得・開発・保守、供給者関係、情報セキュリティインシデント管理など、14の分野に分類された100以上の具体的な管理策が例示されている。ただし、組織はこれら全ての管理策を無条件に導入する必要はない。自らのリスクアセスメントの結果に基づき、組織にとって必要と判断した管理策を選択して適用する。そして、どの管理策をなぜ採用するのか、あるいは採用しないのかを明確に文書化した「適用宣言書」を作成することが求められる。これにより、各組織は自らの実情に合った、合理的で効果的なセキュリティ対策を構築することができる。

システムエンジニアにとって、ISO/IEC 27001の知識は極めて重要である。システムの設計、開発、運用、保守の全てのフェーズにおいて、この規格が要求する管理策を意識することが求められるからだ。例えば、セキュアなシステムを設計するための要件定義、アクセス権限の最小化の原則に基づいたアクセス制御機能の実装、開発プロセスにおけるセキュアコーディングの徹底、システムの脆弱性管理、インシデント発生時の迅速な検知と対応を可能にするためのログ監視システムの構築など、日々の業務の多くが規格の内容と密接に関連している。この規格への理解は、単にルールを守るだけでなく、なぜその対策が必要なのかという本質を理解し、より堅牢で信頼性の高いシステムを構築するための土台となる。