ISO / IEC 27001 — 情報セキュリティ管理
ISO 27001
情報セキュリティマネジメントシステム(ISMS)完全解説
「情報漏えい・サイバー攻撃・データ改ざん」から組織の情報資産を守るための国際規格。なぜ今、あらゆる企業に必要なのか。ゼロからやさしく・徹底的に解説します。
個人情報の流出・ランサムウェア被害・不正アクセス——毎日のようにニュースで見かける情報セキュリティ事故。ISO27001は、こうした脅威に対して「組織全体で情報を守る仕組み」を国際基準で構築・維持・改善するための規格です。IT企業だけでなく、医療・金融・製造・行政など、あらゆる組織に必要とされています。
● 目次
SEC 01
ISO27001とは?ISMSの定義と概要
ISO27001とは?ISMSの定義と概要
ISO/IEC 27001とは、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。ISO(国際標準化機構)とIEC(国際電気標準会議)が共同で制定し、日本語版はJIS Q 27001として制定されています。最新版はISO/IEC 27001:2022です。
ISO27001の仕組み INPUT → ISMS → OUTPUT
|
▼ 情報への脅威
🔴 不正アクセス
🔴 情報漏えい
🔴 マルウェア
🔴 ヒューマンエラー
|
→ |
ISMS
ISO/IEC
27001
情報セキュリティ
管理の仕組み |
→ |
▼ 保護された状態
🛡️ 情報資産の保護
🔒 信頼・競争優位
⚖️ 法令リスク低減
|
図1:ISO27001は情報への脅威を入力とし、組織の情報資産を保護・管理する仕組みです
🔐 ISO27001 — ひとことで言うと?
「組織が保有するすべての情報資産(データ・システム・人・プロセス)を、機密性・完全性・可用性の観点から守るための管理の仕組み」を国際標準に沿って構築・維持・改善していることを証明する規格です。
重要なのは「特定の技術を導入すること」ではなく、「組織全体で情報を守る文化と仕組みを作ること」です。
|
🌐
国際規格(最新:2022年版)
ISO×IEC共同制定。世界140ヶ国以上・数十万件の組織が取得
|
🏢
全業種・全規模に対応
IT企業・金融・医療・製造・官公庁…どんな組織にも適用可能
|
🔄
技術に依存しない
特定の製品・ツールを指定しない「管理の仕組み」の規格
|
SEC 02
なぜ今、情報セキュリティが重要か
なぜ今、情報セキュリティが重要か
デジタル化・クラウド化・テレワークの普及により、情報セキュリティリスクは急速に高まっています。
情報セキュリティインシデントの主な被害
| 個人情報漏えい |
|
全体の約40% |
| ランサムウェア |
|
前年比+58% |
| 不正ログイン |
|
標的型攻撃の主要手口 |
| 内部不正・誤操作 |
|
見落としがちなリスク |
図2:情報セキュリティインシデントの種別
⚡ 知っておくべき数字:情報セキュリティ事故1件あたりの平均損害コストは世界平均で約4億円超(IBM調査)。個人情報保護法の改正(2022年)により、漏えい時の報告義務・罰則も強化されています。
SEC 03
CIAの三要素:情報セキュリティの基本原則
CIAの三要素:情報セキュリティの基本原則
ISO27001の根幹をなすのが、情報セキュリティの3大要素「CIA」です。これらすべてを守ることが「情報を安全に管理する」ことを意味します。
|
C
機密性
Confidentiality
許可された人だけが情報にアクセスできること
例:パスワード管理・アクセス権限・暗号化 |
I
完全性
Integrity
情報が正確・完全で改ざんされていないこと
例:デジタル署名・バックアップ・変更履歴 |
A
可用性
Availability
必要なときに情報・システムを利用できること
例:冗長化・DR対策・BCP |
図3:CIAの三要素。この3つのバランスを保つことがISMSの目的です
SEC 04
リスクアセスメントとリスク対応
リスクアセスメントとリスク対応
ISO27001の中核プロセスがリスクアセスメントです。「どんな情報が・どんな脅威にさらされているか」を洗い出し、リスクレベルを評価し、適切な対応策を決定します。
|
01
📦
情報資産の
洗い出し 守るべき情報を全て特定
|
02
⚠️
脅威と
脆弱性の特定 攻撃・ミス・弱点を特定
|
03
📊
リスクの
評価・算出 可能性×影響度で算出
|
04
🎯
対応方針
の決定 低減・受容・移転・回避
|
05
🛠️
管理策の
選択と実施 附属書Aから実装
|
リスク対応の4択
|
🛡️
低減
管理策を実施してリスクを下げる
|
✅
受容
許容範囲内として受け入れる
|
📋
移転(転嫁)
保険・外部委託でリスクを移す
|
🚫
回避
リスク原因の活動をやめる
|
図4:リスクの大きさに応じて最適な対応方針を選択します
SEC 05
附属書A:93の管理策とは(2022年版)
附属書A:93の管理策とは(2022年版)
ISO27001:2022の附属書Aには、情報セキュリティを確保するための93の管理策が4つのカテゴリに整理されています。組織はリスクアセスメントの結果に基づき、必要な管理策を選択・実施します。
|
A.5
組織的管理策
情報セキュリティポリシー・役割・責任・サプライチェーン管理など。37項目。
|
A.6
人的管理策
採用前審査・教育訓練・テレワーク・情報セキュリティ啓発など。8項目。
|
|
|
A.7
物理的管理策
入退室管理・クリアデスク・機器廃棄・ケーブルセキュリティなど。14項目。
|
A.8
技術的管理策
アクセス制御・暗号化・マルウェア対策・脆弱性管理・ログ監視など。34項目。
|
|
📌 適用宣言書(SOA)とは:すべての93項目について「適用する/しない」と「理由」を文書化したものが適用宣言書(Statement of Applicability)です。認証審査で必ず確認される最重要文書の一つです。
SEC 06
PDCAサイクルで動くISMSの全体像
PDCAサイクルで動くISMSの全体像
ISO27001もPDCAサイクルに基づき設計されています。「計画→実施→評価→改善」のループを継続的に回し続けることで、情報セキュリティのレベルを常に高めます。
|
PLAN / 計画
P
ISMSの計画・設計
組織の状況と利害関係者を理解し、リスクアセスメントを実施。情報セキュリティ目標と管理策を決定する。
|
DO / 実施
D
管理策の実装・運用
選択した管理策(附属書A)を実装し、教育・訓練を実施。文書・記録の管理、セキュリティ啓発活動も行う。
|
|
|
CHECK / 評価
C
監視・測定・内部監査
セキュリティ指標の測定・インシデント管理・内部監査を実施。マネジメントレビューで経営層が評価する。
|
ACT / 改善
A
不適合の是正・改善
監査で見つかった問題の根本原因を分析し、是正措置を実施。改善をPLANに反映する。
|
|
🔄 このサイクルを繰り返すことで情報セキュリティのレベルを継続的に高めます
SEC 07
認証取得までの7ステップ
認証取得までの7ステップ
ISO27001の認証取得には通常6〜18ヶ月かかります。
| 1 |
INITIATION
経営トップの決断と推進体制の構築
ISMS取得の目的・スコープを決定し、ISMS責任者を任命。スコープは「全社」か「特定部門・事業」かを最初に決めます。
|
|
| 2 |
GAP ANALYSIS
現状分析(ギャップ分析)
ISO27001の要求事項と現状の情報セキュリティ対策を比較し、何が不足しているかを洗い出します。
|
|
| 3 |
RISK ASSESSMENT
情報資産の洗い出しとリスクアセスメント
スコープ内のすべての情報資産を特定し、脅威・脆弱性を評価。リスクレベルを算出し対応策を決定します。
|
|
| 4 |
DOCUMENTATION
ISMS文書体系の構築
情報セキュリティ方針・リスクアセスメント報告書・適用宣言書(SOA)・各種手順書・規程類を整備します。
|
|
| 5 |
TRAINING
全従業員への教育・啓発活動
情報セキュリティポリシー・手順の周知、eラーニングや訓練の実施。「人」こそ最大のセキュリティリスクであり最大の防御でもあります。
|
|
| 6 |
INTERNAL AUDIT
内部監査・マネジメントレビュー
ISMSが計画通りに機能しているか内部監査で確認し、経営層がシステム全体の有効性を評価します。
|
|
| 7 |
CERTIFIED 🔐
第三者認証審査・認証取得・維持
BSI・SGS・JACO・ISMS-ACなどの認証機関による第1段階審査(文書確認)と第2段階審査(現地審査)を経て認証書を取得。年1回のサーベイランス審査と3年ごとの更新審査で資格を維持します。
|
|
💰 費用の目安:認証審査費用は中小企業で約50〜150万円程度。コンサルタント費用を含めると100〜500万円程度になるケースも。IT導入補助金など公的支援の活用も検討しましょう。
SEC 08
メリット・デメリット
メリット・デメリット
|
✅ 取得のメリット
|
⚠️ デメリット・留意点
|
まとめ:ISO27001を5行で理解する
|
||
|
||
|
||
|
||
|
情報セキュリティは「技術の問題」ではなく「組織の問題」です。ISO27001の取得を検討している方は、まず認証機関や専門コンサルタントへのご相談から始めることをお勧めします。