このサイトは企業・組織の情報セキュリティ担当者が、情報セキュリティ対策を推進していく上で、疑問に思っていること、困っていることに対して、種々の情報や解決策を提供することを目的としてします。
第6章 認証取得を目指す組織が参考とすべき対策方針、対策基準
情報セキュリティのための国際規格として、ISO27001があります。これは情報セキュリティマネジメントシステム(Information Security Management System 以降ISMS)を構築・運用し、継続的に改善するための規格で、組織のISMSを認証するための要求事項が示されています。組織はこの要求事項に準じたマネジメントシステムを構築することで規格の認証を受けることが可能になっています。
【ISO27000ファミリー規格】
ISO27001の関連として、他に以下の規格があります。
<<ISO27000>>
ISMS規格についての概要や規格要求事項の中に出てくる基本的な用語集が示されています。
<<ISO27002>>
ISO27002は、ISO27001にて示されている要求事項をもとにより具体的な情報セキュリティマネジメントの管理策を示した規格です。日本語訳では「情報セキュリティマネジメントの実践のための規範」となっています。ISO27001の附属書Aに書かれている、管理策を組織の中でどのように実施するのか検討する際に、このISO27002を読むと、具体的な実施方法が書かれています。ISO27001の附属書Aでも情報セキュリティマネジメントの具体的な管理策が示されていますが、附属書Aに示されている管理策が114種類であるのに対してISO27002(JIS Q 27002)では1000近くの実施方法が記載されています。もちろん、この1000近くの管理策を参考にISMSを運用するのが理想的ですが、全てを実践することは非常に大変です。実際に管理策を実践するかどうかについては、自社の情報セキュリティリスクレベルを鑑みて、場合によってはコンサルタントに相談して実践するのがいいでしょう。
<<ISO27003>>
ISO27003はISMS実施の手引きとなっており、ISO27001の要求事項に従って構築したISMSを組織で実施するためのガイドのような役割を持っています。
それでは、ISO27001の規格の内容について、詳しく見ていくこととしましょう。ISO27001:2022の規格内容は、主に「要求事項(4章~10章)」と「附属書A(管理策)」の2つに大別されます。
【規格本体(要求事項)】
ISO 27001の認証を取得・維持するために満たすべき要件が記載されています。2013年版から大きな変更はありませんが、一部の文言が調整され、他のISOマネジメントシステム規格との整合性が高められています。
4. 組織の状況: ISMSの適用範囲を決定し、利害関係者のニーズと期待を特定するなど、組織の内部・
外部の課題を理解する。
5. リーダーシップ: 経営層が情報セキュリティに対するリーダーシップとコミットメントを示す。
6. 計画: リスクと機会への取り組み、情報セキュリティ目的の設定、変更の計画を行う。
(2022年版では「6.3変更の計画」を追加、「6.2情報セキュリティ目的及びそれを達成するための計画
策定」に「監視する」を追加。)
7. 支援: ISMSを維持するために必要な資源(力量、認識、コミュニケーション、文書化された情報)を
確保する。
8. 運用: 計画したプロセスを管理し、変更を管理し、外部から提供されるプロセス、製品、サービスを
管理する。(2022年版では、「8.1計画の運用及び管理」にプロセスに関する基準の設定とその基準
に従ったプロセス管理の実施を追加。)
9. パフォーマンス評価: ISMSのパフォーマンスを監視、測定、分析、評価し、内部監査とマネジメント
レビューを行う。
(2022年版で9.2内部監査の項目を細分化し、9.2.1一般、9.2.2内部監査プログラムとした。
9.3マネジメントレビューの項目を細分化し、9.3.1一般、9.3.2マネジメントレビューへのインプット、
9.3.3マネジメントレビューの結果とした。マネジメントレビューへのインプットの利害関係者の
ニーズ及び期待の変化を追加した。)
10. 改善: 不適合および是正処置、継続的改善を行う。 (2022年版で10.1と10.2の順番を入れ替えした。)
【附属書A(管理策)】
リスク対応計画の策定にあたり、組織が考慮すべき具体的なセキュリティ対策(管理策)が一覧で示されています。2022年版では構成が大きく変更されました。 主な変更点は以下の通りです。
①分類の変更: 2013年版の14の管理策カテゴリが、以下の4つのテーマに再編されました。
A.5 組織的管理策(37個)
A.6 人的管理策(8個)
A.7 物理的管理策(14個)
A.8 技術的管理策(34個)
②管理策の数の変更: 全体として114個から93個に削減されましたが、これは複数の管理策が統合された
ためです。
③新規追加された管理策: 現代の脅威に対応するため、以下の11個が追加されました。
A.5.7 脅威インテリジェンス(Threat intelligence)
A.5.23 クラウドサービスの利用における情報セキュリティ(Information security for use of cloud services)
A.5.30 事業継続のためのICTの備え(ICT readiness for business continuity)
A.7.4 物理的セキュリティの監視(Physical security monitoring)
A.8.9 構成管理(Configuration management)
A.8.10 情報の削除(Information deletion)
A.8.11 データマスキング(Data masking)
A.8.12 データ漏えい防止(Data leakage prevention)
A.8.16 監視活動(Monitoring activities)
A.8.23 ウェブフィルタリング(Web filtering)
A.8.28 セキュアコーディング(Secure coding)
さらに2022年版で附属書Aに追加された管理策について詳しく見ていきたいと思います。
A.5.7 脅威インテリジェンス(Threat intelligence)
情報セキュリティの脅威に関する情報を収集・分析し、脅威インテリジェンスを構築することを求めていますが、具体的には何をすればよいのでしょうか。
例えば、Microsoft365の機能であるDefender for XDRを利用すれば、製品機能の一部として、組織がさらされている脅威情報をシステムで収集、分析してくれるため、このようなシステムの機能を利用することで脅威インテリジェンスを構築することができます。一般的な脅威情報を収集せるのであれば、トレンドマイクロ セキュリティブログのメルマガなどに登録して、継続的に情報を収集することも一つの対策となります。
A.5.23 クラウドサービスの利用における情報セキュリティ
クラウドサービスの調達、利用、管理及び利用終了のプロセスを組織の情報セキュリティ要求事項に従って確立することを求めています。
A.5.30 事業継続のためのICTの備え
事業継続目標とICT継続の要求事項に基づいて、ICTの備えを計画、実施、維持及びテストすることを求めています。
A.7.4 物理的セキュリティの監視
施設は、認可されていない物理的アクセスについて、継続的に監視することを規定しています。また、監視システムの定期的なテスト、監視システムの設計書や配置図の保管なども考慮事項となります。
A.8.9 構成管理
この管理策では、ハードウェア、ソフトウェア、サービス、ネットワークのセキュリティ構成を含む構成を確立し、文書化し、実装し、監視及びレビューすることを求めています。
A.8.10 情報の削除
この管理策では、情報システム、装置、その他の記憶媒体に保存している情報は、必要でなくなった時点で削除することを求めており、実現手段として、法令規制要求事項を考慮した削除期限の決定、セキュアな削除方法の決定、削除結果の記録及び記録の保持などが期待されています。
A.8.11 データマスキング
この管理策は、センシティブな個人情報など、機密性の高い情報への不正アクセスや情報漏えいのリスクを低減することを目的としています。特に、開発環境やテスト環境など、本番環境以外の場所でデータを扱う際に重要となる管理策です。 この管理策は、単にデータを隠すだけでなく、元のデータの持つ特性(形式、整合性など)を維持しつつ、個人が特定できないようにデータを加工することを求めています。これにより、機密情報を保護しつつ、テストや分析などの業務を継続することが可能になります。
A.8.12 データ漏えい防止
この管理策は、取り扱いに慎重を要する情報を保存するシステムにデータ漏えい防止対策を実施することを求めています。
A.8.16 監視活動
この管理策は、情報セキュリティインシデントの可能性を評価するため、ネットワーク、システム及びアプリケーションに異常な挙動がないか監視し、適切な処置を講じることを求めています。
A.8.23 ウェブフィルタリング
この管理策では、悪意のあるウェブサイトへさらされることを減らすために、外部のWebサイトへのアクセスを管理するための対策を実施することを求めています。
A.8.28 セキュアコーディング
この管理策は、セキュリティに配慮したコーディングの原則をソフトウェア開発に適用することを求めています。