ISO/IEC 27001:2005認証取得済み組織のISO/IEC 27001:2013への移行のための対応

Transcription

1 ISO/IEC 27001:2005 認証取得済み組織の ISO/IEC 27001:2013 への移行移行のための対応 2014 年 7 月

2 目 次 はじめに 新規格の特徴 ISO マネジメントシステム規格 (MSS) と ISO の影響 リスクの考え方の変更 情報セキュリティリスク特定の変更 附属書 A の管理策の取扱いの変更 移行対応にあたって 移行審査 ( 差分審査 ) の対応方式 ( 大日程 ) の決定 ギャップ分析の実施 リスク評価方法の見直し おわりに 参考文献... 12

3 はじめに 情報セキュリティマネジメントシステム (ISMS) の国際的な認証規格である ISO/IEC 27001:2005( 情報技術 -セキュリティ技術- 情報セキュリティマネジメントシステム- 要求事項 )( 以後 旧規格 という ) は 2013 年 10 月 1 日に ISO/IEC 27001:2013( 以後 新規格 という ) に改訂された これをうけて国内規格の JIS Q 27001:2006 は 2014 年 3 月に JIS Q 27001:2014 に改訂された 旧規格による認証を取得している組織は 2015 年 10 月 1 日までに新規格への移行が完了しなければならないことが決定している [1] そこで本論は まず新規格の特徴を旧規格との違いを示しながら説明する 次に旧規格による認証を取得済みの組織にとっての 規格改訂後の審査に向けての対応ポイントを解説する なお本書は新規格として ISO/IEC 27001:2013 英和対訳版を参照し 旧規格として JIS Q 27001:2006 を参照する 1. 新規格の特徴 1.1 ISO マネジメントシステム規格 (MSS) と ISO の影響 ISO では 2006 年から 2011 年にかけて ISO 9001 ISO ISO/IEC などの ISO マネジメントシステム規格 (ISO MSS) の整合性を確保するための議論が行われ 目次構成や用語の定義などの各規格を定める際の共通的な事項を ISO MSS 共通要素として定めた [2] なお ISO MSS 共通要素が定められる過程において リスクマネジメントの汎用的な規格である ISO による影響を受けている それ以後制定および改正される全ての ISO MSS が原則としてこの ISO MSS 共通要素を採用して開発することが義務付けられ 新規格についてもこれを踏まえて改訂された これにより 新規格の目次構成は旧規格から大きく変化した 図 1 に示すように ISO MSS 共通要素と情報セキュリティマネジメント固有の内容により構成される 1

4 図 1 新規格の目次構成 [3] 黒文字は ISO MSS 共通要素 赤文字赤文字は情報セキュリティ情報セキュリティマネジメントマネジメント固有の内容 0. 序文 1. 適用範囲 2. 引用規格 3. 用語及び定義 4. 組織の状況 4.1 組織及びその状況の理解 4.2 利害関係者のニーズ及び期待の理解 4.3 情報セキュリティマネジメントシステムの適用範囲の決定 4.4 情報セキュリティマネジメントシステム 5. リーダーシップ 5.1 リーダーシップ及びコミットメント 5.2 方針 5.3 組織の役割 責任及び権限 6. 計画 6.1 リスク及び機会への取組み 一般 情報セキュリティリスクアセスメント 情報セキュリティリスク対応 6.2 情報セキュリティ目的及びそれを達成するための計画策定 7. 支援 7.1 資源 7.2 力量 7.3 認識 7.4 コミュニケーション 7.5 文書化された情報 一般 作成及び更新 文書化した情報の管理 8. 運用 8.1 運用の計画及び管理 8.2 情報セキュリティリスクアセスメント 8.3 情報セキュリティリスク対応 9. パフォーマンス評価 9.1 監視 測定 分析 及び評価 9.2 内部監査 9.3 マネジメントレビュー 10. 改善 10.1 不適合及び是正処置 10.2 継続的改善 ISO は新規格の情報セキュリティマネジメント固有の内容にも影響を与えている 新規格は ISO MSS 共通要素や ISO の影響により 用語や定義として新しく登場したものや コンセプトが更新されたものがあり これらの多くは他のマネジメント規格でも用いられる汎用的なものである ( 図 2) 図 2 新しく登場した用語 コンセプト コンセプトの例 組織の状況 (Context of the organization) 課題 (issues) リスクと機会 (risks and opportunities) 情報セキュリティ (*1) 目的 (Information security objectives) 文書化された情報 (Documented information) リーダーシップ (Leadership) コミュニケーション (Communication) リスク所有者 (*2)(Risk owner) パフォーマンス評価 (Performance evaluation) (*1) (*2) 情報セキュリティ リスク所有者 は情報セキュリティマネジメント固有の内容 新しい用語やコンセプトの趣旨は これまでの旧規格の要求と比較し全く異なる新規事 項ではないが 意図する内容が変わっている場合があるため これまでの対応が実質的に 2

5 要求を満たしているかどうかの確認および適宜の見直しが必要となる 新旧規格を読み比べてみると 旧規格では主語が 経営陣は で始まる要求事項は限られていたが 新規格では トップマネジメントは が主語で始まる要求事項が増え また内容が具体的になっている これを踏まえ旧規格による認証取得済みの組織は 特に次の点に留意した ISMS の見直しが求められる 経営陣のリーダーシップおよびコミットメントの強化 ISMS のプロセスと事業 組織運営のプロセスとの統合 リスクアセスメントの経営的視点による見直し 1.2 リスクの考え方の変更 新規格となりリスクの定義が 目的に対する不確かさの影響 に変更された ここでいう 目的 には事業や組織運営全般の目的と情報セキュリティ目的の 2 種類がある 前者は ISO MSS 共通要素由来の要求事項として 新規格において追加されたものである 後者は旧規格にも存在していた考え方で新規格では情報セキュリティマネジメント固有事項由来の要求事項に引き継がれているといえる つまり 新規格は従来の情報セキュリティリスクに加えてその事業や組織運営全般のリスク ( 以後 全般的リスク という ) に対しても意を払った評価を行うことが明示されたことになる 旧規格において 全般的リスク に関係する記述が全くないということではないが 規格を一読してもそれを意図した ISMS の取り組みについては理解し難いものであった それが新規格となり ISO MSS を踏まえた規格改訂が行われた結果として 全般的リスク に関する取扱いがより明確になったものと解釈した このことがどのような意味を持つのかについて次の仮想事例をもとに考えてみたい ある企業の認証取得範囲である Web サイトを通じた直販システムは 24 時間 365 日稼動の保証 を求められていると仮定する この場合 従来の情報セキュリティ目的からいうとリスクは 大 とされるであろう しかしながら ここにこの企業の 事業や組織運営全般の目的 のひとつである 企業全体の利益の拡大 を加えた場合 Web サイト経由の販売金額が数 % であれば 事業や組織運営全般の目的 に対するリスクは 小 になりうる 反対に Web サイト経由の販売金額が 50% というように極めて高ければ 事業や組織運営全般の目的 に対するリスクは 中 ~ 大 となる さらに言えば Web 直販システムがより戦略的な目的 ( 例えば同業他社に先駆けた先進技術を活用したビジネスの実現 ) にあれば また異なったリスク評価結果となることが考えられる この仮想事例のようにリスク評価において 事業や組織運営全般の目的 をうまく取り込んで行うことで リスク対策の必要性を経営陣の視点から把握できるようになる これは 情報セキュリティ対策は重要だが費用対効果がわかりにくい とする組織にとって有益な改定となりうるであろう 3

6 承認脆 1.3 情報セキュリティリスク特定の変更 情報セキュリティリスク特定手順が旧規格から新規格で変わっている 旧規格では ISMS 適用範囲の中にある資産の特定 資産の管理責任者の特定 脅威 脆弱性の特定を通じた影響の特定という手順となっていた 一方新規格では ISMS の適用範囲内における情報の機密性 完全性 可用性の喪失に伴うリスクを特定し リスク所有者を特定することと変更されている ここでいうリスク所有者の定義は リスクを運用管理することについて アカウンタビリティ及び権限をもつ人又は主体 とされており 事実上組織の役員レベルやそれらをサポートするスタッフ部門が該当すると考えられる 旧規格と新規格のリスク特定とその対策および残留リスクの承認の流れのイメージを以下に示す 図 3 は 旧規格における例である これによれば 情報資産の管理責任者は所管している資産についての対策を検討する立場であり 経営陣はその管理責任者の行ったリスク評価とその対策について承認する立場ということになる この場合は 管理責任者が所管する資産について個別検討して対策を立案することになるため 経営陣として組織全体として適切な対策を図るためには 個別対策の優先順位付けの判断を行ったり 類似した脅威に対する残留リスクを情報資産の重要度等に応じて調整を図ったりする必要がある 図 3 旧規格による情報セキュリティ情報セキュリティリスクの特定と対策検討の流れリスクの特定と対策検討の流れ ( 一例 ) 影響 脅威 弱性 資産 A 対策検討 A 影響 管理責任者 脅威 脆弱性 資産 B 対策検討 B 残留リスク 管理責任者 経営陣 影響 脅威 脆弱性 資産 C 対策検討 C 管理責任者 4

7 一方 図 4 の新規格で求められるように組織全般が認識するリスク所有者があらかじめ特定されている場合 リスク所有者の示すリスク評価の指針や要求される対策レベル基準に従って情報資産の管理者はリスク評価と対策検討を行うことになるであろう この場合 図 3 では配慮する必要のない課題についても合わせて検討していく必要が生じると考えられる 第一の課題は リスク所有者の示す方針と情報資産の実態が整合しない場合の取り扱いである 特に方針に従うと管理者などに過剰な負担が発生したり 予想外のコストが見込まれる場合の調整方法などを整備しておかなければうまく機能しなかったりすることが予想される 第二の課題は リスク所有者が複数となる場合 各々の示す方針が整合しないことが予想されることである そのためには あらかじめリスク所有者間の調整を図ったり 整合しない場合の取り扱いプロセスを整備したりといった検討が必要とされるであろう 第三の課題は リスク所有者が ISMS 適用範囲内から外れる場合の取り扱いである この場合 リスク所有者はこれまでの ISMS 活動の内容を把握していない可能性が高いため ISMS 適用範囲に含めるためには相応の期間を必要とするであろう 図 4 新規格による情報セキュリティ情報セキュリティリスクの特定と対策検討の流れリスクの特定と対策検討の流れ ( 一例 ) 資産(例:クラウドサービスα )(例:シ資産ステムβ )管理責任者 リスク A 情報ア 情報イ 情報ウ 情報エ 部署 A あるいは プロジェクト A あるいは 業務フロー A 等 部署 B あるいは プロジェクト B あるいは 業務フロー B 等 対策検討 B リスク所有者 リスク所有者 承A 情報セキュリティリ認対策検討スク対応計画 残留情報セキュリティリスク 承認管理責任者 リスク B 図 4 はあくまでも例示であり このような意思決定プロセスとすることが新規格上で求 められているわけではない 図 3 のように情報資産の管理責任者をそのままリスク所有者 としても特段問題は発生しない組織も存在しうる 重要なことは 組織として認識すべき 5

8 全般的リスクを情報資産のリスク評価に適切に反映できるマネジメントシステムを構築す ることである 1.4 附属書 A の管理策の取扱いの変更 旧規格から新規格への改訂と同時に ISO/IEC 27002:2005( 情報技術 -セキュリティ技術 - 情報セキュリティ管理策の実践のための規範 ) から ISO/IEC 27002:2013 に改訂された これにより ISO/IEC に由来する附属書 A の内容も表 1に示すようにカテゴリー数 管理目的数 管理策数が変更となった 表 1 カテゴリー数 管理目的数 管理策数の変更状況 状況 [4] ISO/IEC 27001:2005 ISO/IEC 27001:2013 カテゴリー 管理目的 管理策 管理策の変更の内訳は 旧規格の管理策の複数が統合され1つとなった管理策 旧規格 の管理策の趣旨が大部分引き継がれているが一部変更されている管理策 新設された管理 策 ( 表 2) 技術的管理策を中心に他の ISMS ファミリー規格への移管に伴い旧規格から削 除された管理策 ( 表 3) である 表 2 表 3 より新規格の附属書 A はよりマネジメントの 色合いの強いものになったといえる 表 2 新設された管理策 [5] A プロジェクトマネジメントにおける情報セキュリティ A ソフトウェアのインストールの制限 A セキュリティに配慮した開発のための方針 A セキュリティに配慮したシステム構築の原則 A セキュリティに配慮した開発環境 A システムセキュリティの試験 A 供給者関係のための情報セキュリティの方針 A ICT サプライチェーン A 情報セキュリティ事象の評価及び決定 A 情報セキュリティインシデントへの対応 A 情報セキュリティ継続の検証 レビュー及び評価 A 情報処理施設の可用性 6

9 A A A A A A A A A A A A A A A A A A A A 表 3 旧規格から削除された管理策情報セキュリティの調整情報処理設備の認可プロセス外部組織に関係したリスクの識別顧客対応におけるセキュリティモバイルコードに対する管理策業務用情報システム公開情報システム使用状況の監視外部から接続する利用者の認証遠隔診断用及び環境設定用ポートの保護ネットワークの接続制御ネットワークルーティング制御入力データの妥当性確認内部処理の管理メッセージの完全性出力データの妥当性確認情報の漏えい事業継続計画策定の枠組み情報処理施設の不正使用防止情報システムの監査ツールの保護 また新規格と旧規格では 附属書 A を用いての管理策の選定と決定の方法の趣旨が異なる 旧規格では附属書 A から管理策を選び不足する場合は他から追加する 新規格では管理策を任意の情報源より決定したり あるいは独自に設計したりすることも認められており 決定した内容を附属書 A と比較し 必要な管理策の不足がないかを確認し 不足がある場合は附属書 A から追加することとなっている したがって例えば 旧規格の附属書 A から削除された管理策の取扱いに迷う場合は 新規格用に更新する適用宣言書に残しておいても 削除してしまってもいずれでも構わないということとなる 以上より 新規格となり管理策の選定や設計の自由度が増しており この面でも汎用的な規格になったといえる またこのために ISO では業界固有等のガイドライン規格の整備も進められてきている 組織にとってより適切な ISMS を構築するためには 管理策の選定や設計に留意を払うべきである その理由はそれを外部にうまくアピールすることができれば 利害関係者から得られる信頼のさらなる強化にも役立つためである 7

10 2. 移行対応にあたって これまでにおいて 新規格はどのような事項にポイントを置いて改定されたのかについて述べてきた 以降は 実際の移行において留意すべき事項を中心に解説する 移行作業は 大筋において図 5 に示す流れになると考えられる すなわち 新旧の規格の差異を理解し それに基づく作業スケジュールを明らかにし 移行作業を推進したうえで 審査を受ける 図 5 移行対応の流れ ( 手順 1) 新旧規格の差異の理解 ( 手順 2) 対応方式 ( 大日程 ) の決定 (2.1) ( 手順 3) ギャップ分析の実施 (2.2 ) ( 手順 4) 移行計画の策定 ( 手順 5) ( 手順 6) ( 手順 7) 移行対応の推進 ( リスク評価方法の見直し (2.3) 文書改訂 適用宣言書の見直し等 ) 運用 評価 改善 マネジメントレビュー 移行審査受審 以降において 図 5 の ( 手順 2) 対応方式 ( 大日程 ) の決定 ( 手順 3) ギャップ分析の実 施 ( 手順 5 の一部 ) リスク評価方法の見直しについてそのポイントを説明する 2.1 移行審査 ( 差分審査 ) の対応方式 ( 大日程 ) の決定 JIPDEC の移行計画の発表によると 新規格への移行期限は 2015 年 10 月 1 日と定められている 2015 年 10 月 1 日時点で旧規格に基づく認証文書は有効ではなくなるため それまでに新規格に基づく新しい認証文書が発行されている必要がある 現状 認証資格は毎年認証機関による維持審査あるいは再認証審査 ( 以後 維持審査等 という ) が行われているため このタイミングに合わせて移行審査を受けることが望ましいとされている 8

11 しかしながら 実際の移行作業に相当する図 5 の手順 3 から手順 6 に要する期間と次回の 維持審査等までに残された期間に大きな相違がある場合 以下のオプションが存在する オプション (1) : 移行期限後に予定されている維持審査等の実施時期を審査機関と調整して 早めてもらい 移行審査を含めた維持審査等を行う オプション (2): サンプリング部署等に対する移行審査を個別に実施する オプション (1) は 本来であれば 12 か月を基本としてきた ISMS の運営サイクルの間隔が短くなる点に注意が必要である 短縮される期間によっては 年間で予定していた PDCA サイクルの見直しが必要となることも予想されるので その影響との兼ね合いでオプション (1) の採用を検討する必要があろう オプション (2) は ISMS 適用範囲内の部署等から一部を切り出して先行的に新規格に移行するという考え方である この方式であれば 現状の ISMS 適用範囲の全文書の見直しをする必要がなく先行的に移行する部署等に関連するもののみ見直しをすれば良いことになるため 移行期限までに見直しを実現できる可能性がある その上で 順次範囲を拡大しながら必要な文書の見直しを行っていけば それほど遠くない将来において新規格への移行を完成させることができる ただし 一時的にせよ組織内に複数のルールが確立することによって発生する混乱なども予想されるため こうしたデメリットとの兼ね合いでオプション (2) の採否を決めるべきであろう 2.2 ギャップ分析の実施 ギャップ分析の目的は新規格への組織の ISMS の適合状況を明らかにし 対応すべき事 項 ( 情報セキュリティ対策の見直し ISMS 文書の見直し等 ) を把握することである ギャ ップ分析の方法として次の 2 種類が考えられる 方法 A: 新規格へ組織の ISMS の適合状況を直接照合する 方法 B: 旧規格と新規格の対応関係を把握し 組織の ISMS の旧規格への適合状況の見え る化した結果を付き合わせて 組織の ISMS の新規格への適合状況を照合する 各々の分析イメージを図 6 に示す 9

12 図 6 ギャップ分析方法の違い 方法 A 新旧規格の差異を網羅的に把握できていることが前提 旧規格 ISO/IEC27001 :2005 新規格 ISO/IEC27001 :2013 適合状況を網羅的に把握できていることが前提 組織の ISMS 項目数が多い (200 以上 ) のため 直接的な付き合わせは煩雑 旧規格 ISO/IEC27001 :2005 適合状況が わかっていない場合は 順に確認する 組織の ISMS 方法 B 新旧規格の差分対応表 旧規格 ISO/IEC27001 :2005 新規格 ISO/IEC27001 :2013 新旧規格の差分を順に理解しながら また旧規格への適合状況を確認しながら 順次分析を進める 方法 A は 直接的に新規格の要求事項と ISMS 文書などを照合できるため 効率的に見えるが 新規格の内容について十分な理解が進んでいることが求められる 用語やコンセプトが更新されている事項も存在しており 新旧規格の対応関係を全体的に深く理解していなければ真に理解することはできないであろう また項目数の多さゆえにかなり煩雑な作業となる可能性がある 方法 B は新規格と旧規格の対応表が存在しているためそれを参考に対応を進めることができる そのため 新規格について十分な理解がなくとも旧規格に基づいて整備された ISMS のどの部分を見直すべきかがわかりやすい 新旧規格の対応関係の理解を同時に進めて行きながら 地道に進めていけば無難に分析を完了することができるであろう 2.3 リスク評価方法の見直し 新規格になり明示的に追加となった全般的リスク評価を組織の ISMS でどのように位置づけるかが検討のポイントとなる 2 種類の考え方の例を図 7 に示す 1 つ目の例は 全般的リスク評価を情報セキュリティリスク評価の上位に位置づけるというものである すなわち全般的リスク評価の枠組みによって ISMS 適用対象である情報資 10

13 産の情報セキュリティリスクと全般的リスクの受容基準を可視化するような考え方である この考え方のメリットはより本質的なリスクマネジメントを行えることがあげられる 組織はもともと 設立された段階でその特性に応じた全般的リスクと直面している 情報セキュリティリスクとは その組織が保有する情報資産について機密性 可用性 完全性の喪失によりその組織の全般的リスクの発現ととらえることで より本質的なリスクマネジメントが可能になると考えられる しかしながら この考え方を忠実に実現しようとすると経営層やそれを支えるスタッフ部門が必要となる可能性が高い したがってこの考え方は 理解のある経営陣により強力にリスクマネジメントが推進されている組織にとっては有効であるが 情報セキュリティはあくまでも情報システムとそれに関連する周辺事項の問題ととらえている組織にとっては取扱いが難しい問題となるであろう 2 つ目の例は 情報資産ごとの情報セキュリティリスクを評価する際に 全般的リスク評価の視点も合わせて実施するものである この考え方であれば 資産の管理責任者がこれまで行ってきたリスクアセスメント実施の枠組みに全般的リスク評価の視点を付加すればよいため リスクアセスメント実施の枠組みが大幅に変わることはない ただし 追加された全般的リスク評価の視点に基づく評価が管理責任者の裁量にゆだねられることとなる そのため 管理責任者の行うリスクアセスメントが経営陣にとって望ましい枠組みや方法となるように教育研修や評価基準指針などの管理責任者をバックアップする仕組みを欠かすことができないであろう 図 7 全般的リスク評価をどのように位置づけるか 1 つ目の考え方 全般的リスク評価 ( 事業や組織運営全般の目的に対する不確かさの影響の評価 ) 情報セキュリティリスク評価 ( 情報セキュリティ目的に対する不確かさの影響の評価 ) 情報セキュリティのリスク基準 2 つ目の考え方 リスク実施基準 リスク受容基準 ベースラインアプローチ 詳細リスクアセスメント資産ごとの評価 非形式的アプローチ 資産 事業プロセス 事業活動 情報 ハードウェア ソフトウェア ネットワーク 要員 サイト 組織の構成 新規格では 全般的リスクの取扱いおいてどのような解釈が望ましいといった記述は存 11

14 在しないため それをどのように解釈して取扱うかについては組織に完全に委ねられてい る したがって ISMS の適用範囲の組織上の特性などをもとに最も実効性のある方法でリ スク評価を実施すべきと考える おわりに 本書では 改訂された新規格の特徴として ISO MSS の影響等を元に 用語やコンセプトが新しくなったこと トップマネジメントの関与が強化されたこと リスク の考え方の変更 リスク対策立案プロセスとリスク所有者を考慮する際の情報セキュリティガバナンス上の想定される課題 管理策の取扱い上の考慮点等について述べた また移行対応にあたって特に留意すべきであろう点について述べた ISO/IEC27001 はマネジメントシステム規格であるため 規格の解釈方法と ISMS への実装は組織の方針によるところとなるが 規格改訂の趣旨を踏まえよりよい経営を実現するためのツールとするため 本書を参考にしてもらえると幸いである 参考文献 [1] 一般財団法人日本情報経済社会推進協会情報マネジメント推進センター,ISO/IEC 27001:2013 への移行計画について,2013 年 10 月 29 日改訂, [2]ISO/TMB/TAG 対応国内委員会事務局,ISO マネジメントシステム規格の整合化に関し て (ISO/TMB/TAG13-JTGC の動向 ),2012 年 5 月, [3]ISO/IEC27001:2013 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシ ステム - 要求事項英和対訳版, 日本規格協会 [4]ISO/IEC27002:2013 情報技術 - セキュリティ技術 - 情報セキュリティ管理策の実践の ための規範英和対訳版, 日本規格協会 [5]JTC 1/SC 27/SD3 Mapping Old-New Editions of ISO/IEC and ISO/IEC 27002, 12

15 - 禁無断転載 - ISO/IEC 27001:2005 認証取得済み組織の ISO/IEC 27001:2013 への移行のための対応 発行 2014 年 7 月発行人みずほ情報総研株式会社経営 IT コンサルティング部コンサルタント牛尾浩平住所 東京都千代田区神田錦町 2-3 竹橋スクエアビル Tel: kohei.ushio@mizuho-ir.co.jp 13