情 報 セキュリティマネジメント 規 格 の 改 訂 と 問 題 点 について 原 田 要 之 助 1 ISO/IEC27001 /27002 が 2014 年 10 月 に 改 定 された. 改 訂 にあたっては, 旧 バージョンから IT の 急 速 な 技 術 進 歩, 利 活 用 の 変 化, 社 会 の 変 化,サイバー 攻 撃 など 新 しい 現 実 に 向 けて, 様 々な 工 夫 がなされている. 本 稿 では, 改 訂 の 内 容 から 始 め, 今 後 の ISMS の 方 向 などを 論 じる.また, 新 旧 バージョンを 比 較 することに より,この 20 年 ほどに おける 情 報 セキュリティマネジメントの 進 展 についてまとめる.さらに, 改 定 の 内 容, 考 え 方, 注 意 すべき 点 などを について 述 べる. A study on Revision of ISO/IEC27001/27002 and its impact YONOSUKE HARADA 1 ISO/IEC27001/27002 (International standard for Information Security Management) have revised at October, 2014. This paper overviews the major changes on those document from Information Security management, especially, how the standard is focused on topics and change the weight of importance among subjects. Also, the improvement on IT technologies, legislations, business manner, management tools are discussed how standards are considered. In the end, some suggestions to standards are studied and proposed for next revision. 1. はじめに ISO/IEC27000 シリーズは,2013 年 に 大 きく 改 定 された.こ れは, 前 回 の 改 定 が 2005 年 であり,この 8 年 間 に 情 報 セキ ュリティをとりまく 環 境 が 大 きく 変 わった.とくに,IT 分 野 では,ハードウェアの 性 能 向 上,ソフトウェアの 仮 想 技 術 やセキュアコンピューティング,インターネットのバッ クボーンおよびアクセス 回 線 の 速 度 の 向 上,サイバー 攻 撃 や 情 報 漏 えいの 増 加,IT 分 野 の 法 制 度 の 制 改 訂 など,さま ざまな 分 野 で 変 化 が 起 きた. 詳 細 については, 付 録 1に 述 べる. 情 報 セキュリティの 認 証 制 度 では,2005 年 に ISO/IEC27001:2005[1]を 要 求 条 件 として ISMS(Information Security Management System: 情 報 セキュリティマネジメン トシステム) 適 合 性 評 価 制 度 ( 以 下,ISMS という)が 始 まった.2013 年 末 時 点 では, 全 世 界 で 約 8,000 事 業 所, 日 本 国 内 では 約 4,500 事 業 所 *1が 認 証 されている[2].とくに, ISMS 認 証 は, 国 内 的 には 企 業 の 契 約 や 政 府 の 入 札 要 件 な どさまざまな 用 途 に 用 いられている.また,CSA(Cloud Security Alliance)による STAR(クラウドサービスの 認 証 制 度 ) [3]では,CCM(Cloud Control Matrix)[4]の 管 理 策 の 検 証 として ISMS の 管 理 策 (ISO/IEC27001 の Annex A)が 参 照 されている. 本 稿 では,2013 年 に 改 定 された ISO/IEC27000:2013, 27001:2013,27002:2013*2の 改 定 について 解 説 する.また, 改 定 版 の 使 い 方, 注 意 すべき 点 などを 論 じ 残 された 課 題 に ついてまとめる. 最 後 に, 情 報 セキュリティマネジメント の 変 遷 から, 今 後, 情 報 セキュリティマネジメントの 進 展 について 論 じる. 2. 情 報 セキュリティマネジメント 規 格 の 変 遷 2.1 情 報 セキュリティマネジメント 規 格 の 黎 明 期 情 報 セキュリティマネジメントは,1990 年 以 前 には,ホス トコンピュータのセキュリティとして 議 論 されてきた.こ の 時 代 には,ホストコンピュータがデータセンタなどの 中 で 物 理 的 に 隔 離 された 環 境 の 中 で 利 用 されてきたため,セ キュリティについてはデータセンタ 内 部 でのハードウェア の 管 理 やシステムの 運 用 面 での 論 理 的 なアクセス 管 理 が 中 心 となってきた.1990 年 代 になって,クライアントサーバ 環 境 に 変 わる 中 で, 企 業 の 多 くが, 物 理 的 に 離 れた 環 境 に 設 置 された 複 数 の 機 器 をネットワークで 接 続 し, 様 々な 関 係 者 が 情 報 システムを 利 用 するようになった.このような 状 況 のなかで, 英 国 の DTI(Department of Trade and Industry)のもとで, 英 国 の 大 企 業 が 集 まって 情 報 セキュリ ティの 管 理 策 をまとめた.これらの 企 業 は,ネットワーク を 接 続 したり, 情 報 を 交 換 したりするときに, 相 手 の 情 報 セキュリティの 管 理 状 況 が 分 からないままに, 自 社 の 機 密 *1 ISMS 認 証 は, 組 織 ( 企 業 など)の 事 業 所 や 部 署 を 対 象 に 認 証 を 受 ける ことができる.なお,P マークでは 組 織 単 位 に 認 証 を 受 ける. *2 本 稿 では,ISO/IEC27001 の 場 合 は,27001 の 複 数 の 版 を 総 称 したものと し,ISO/IEC27001:2005 と 年 号 をつけるものは 特 定 の 年 次 の 版 を 指 す 1
情 報 を 相 手 に 渡 せない.そこで, 企 業 で 共 通 に 実 施 されて いるベースラインとしてのセキュリティ 管 理 について 1992 年 に 調 査 を 実 施 して,その 結 果 をまとめた. 企 業 間 で の 取 引 に 関 係 することから DTI がまとめ 役 となったもの の, 国 による 規 制 にすると 貿 易 上 不 利 となるので, 自 主 的 なフレームワークと 考 えて,DISCPD0003 Code of practice for Information Security Management [5]とした.この 規 範 は, 様 々な 企 業 の 参 考 になること, 規 範 を 維 持 管 理 す る 必 要 があることから, 英 国 の BSI(British Standard Institute 英 国 規 格 協 会 )が, 英 国 の 規 格 BS7799-1 [6]とし て 引 き 継 ぐことになった.この 経 過 を 図 2-1 に 示 す. 1987-1990 1992 1995 I-4 baseline Controls (SRI) CCTA Baseline Controls BOC Group, BT, M&S Midland Bank, Nationwide Building Society, Shell, and magnificent seven! DTI Industry Group DTI User Requirement Survey DTI Code of Practice BSI/DISC0007 Code of Practice BS7799-1 の 一 部 には, 既 に DTI の 翻 訳 も 出 回 っており,セキュリテ ィポリシの 策 定 や 内 部 のセキュリティ 基 準 としての 利 用 が 始 まっていた.さらに,グローバルな 企 業 にとっては, 国 内 と 国 外 で 規 格 が 異 なることへの 反 対 もあった. 英 国 では,BS7799-1 を 利 用 する 組 織 が 増 えており,この 規 格 をベースに 情 報 セキュリティを 構 築 していることの 認 証 ニーズが 顕 在 化 していた.そこで,1997 年 に 情 報 セキュリ ティマネジメントの 要 求 条 件 を BS7799-2[12]として 制 定 し,この 要 求 条 件 をもとに 国 内 を 対 象 にした 認 証 制 度 を 開 始 した.これらの 規 格 は 1999 年 に 一 部 改 訂 された. また, 各 国 とも, 企 業 が 情 報 セキュリティマネジメントの 国 際 規 格 を 必 要 としていることから,2000 年 に BS7799-1 が 国 際 規 格 ISOIEC7799:2000 となることを 承 認 した.この 経 過 を 図 2-2 に 示 す. 1995 1996 1997 1998 1999 2000 BS7799-1 rejected by ISO (CA, F, DE, JP, KR, SE, CH, US voted No) Public Consultation on the need for a Benchmarking (ISMS) st5andard BS7799-2 ISMS spec. BS7799-1 and 7799-2 revisions ISO/IEC17799 (7799-1) input in 2000 Published in 2002 図 2-1 1995 年 以 前 の 情 報 セキュリティマネジメント 2.2 情 報 セキュリティマネジメントの 規 格 の 国 際 化 BSI では,1995 年 当 時, 品 質 や 環 境 の 国 際 認 証 をリードし ており,BS7799-1 も, 国 際 間 で 企 業 が 情 報 セキュリティを 国 際 間 で 取 り 決 めする 際 に 利 用 するのに 適 しているとして, 国 際 規 格 として ISO に 提 唱 した.しかし, 標 準 化 を 担 当 し ている ISO/IEC JTC 1/SC 27 - IT Security techniques ( 情 報 セキュリティの 標 準 化 を 担 当 しているグループ)では, 主 要 国 が 基 準 の 必 要 性 に 疑 問 を 呈 して 反 対 した. なお, 日 本 では, 後 年,BS7799-1 が 持 ち 込 まれたときに, この 実 践 規 範 は 誰 もが 従 うべきガイドラインと 誤 解 された. 一 部 には,BS7799-1 や ISACA の CobiT[7]などの 海 外 のフレ ームワークが 意 味 する 概 念 が 分 かりにくいことから,ベス トプラクティスとして 紹 介 された.これは, 多 くの 日 本 企 業 は, 省 庁 などからのガイドラインを 利 用 するという 受 け 身 のマインドであつたため,フレームワークなど 自 社 の 都 合 で 決 めるという 新 しい 概 念 について 取 扱 いに 苦 慮 したた めである.また, 多 くの 企 業 担 当 者 にとっては, お 上 から の 通 達 の 方 が, 内 部 での 意 思 決 定 が 楽 であったという 企 業 カルチャにもよる.このように, 企 業 からの 要 請 が 多 か ったため, 結 局 は, 経 済 産 業 省 が,JIS X.5080 [8]をベー スに 情 報 セキュリティ 管 理 基 準 V.1[9]を 2003 年 に 策 定 し ている. 1997 年 には 経 済 産 業 省 では, 情 報 処 理 サービス 業 情 報 シス テム 安 全 対 策 実 施 事 業 所 認 定 基 準 [10]を 策 定 して, 事 業 者 を 認 定 する 制 度 を 準 備 していたこともあり, 英 国 からの BS7799-1 の 国 際 規 格 化 に 反 対 している.ただし, 日 本 企 業 7 Response was overwhelming with 90% of the 700 organization responding a benchmarking scheme and 65% in favor of the third party certification Certification scheme developed (BSI/DISC) 図 2-2 ISMS 黎 明 期 の 情 報 セキュリティマネジメント 2.3 情 報 セキュリティマネジメントの 規 格 の 国 際 化 日 本 では,2000 年 に ISO/IEC17799 の 国 際 規 格 化 に 賛 成 し たあと,ISMS の 国 内 での 認 証 制 度 を 検 討 して,2001 年 から, JIPDEC( 情 報 処 理 開 発 協 会 )が ISMS の 認 証 制 度 のパイロッ ト 事 業 を 行 い,この 成 果 を 受 けて 2002 年 4 月 より,ISMS の 本 格 運 用 を 始 めた. 認 証 規 格 としては, 要 求 条 件 を BS7799-2, 管 理 策 は ISO/IEC17799:2000 を 用 いた.この 経 過 を 図 2-3 に 示 す. 2000 2005 2006 2008 2011 2013 ISO/IEC17799 (7799-1) input in 2000 Published in 2002 ISO/IEC17799 :2005 ISO/IEC17799 Renamed as ISO/IEC27002 BS7799--2 revised and as ISO/IEC27001 requirement ISO/IEC27001/ 27002 revision decided ISO/IEC27005: 2008 risk management ISO/IEC27000: 2011 vocabulary and ISO/IEC27005: 2011 risk management revised ISO31000:2009 ISO/IEC27000: 2013 ISO/IEC27002: 2013 ISO/IEC27001: 2013 図 2-3 2000 年 以 降 の 国 際 規 格 としての 発 展 2005 年 には, 日 本 や 英 国 での ISMS の 順 調 な 進 展 が 見 られ ることから,BS7799-1 が,ISO/IEC27001:2005 として 国 際 2
規 格 となった.また, 同 時 に ISO/IEC17799:2000 も 内 容 を 見 直 して,ISO/IEC17799:2005 が 発 行 された.この 規 格 は, 名 称 を 合 わせることから,ISO/IEC27002:2005 に 名 称 変 更 された( 内 容 は 変 えずに 表 紙 のみ 差 し 替 え). 3. ISO/IEC27000 シリーズについて ISO/IEC 27001 と 27002 の 規 格 は,ISO/IEC27000:2012[13]の 用 語 を 始 め,ISMS を 実 装 するための 規 格 ISO/IEC27003:2010 [14], 運 用 で 定 量 的 な 管 理 をする 場 合 の 測 定 項 目 に 関 する 規 格 ISO/IEC27004:200[15],リスクマネジメントに 関 する 規 格 ISO/IEC27005:2011[16]が 開 発 されている.これらの 規 格 は, ISO/IEC27000 ファミリー 規 格 と 呼 ばれている.これを 図 3-1 に 示 す. 規 格 名 は, 付 録 2を 参 照 のこと.なお, 現 在 の 規 格 の,27003, 27004,27005 は 2005 年 の 規 格 と 整 合 がとられており,ISO/IEC 27001:2013 や 2700:2013 年 とは 整 合 しない. 現 在,ISO/IEC SC27 で 改 定 作 業 が 実 施 されている.なお,ISO/IEC27000:2014 (Overview and Vocabulary: 概 要 と 用 語 )*3[17]については, ISO/IEC27001:2013 年 版 との 対 応 がとられている. ISMS 要 求 条 件 27003 Implementation Guidance 27001 ISMS Requirements 27004 Management Measurement 管 理 策 27002 Code of Practice 実 装 測 定 評 価 リスクマネジメント 27005 Risk Management 図 3-1 ISO/IEC27000 のファミリー 規 格 について 4. ISO/IEC27001 の 改 定 について 用 語 + 概 要 27000 Overview and Vocabulary 4.1 MSS 共 通 テキストへの 準 拠 ISOでは,2006 年 から2011 年 にかけて,ISO 9001,ISO 14001, ISO/IEC 27001などのISOマネジメントシステム 規 格 (ISO MSS:ISO Management System Standard)の 整 合 性 を 確 保 する ための 議 論 が 行 われて,MSS 上 位 構 造 (HLS),MSS 共 通 テキス ト( 要 求 事 項 ) 及 び 共 通 用 語 定 義 [18]が 開 発 された.この 一 連 のISO MSS 共 通 要 素 は2012 年 2 月 に 承 認 され, 今 後, 制 定 / 改 正 される 全 てのISO MSSが 原 則 としてこのISO MSS 共 通 要 素 を 採 用 して 開 発 することが 義 務 付 けられた[19].これらのISO MSS 共 通 要 素 は,5 月 1 日 に 発 行 されたISO/IEC Directives( 専 門 業 務 用 指 針 )のSupplement( 補 足 指 針 )の 改 訂 版 の 附 属 書 SLに 盛 り 込 まれている.この 構 造 を 図 4-1に 示 す. 内 容 は,マネジメントシス テムとしてのPDCAが 中 心 となっている. *3 この 規 格 は 2010 年,2012 年,2014 年 に 改 定 されているので, 利 用 するときには 注 意 されたい. (1. 適 用 範 囲 ) (2. 引 用 規 格 ) (3. 用 語 及 び 定 義 ) 4. Context of th e organization( 組 織 の 状 況 ) 5. Leadership(リーダーシップ) 6. Planning( 計 画 ) 7. Support( 支 援 ) 8. Operation( 運 用 ) 9. Performance Evaluation(パフォーマンス 評 価 ) 10. Improvement( 改 善 ) MSS(Management System Standard) 図 4-1 ISO MSS 共 通 要 素 [15]より ISO/IEC27001:2013の 改 定 では,このMSSに 準 拠 することになり, 規 格 化 にあたっては,どう 共 通 要 素 を 当 てはめるかがが 議 論 され た.MSSに 準 拠 することと,ISMSの 最 大 の 特 徴 であるリスクベ ースの 考 え 方 を 取 り 入 れることとなった. 具 体 的 には,MSSに 以 下 の 章 を 追 加 している.これを 図 4-2に 示 す. 6.1.2 情 報 セキュリティリスクアセスメント 6.1.3 情 報 セキュリティリスク 対 応 8.2 情 報 セキュリティリスクアセスメント 8.3 情 報 セキュリティリスク 対 応 図 4-2 ISO MSS 共 通 要 素 に 追 加 されたリスク 関 連 4.2 リスクベースの 概 念 への 変 更 ISO/IEC27001:2005では,ISMSを 実 施 するにあたって,リスク を 特 定 するために, 情 報 資 産 *4を 洗 い 出 して, 次 のように 進 める. これは,ほとんどの 情 報 が 紙, 磁 気 記 録 媒 体,メモリ,サーバ, PCなどの 物 理 的 な 媒 体 に 格 納 されていることと,これらの 物 理 媒 体 は 資 産 として 管 理 されることが 多 いことによる.ISMSを 採 用 す る 場 合 には, 組 織 の 膨 大 な 情 報 に 関 連 する 資 産 を 洗 い 出 す 必 要 が あり, 体 系 的 かつ 具 体 的 に 実 施 できることが 必 要 となる.また, 情 報 のリスクへの 責 任 については, 媒 体 を 管 理 する 管 理 者 に 一 意 に 関 係 づけられるからである.これを 図 4-3に 示 す. IT 情 報 資 産 リスク 分 析 対 策 企 業 にとって 価 値 を 生 むIT 個 人 情 報 などの 情 報 資 産 情 報 システム 情 報 資 産 に 関 係 するリスクは 何 か? 資 産 管 理 者 を 決 める 対 策 : 情 報 セキュリティ 対 策 図 4-3 ISO/IEC27001:2005 でのリスク 分 析 の 考 え 方 ISO/IEC27001:2013[20]は,リスクについては,ISO31000:2009 Risk Management[21] 及 びISO Guide73:2009[22]に 基 づき, 目 *4 英 語 では, 資 産 (asset)となっているが,ガイドラインの 利 用 にあたっ て, 誤 解 されないように, 情 報 資 産 と 呼 称 されている. 3
的 に 対 する 不 確 かさの 影 響 としている.これに 基 づき, 情 報 へ のリスクを 考 える 場 合,2000 年 代 と2010 年 代 で 情 報 の 捉 え 方 が 大 きく 変 化 した. 具 体 的 には,2010 年 代 になって,ネットワークが 高 速 広 帯 域 となったため, 情 報 を 一 か 所 のサーバやPCで 管 理 す るのではなく,ネットワークに 接 続 された 複 数 のサーバに 複 数 に 分 散 して 管 理 されたりするようになった.このようになると, 資 産 管 理 者 が 情 報 に 関 して 責 任 をとれないケースも 出 てくる.また, クラウドでは, 物 理 的 にどこに 所 在 するかも 不 明 である.そのた め, 情 報 が 存 在 するポイントでリスクを 管 理 する 責 任 者 を 決 めて, 管 理 責 任 を 果 たさせるように 拡 張 された.これを 図 4-4に 示 す. 情 報 リスク 分 析 対 策 リスクの 見 直 し 組 織 にとって 価 値 を 生 む 情 報 を 特 定 する 情 報 に 関 係 するリスクは 何 か?リスク 管 理 者 を 決 める 対 策 : 情 報 セキュリティ 対 策 情 報 に 関 係 するリスクの 変 化 や 変 更 の 際 に 見 直 し 図 4-4 ISO/IEC27001:2013 でのリスク 分 析 の 考 え 方 すなわち,ISO/IEC27001:2013の 6.1.2 情 報 セキュリティリス クアセスメント では, 以 下 のようなプロセスが 述 べられている. c) 次 によって 情 報 セキュリティリスクを 特 定 する. 1) ISMSの 適 用 範 囲 内 における 情 報 の 機 密 性, 完 全 性 及 び 可 用 性 の 喪 失 に 伴 うリスクを 特 定 するために, 情 報 セキュ リティリスクアセスメントのプロセスを 適 用 する. 2) これらのリスク 所 有 者 を 特 定 する. d) 次 によって 情 報 セキュリティリスクを 分 析 する. 1) c) -1)で 特 定 されたリスクが 実 際 に 生 じた 場 合 に 起 こ り 得 る 結 果 についてアセスメントを 行 う. 2) c) 1) で 特 定 されたリスクの 現 実 的 な 起 こりやすさに ついてアセスメントを 行 う. 3) リスクレベルを 決 定 する. e) 次 によって 情 報 セキュリティリスクを 評 価 する. 図 4-5 新 しいリスク 分 析 の 考 え 方 (ISO/IEC27001:2013[20] の6.1.4 章 より 抜 粋 ) 表 5-1 情 報 セキュリティ 管 理 策 の 変 遷 ISO/IEC27002'2013 DISC PD0003 BSI7799-1 27002:2000 27002:2005 リスク 分 析 序 文 序 文 3 5 情 報 セキュリティのた めの 方 針 群 1 3 3 5 6 情 報 セキュリティのた めの 組 織 2 4 4 6 7 人 的 資 源 のセキュリ ティ 4 6 6 8 8 資 産 の 管 理 3 5 5 7 9 アクセス 制 御 7 9 9 11 10 暗 号 (8) (10) (10) (12) 11 物 理 的 及 び 環 境 的 セ キュリティ 5 7 7 9 12 運 用 のセキュリティ 6 8 8 10 13 通 信 のセキュリティ 6 8 8 10 14 システムの 取 得, 開 発 及 び 保 守 8 10 10 12 15 供 給 者 関 係 - - - - 16 情 報 セキュリティイ ンシデント 管 理 - - - 13 17 事 業 継 続 マネジメン トにおける 情 報 セキュリ 9 11 11 14 ティの 側 面 18 順 守 10 12 12 15 まず,DTIのDISC0003では, 企 業 の 情 報 セキュリティに 関 する 共 通 の 基 盤 とするための 最 小 限 の 情 報 セキュリティ 対 策 がリストア ップされている.また,コントロール 目 標 やコントロール( 管 理 策 )という 概 念 は 述 べられていない.これが,BS7799-1に 引 き 継 がれた 時 点 で,リスクベースの 概 念 が 導 入 され,リスク 分 析 を 実 施 して,セキュリティの 要 求 条 件 を 明 確 にして, 管 理 策 を 選 択 す るという 概 念 が 持 ち 込 まれた.これば, 現 在 のISO/IEC27002の ベースとなっている. なお,リスク 分 析 については,2005 年 の 改 訂 の 時 点 で,この 基 準 だけでリスク 分 析 からリスク 対 策, 管 理 策 の 導 入, 見 直 しができ るようになった.これは,BS7799-2が 国 際 規 格 となっていないた め,リスク 分 析 からのアプローチを 導 入 することにしたためであ る.したがって,ISO/IEC27002:2005 年 版 はある 意 味, 組 織 が 情 報 セキュリティマネジメントを 実 施 する 上 で, 自 己 完 結 した 規 格 であったと 言 えよう.2007 年 に 始 まった 改 定 では,ISO/IEC27001 と27002での 規 格 の 作 られたタイミングの 違 いで,ずれが 生 じて いた 部 分 や 齟 齬 がある 部 分 の 修 正 が 必 須 のこととなった. 5.2 2005 年 版 と 2013 年 版 の 位 置 づけの 変 更 1) 27001 と 27002 の 関 係 について 27001は 認 証 のための 要 求 条 件 であり, 具 体 的 な 管 理 策 について は 付 属 書 Aに 述 べている.この 関 係 を 図 5-1に 示 す. 5. ISO/IEC27002 の 改 定 について 5.1 DISC003 からの 情 報 セキュリティマネジメントの 変 容 について ISO/IEC27002:2013[23]は,2 章 で 述 べたように, 歴 史 の 長 い 規 格 である.DISC0003を 含 めると 既 に,20 年 間 にわたって5つ 目 の 版 が 出 版 されているが, 基 本 的 な 内 容 については,あまり 変 化 はな い. 章 について 比 較 したものを 表 5-1に 示 す. 図 5-1 ISO/IEC27001 付 属 書 AとISO/IEC27002の 管 理 策 の 関 係 この 付 属 書 Aは, 管 理 目 的 と 管 理 策 の 対 応 表 であり, 具 体 的 な 管 理 策 の 内 容 については 記 載 されていない.2005 年 の 改 訂 では,こ 4
の 管 理 目 的 と 管 理 策 は,27002の5 章 以 降 の 章 と 対 応 するように 策 定 されている.また, 今 後,27002をベースにセクター 別 などの 管 理 策 群 を 追 加 できる 構 造 が 可 能 としている. 2) 27002 のタイトルの 変 更 2013 年 の 改 訂 では,2つの 規 格 間 の 整 合 性 をとることが 重 視 さてた ため,ISO/IEC27002:2005に 記 載 されていたリスク 分 析 などがなく なり, 管 理 策 のみの 規 格 となった.また,2つの 規 格 の 位 置 づけを 明 確 にするため, 規 格 のタイトルが,ISO/IEC27002:2005では, Information technology- Security techniques - Code of practice for information security management( 情 報 セキュリ ティ 管 理 の 実 践 のための 規 範 ) となっていたものを, Information technology- Security techniques - Code of practice for information security controls( 情 報 セキュリテ ィ 管 理 策 の 実 践 のための 規 範 ) と 変 えている.そのため,27002 単 独 では 情 報 セキュリティマネジメントを 遂 行 することができな くなっている 点 に 注 意 する 必 要 がある. 5.3 章 構 成 と 管 理 策 について 管 理 目 的, 管 理 策 の 多 くは, 基 本 的 には,ISO/IEC27002:2005のも のを 継 承, 踏 襲 している. 内 容 的 には, 章 の 表 題 と 管 理 策 がほぼ 同 一 となっている. 両 者 の 関 係 を 図 5-2に 示 す.ただし, 実 施 の 手 引 きや 関 連 情 報 については, 見 直 されているものが 多 いので, 管 理 策 が 同 じといっても, 注 意 が 必 要 である. 図 5-3 管 理 策 27002 Code of Practice ネットワーク 事 業 継 続 プライバシ 2703xシリー ズ + 33201 33221 事 業 継 続 分 野 別 管 理 策 管 理 策 と 他 のガイドラインの 関 係 270xxd Code of Practice 2910xシリー ズ 表 5-2 ISO/IEC27002:2013 が 参 照 しているガイドライン 分 野 と 参 照 規 格 13 ネットワークセキュリティ 管 理 ISO/IEC 27033, Information technology Security techniques Network security, Parts 1, 2, 3, 4 and 5 15 サプライチェーンのセキュリティ 管 理 ISO/IEC 27036, Information technology Security techniques Information security for supplier relationships, Parts 1, 2 and 3 16 情 報 セキュリティインシデント 管 理 ISO/IEC 27035, Information technology Security techniques Information security incident management ISO/IEC 27037, Information technology Security techniques Guidelines for identification, collection, acquisition and preservation of digital evidence 17 事 業 継 続 管 理 ISO/IEC 27031, Information technology Security techniques Guidelines for information and communication technology readiness for business continuity ISO 22313, Social security Business continuity management systems Guidance 18 プライバシのフレームワーク ISO/IEC 29100, Information technology Security techniques Privacy framework 図 5-2 ISO/IEC27002:2005と2013の 章 構 成 の 対 応 [24] 管 理 策 については, 技 術 的 なものやマネジメントに 整 合 しないも のが 削 除 されて,133の 管 理 策 が114に 削 減 された.2005 年 以 降 に, ISO/IEC SC27では, 多 数 の 技 術 分 野 の 規 格 が 策 定 されており,と くに,ネットワークのセキュリティ, 情 報 セキュリティインシデ ント 管 理 などのガイドラインが 策 定 されている.また, 事 業 継 続 計 画 したがって, 管 理 策 の 選 択 や 実 施 にあたっては, ISO/IEC27002:2013に 詳 述 するのではなく, 必 要 な 部 分 について は 他 の 規 格 を 参 照 して,マネジメントとして 実 践 する 必 要 がある 部 分 を 詳 述 して, 重 複 を 防 いでいる.そのため, 参 照 されている ガイドラインを 参 考 にする 必 要 がある.この 関 係 を 図 5-2に 示 す. また, 参 照 されるガイドラインを 表 5-2に 示 す. 5.4 セキュリティポリシについて ISO/IEC27002:2005では, 組 織 の 情 報 セキュリティポリシであり, ISO/IEC27001:2005のISMSポリシと 用 語 が 異 なり,かつ, 両 者 の 関 係 が 不 明 確 であった.ISO/IEC27002: 2013では, 方 針 文 書 でなく, 方 針 ( 群 )に 関 する 管 理 策 とした.ポリシを 策 定 する 際,この 中 から 選 択 して, 組 織 のポリシを 策 定 することになり, 両 者 の 齟 齬 が 解 消 された.なお, 組 織 が 実 施 する 管 理 策 をどのように 選 択 す るかが 分 かり 易 くするために, 各 章 の 管 理 策 の 方 針 にあたるもの 許 可 されるIT 使 用 の 方 針 ネットワークセキュリティの 方 針 外 部 委 託 の 方 針 モバイルデバイスの 方 針 等 が 集 められ, 選 択 できる 構 造 としている. 5.5 組 織 について ISO/IEC27002:2005では,6 章 に 組 織 について, 経 営 者,マネジメ メントが 詳 しく 詳 述 されていた.ISO/IEC27002:2013では, 管 理 策 として 必 要 な 最 小 限 の 内 部 組 織 について 役 割 が 述 べられているだ けとなった.とくに, 経 営 層 の 役 割 については,ISO/IEC27014:2013 5
情 報 セキュリティガバナンス[25]を 参 照 することとなった. 一 方, 組 織 にとっては, 昨 今 のモバイル 環 境 でのビジネス 遂 行 が 重 要 な 管 理 対 象 となっている.これを 反 映 する 形 で,6.2 章 にモバイル 機 器 およびテレワーキングが 設 けられている.ISO/IEC27002:2005 までは,アクセス 制 御 の 一 項 目 でしかなかった 管 理 策 群 が, 重 要 な 観 点 としてクローズアップされている. 6.1 内 部 組 織 6.1.1 情 報 セキュリティの 役 割 及 び 責 任 6.1.2 職 務 の 分 離 6.1.3 関 係 当 局 との 連 絡 6.1.4 専 門 組 織 との 連 絡 6.1.5 プロジェクトマネジメントにおける 情 報 セキュリティ 6.2モバイル 機 器 及 びテレワーキング 6.2.1 モバイル 機 器 の 方 針 6.2.2 テレワーキング 図 5-2 ISO/IEC27002:2013の 組 織 について 5.6 新 しい 概 念 や 用 語 の 整 理 ISO/IEC27002: 2013では 次 の 新 しい 概 念 を 取 り 入 れている. 1 関 係 者 の 整 理 今 まで, 関 係 者 としては, 従 業 員, 契 約 者, 第 三 の 利 用 者 となっ ていたが, 第 三 の 利 用 者 が 分 かりにくく,どこまで, 組 織 のセキ ュリティの 管 理 対 象 とするかが 曖 昧 となる 原 因 であった.これを, 供 給 者 関 係 (supplier relationships)という 概 念 を 持 ち 込 み 整 理 した. 一 方, 組 織 の Web にアクセスしてくる 利 用 者 は 第 三 者 として 管 理 対 象 とはしないこととなった. 2 秘 密 認 証 情 報 パスワード 以 外 のバイオメトリックス, 秘 密 鍵 などパスワード 以 外 の 手 段 も 認 証 のための 手 段 となっている 現 実 に 合 わせた 新 しい 概 念 を 取 り 入 れた.ただし, 管 理 策 の 多 くは,パスワードを 念 頭 においたものとなっている. 3 2005 年 版 の 古 い 用 語 を 見 直 した 10.9 電 子 商 取 引 サービス, 10.9.1 電 子 商 取 引, 10.9.2 オンライン 取 引, 10.9.3 公 開 情 報 が,2013 年 版 では, 14.1.2 公 共 ネットワーク 上 の 業 務 処 理 サービスのセキュリティ, 14.1.3 業 務 処 理 サービスのトランザクションの 保 護 となって いる. 4 開 発 に 関 する 具 体 的 な 内 容 を 削 除 セキュアプログラミングの 進 展,SOX などによる 内 部 統 制 の 進 展 などとバッテッングしないように, 一 部 の 管 理 策 を 削 除 している. 12.2 業 務 用 ソフトウェアでの 正 確 な 処 理 12.2.1 入 力 デー タの 妥 当 性 確 認 12.2.2 内 部 処 理 の 管 理 12.2.3 メッセージ の 完 全 性 12.2.4 出 力 データの 妥 当 性 確 認 など. 5ロールベース( 役 割 に 基 づく)のアクセス 制 御 9.2.1 利 用 者 登 録 および 登 録 削 除 については, 9.2.1 利 用 者 登 録 および 登 録 削 除 User Registration and de-registration と 9.2.2 利 用 者 アクセスの 提 供 User Access Provisioning の 二 つに 分 けられた.これは,アクセスについては, 組 織 に 配 属 さ れた 時 点 でIDが 登 録 され,アクセス 権 の 付 与 については, 正 式 な 利 用 申 請 に 基 づいて 役 割 からアクセス 権 を 提 供 (Provisioning) する 考 え 方 である. 5.7 通 信 と 運 用 の 分 離 ISO/IEC27002:2005では, 10 通 信 及 び 運 用 管 理 が 管 理 策 も 多 く, 他 の 章 とのバランスが 悪 かった.これについては, ISO/IEC27002:2013では, 12 運 用 のセキュリティ と 13 通 信 のセキュリティ に 分 けられた.とくに, 情 報 セキュリティマ ネジメントでは, 運 用 に 重 点 が 置 かれたのが 見 てとれる. 5.8 ログについての 誤 解 を 訂 正 ログについては,ISO/IEC27002:2005から, 監 査 ログ(Audit log) という 概 念 が 持 ち 込 まれた.これは,ログ 情 報 を 闇 雲 に 集 めるの ではなく, 監 査 などの 目 的 に 合 わせて 収 集 するという 意 味 であっ たが, 監 査 ログという 言 葉 が 説 明 なしに 用 いられており,マネジ メントに 必 要 なログの 収 集 と 読 まれないという 誤 解 が 生 じていた. そのため,ISO/IEC17799:2000まで 用 いられていたイベントログ に 戻 すことになった.ここでのイベントログの 収 集 は, 利 用 者 の 活 動, 例 外 処 理, 過 失 及 び 情 報 セキュリティ 事 象 を 記 録 し, 保 持 し, 定 期 的 にレビューするためとしている. 5.9 事 業 継 続 管 理 の 位 置 づけの 変 更 事 業 継 続 管 理 は,そもそものガイドラインのDISC0003での 主 要 な 目 的 であった.しかし,2012 年 にISO/IEC22301 22323など の 事 業 継 続 管 理 が 新 しいマネジメントシステムとして 独 立 した. そのため,ISO/IEC27002:2013では 14 事 業 継 続 管 理 から, 17 事 業 継 続 管 理 の 情 報 セキュリティの 側 面 とスコープを 情 報 セキュリティの 範 囲 に 主 題 を 限 定 した.この 観 点 から, 新 しい 17.2( 冗 長 性 ) の 管 理 策 が 追 加 され, 具 体 的 には, 17.2.1 情 報 処 理 施 設 の 可 用 性 を 重 視 し, 情 報 処 理 施 設 は, 可 用 性 の 要 求 に 対 応 するために 十 分 な 冗 長 性 を 実 装 することが 望 ましい. としている. 5.10 プライバシーと PII について ISO/IEC27002:2013では, 今 までの 個 人 情 報 を 18.1.4 プライバ シーおよび 個 人 を 特 定 できる 情 報 (PII)の 保 護 管 理 策 に 拡 張 し ている. プライバシーおよびPIIの 保 護 は, 適 用 がある 場 合 には, 関 連 する 法 令 及 び 規 制 の 要 求 に 従 って 確 実 にすることが 望 まし い. としており, 国 内 的 には 影 響 は 限 定 的 であるが, 海 外 拠 点 においてISMSを 構 築 するときには,その 地 の 法 令 等 が 関 連 しない か 厳 重 にチェックする 必 要 がある. 5.11 暗 号 の 管 理 策 について ISO/IEC27002:2013では, 暗 号 が 様 々な 管 理 策 が 暗 号 化 に 触 れて いることから, 単 独 の 章 にまとめられている. 具 体 的 な 管 理 策 に ついては 利 用 方 針 と 鍵 管 理 の2つとなっている. 5.12 法 令 遵 守 について ISO/IEC27002:2013では, 法 的 な 問 題 について, 従 来 よりも, 法 令 遵 守 を 強 調 している. 例 えば, 暗 号 の 利 用 では, 貿 易 での 制 限 について 述 べ, 供 給 者 関 係 では, 国 が 異 なるサービスについての 法 的 な 問 題 に 注 意 を 促 している. 知 的 財 産 関 係 では,ライセンス の 問 題 や 著 作 権 について 述 べている.さらに,アクセスログの 取 得, 監 視 カメラ, 採 用 前 のスクリーニングなど 個 人 情 報 の 収 集 に 関 わる 管 理 策 では, 地 域 の 法 令 法 制 度 との 調 整 遵 守 を 今 まで より 強 調 している. 6
ISMS( 情 報 セキュリティマネジメントシステム) の 拡 張 5.13 ISMS の 管 理 策 について ISMS の 認 証 では, 図 5-1 に 示 したように,ISO/IEC27001 は 付 属 書 A から 管 理 目 的 に 合 わせて 管 理 策 を 選 択 すること になっている.この 付 属 書 A は,ISO/IEC27002 の 管 理 目 的 と 管 理 策 に 対 応 している.2008 年 に ISO/IEC27011:2008 が 策 定 され, 通 信 分 野 では,27002 と 27011 を 組 み 合 わせて 認 証 を 受 けられるようになった.また,2012 年 には, ISO/IEC IR27015 が 金 融 分 野 を 対 象 に 策 定 された.この 関 係 を 図 6-1 に 示 す. このように ISMS の 認 証 については, 分 野 別 やクラウド, プライバシーなどを 組 み 合 わせて 認 証 できれば, 組 織 が 外 部 に 対 して 説 明 責 任 を 高 めることができる.ISO/IEC SC27 では, 図 6-1 や 図 6-2 の 構 造 をより, 一 般 化 して, 管 理 策 の 追 加 が 容 易 な 構 造 をとることができるようにガイドライ ン ISO/IEC27009 を 策 定 中 である. 図 6-3 に 示 す.このガイ ドラインができれば, 基 本 部 分 としての ISO//IEC27002 と 分 野 別 やサービス 別 に 追 加 の 管 理 策 で 認 証 をより 専 門 化 で ぃるようになる.これによって,ISMS の 認 証 がより, 利 用 者 に 魅 力 的 なものとなると 考 えられる. 図 6-1 分 野 別 の 管 理 策 の 追 加 図 6-3 分 野 別 の 管 理 策 を 追 加 できる 仕 組 み クラウドについては, 当 初,ISO/IEC27002 の 管 理 策 に 追 加 する 案 も 検 討 されたが, 開 発 のスケジュールが 合 わないこ とやクラウドのサービスでは,サービス 提 供 側,サービル 利 用 側 と 分 かれるため,ISO/IEC27002 に 追 加 するのは 得 策 でないこと. 経 済 産 業 省 が 2011 年 に クラウドサービス 利 用 のための 情 報 セキュリティマネジメントガイドライン を 策 定 した.ガイドラインは,ISO/IEC27002 と 組 み 合 わせ て 利 用 すること 意 図 している. 日 本 はこの 構 造 を ISO/IEC SC27 に 提 案 して,ISO/IEC 27017 の 開 発 が 始 まった.これ を 図 6-2 に 示 す. 図 6-2 クラウドの 管 理 策 の 追 加 6. 情 報 セキュリティマネジメントの 課 題 情 報 セキュリティマネジメントは,この 20 年 間 に 大 きく 進 化 して,ISMS による 認 証 制 度 も 大 きく 成 長 した.また,IT の 技 術 進 歩 やマネジメントの 進 化 のおかげで, 管 理 方 法 に ついても 変 遷 している. 事 業 継 続 計 画 については, 重 症 性 が 認 知 されて, 別 の 体 系 として 独 立 した.これに 合 わせて, 情 報 セキュリティ 本 来 の 管 理 策 である 可 用 性 に 落 ち 着 いた. また,インシデント 管 理 については,2005 年 の 改 訂 で 盛 り 込 まれたが,さらに 詳 細 化 されて, 一 つの 管 理 分 野 となっ ている. 現 在 は,サプライチューンセキュリティなど 供 給 者 関 係 が 同 様 に 独 立 した 管 理 体 系 となると 考 えられる. モバイルコンピューティングでは, 個 々の 管 理 策 となって いるが,MDM(Mobile Device Management)というシステ ム 化 が 図 られて 自 動 化 が 進 んでいる. 運 用 面 では,MDM の 管 理 が 新 しい 課 題 となっている.また, 物 理 セキュリテ ィ 分 野 では, 入 退 室 のシステムが 自 動 化 され,このシステ ムの 脆 弱 性 や 運 用 がマネジメントの 新 たな 課 題 となってい る.このように, 情 報 セキュリティマネジメントは,ある 情 報 セキュリティの 問 題 が 表 出 すると,まず, 問 題 が 検 討 されて, 対 策 として,ポリシの 策 定,ルール 化,しくみの 定 常 化 と 進 み, 新 しく 導 入 されたしくみについては, 範 囲 が 大 きい 場 合 には,それだけでマネジメントシステムが 必 要 となるため, 独 立 したものとなる. 一 方,システム 化 さ 7
れたものについては,システムの 運 用 が 新 しい 課 題 となり マネジメントが 深 化 していく.すなわち, 情 報 セキュリテ ィマネジメント 全 体 としての PDCA も 重 要 な 課 題 となって いる. 国 際 規 格 はこれらの 動 向 を 後 追 いするものの, 時 間 遅 れが 問 題 となっている. 7. まとめ 情 報 セキュリティマネジメントは,この 20 年 間 の IT の 進 歩 や 利 用 面 の 変 化 で 位 置 づけが 大 きく 変 わってきている. 企 業 のほとんどが 情 報 セキュリティの 対 策 を 実 施 するよう になっている.これを 支 えてきたのが ISO/IEC27001 と 27002 と 言 えよう. 今 回 の 改 訂 では,ISMS の 認 証 が, ISO9000,14000 などと 共 通 なフレームワークとなり, 企 業 等 の 組 織 にとってより 身 近 なツールとなる. 本 稿 では,こ の 20 年 間 の 動 向 を 俯 瞰 して, 改 定 の 位 置 づけを 明 らかして, 新 しい 規 格 の 動 向 と ISMS の 将 来 像 について 紹 介 した.さ らに, 情 報 セキュリティマネジメントは, 今 後, 運 用 面 が 拡 充 して 別 の 管 理 体 系 となるなり, 自 動 化 して 運 用 そのも のが 変 わることを 紹 介 した. 8. 謝 辞 本 研 究 を 実 施 するにあたり,ISO/IEC SC27の 会 議 に 出 席 す るために,2007 年 ~2011 年 はISACA( 情 報 システムコント ロール 協 会 ),2012 年 はJISC( 情 報 処 理 規 格 協 会 )から 旅 費 を 支 援 して 頂 きました.ここに 感 謝 いたします. また, 本 研 究 を 実 施 するにあたり,アドバイスやコメ ントを 頂 いたISO/IEC SC27 国 内 委 員 会 の 委 員, 情 報 セキュリティ 大 学 院 大 学 の 教 授, 原 田 研 究 室 の 学 生, 客 員 研 究 員 の 皆 様 に 感 謝 いたします. 9. 参 考 文 献 [1] ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security management systems -- Requirements, 2005 年 及 び JIS Q27001:2006 情 報 技 術 -セキュリティ 技 術 - 情 報 セキュリティマネジメントシステム- 要 求 事 項 [2] JIPDEC, 認 証 取 得 組 織 数 推 移, 認 証 機 関 別 県 別 認 証 取 得 組 織 数,www.isms.jipdec.jp/lst/ind/suii.html,2014 年 1 月 アクセス [3] CSA, Security, Trust & Assurance Registry (STAR), //cloudsecurityalliance.org/star/,2014 年 1 月 アクセス [4] CSA, Cloud Controls Matrix v3.0, cloudsecurityalliance.org/download/cloud-controls-matrix-v3/, 2014 年 1 月 アクセス [5] DTI, DISC PD0003, Code of practice for Information Security Management, DTI, 1993 年 9 月 [6] BS7799-1, Code of practice for Information Security Management, 1997 年 9 月 [7] ISACA, CobiT(Control Objectives for IT) version 3, 2000 年 [8] JIS X5080:2002 情 報 技 術 -セキュリティ 技 術 - 情 報 セ キュリティマネジメンの 実 践 のための 規 範 -,2002 年 ( 廃 止 ) [9] 経 済 産 業 省, 情 報 セキュリティ 管 理 基 準 ( 平 成 15 年 に 経 済 産 業 省 告 示 第 112 号 として 制 定 され, 平 成 20 年 に 改 正 ), www.meti.go.jp/policy/netsecurity/.../is_management_standard.pdf,2014 年 1 月 アクセス [10] 経 済 産 業 省, 情 報 処 理 サービス 業 情 報 システム 安 全 対 策 実 施 事 業 所 認 定 基 準 ( 通 商 産 業 省 告 示 406 号 ),1997 年 制 定,2001 年 廃 止 [11] ISO/IEC 17799:2000, Code of practice for Information Security Management, 2000 年 [12] BS7799-2, Information security management systems -- Requirements, 1997 年 [13] ISO/IEC 27000:2012, Information security management systems - Overview and vocabulary [14] ISO/IEC 27003:2010, Information security management system implementation guidance [15] ISO/IEC 27004:2009, Information security management measurements [16] ISO/IEC 27005:2011, Information security risk management [17] ISO/IEC 27000:2014, Information security management systems - Overview and vocabulary [18] ISO, Annex SL(normative) Proposals for management system standards, www.unit.org.uy/misc/anexosl.pdff,2014 年 1 月 アクセス [19] ISO/TMB/TAG 対 応 国 内 委 員 会 事 務 局,ISO マネジメ ン ト シ ス テ ム 規 格 の 整 合 化 に 関 し て ( ISO/TMB/TAG13-JTCG の 動 向 ),2012 年 5 月, www.jsa.or.jp/stdz/mngment/pdf/mns_4.pdf,2014 年 1 月 アク セス [20] ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements, 2013 年 [21] ISO 31000:2009 - Risk management(jis Q31000:2010 リ スクマネジメント- 原 則 及 び 指 針 ),2009 年 [22] ISO Guide 73:2009,Risk management-vocabulary,(jis Q0073:2010 (リスクマネジメント 用 語 ),2009 年 [23] ISO/IEC 27002:2013 Information technology - Security techniques - Code of practice for information security controls, 2013 年 [24] ISO/IEC SC27, SD3 Mapping Old?New Editions of ISO/IEC27001 and ISO/IEC27002, SC 27 N13143, 2013 年 10 月,www.jtc1sc27.din.de/sixcms_upload/media/3031/SD3.pdf, 2014 年 1 月 アクセス [25] ISO/IEC 27014:2013 Information technology - Security 8
techniques - Governance of information security 10. 付 録 1 10.1 外 部 環 境 の 変 化 球 環 境 の 変 化 ITによるモニタリングシステム 自 然 災 害 の 増 加 気 象 のIT 情 報 の 重 要 性 グローバル 化 ( 経 済, 取 引, 流 通, 旅 行, 情 報, ) 企 業 へのITの 普 及 ( 全 企 業 の99%がPCを 活 用 ) テロの 頻 発 テロリストもITを 利 用 中 国,インド,ロシア,ブラジル, 南 アフリカなどの 経 済 発 展 携 帯 電 話 やインターネットを 利 用 EUの 拡 大 (27カ 国 ) 10.2 技 術 の 変 化 IT の 進 歩 が 重 要 クラウド スマートフォン 検 索 サービスの 一 般 電 子 ショッピングの 拡 大 楽 天,Amazon 放 送 のデジタル 化 写 真 のデジタル 個 人 の 無 線 LAN 利 用 地 球 人 口 の 半 数 以 上 が 携 帯 電 話 を 利 用 SNSの 広 がり 高 速 大 容 量 ブロードバンド 組 み 込 みコンピュータの 広 がり 車 の 自 動 運 転 スマートグリッド スマートメータ 電 子 マネーの 拡 大 入 退 出 管 理 システムの 普 及 監 視 カメラのデジタル 化 と 普 及 10.3 関 連 法 令 制 度 の 変 化 IT,ネットワークへの 対 応 個 人 情 報 保 護 法 完 全 施 行 (2005) 金 融 商 品 取 引 法 の 内 部 統 制 報 告 書 制 度 (2007) 特 定 電 子 メールの 送 信 の 適 正 化 等 に 関 する 法 律 (2008) 不 正 競 争 防 止 法 の 改 正 (2011) 不 正 アクセス 禁 止 法 の 改 正 (2012) 不 正 指 令 電 磁 的 記 録 :ウィルス 作 成 罪 (2011) 著 作 権 法 改 正 (2012) プロバイダ 責 任 制 限 法 (2007) 情 報 セキュリティガバナンス 制 度 (2005-2010) 情 報 セキュリティ 監 査 制 度 (2004) 10.4 事 件 事 故 機 密 性 ( 個 人 情 報 漏 えい) 個 人 情 報 漏 えい 事 故 多 発 (JNSA IISECのインシデント 調 査 ) Winny 利 用 PCのウイルス(ワーム)(2005) ボーダーレス(Sony 個 人 情 報 流 出 (2011 年 )) 米 復 員 軍 事 省 の 管 理 する 退 役 軍 人 の 約 2,000 万 件 の 個 人 情 報 漏 え い(2006) 自 衛 隊 のイージス 艦 機 密 情 報 内 部 漏 えい 事 件 (2007) 小 規 模 な 情 報 漏 洩 えいについては 増 加 傾 向 にある(JNSAと 情 報 セキュリティ 大 学 院 大 学 によるインシデント 調 査 ) 10.5 可 用 性 完 全 性 全 日 空 の 発 券 システムで 障 害 (2007) ファーストサーバの 障 害 とデータ 消 失 (2012) みずほ 銀 行 システム 障 害 (2011) Gumblerウイルスによる 改 ざん 被 害 (2009) 東 京 証 券 取 引 所 システム 障 害 (2005) 311 東 日 本 大 震 災 に 伴 う 情 報 システムへの 被 害 (2011) 10.6 その 他 食 品 偽 装 (2007) 消 えた 年 金 記 録 問 題 (2007) Googleストリートビュー 開 始 (2008) パンデミックが 明 らかにしたBCPの 不 備 (2009) ウィキリークス(2010) イカタコウイルス 作 者 器 物 損 壊 容 疑 で 逮 捕 (2010) 尖 閣 諸 島 中 国 漁 船 衝 突 映 像 流 出 (2010) 大 阪 地 検 特 捜 部 証 拠 改 竄 事 件 (2010) アノニマス(2011) 11. 付 録 2 ISO/IEC27000 ファミリー 規 格 標 準 英 語 名 称 標 準 実 施 年 概 要 日 本 基 準 Information technology Security techniques Information IS ISO/IEC27000 標 準 あり 情 報 セキュリティ 管 理 に 関 する 用 語 集 JIS Q27000 security management systems Overview and vocabulary 2014 Information technology Security techniques Information IS 情 報 セキュリティ 管 理 の 要 求 条 件 ISO/IEC27001 標 準 あり JIS Q27001 security management systems Requirements 2013 ISMS 認 証 基 準 Information technology Security techniques Code of IS ISO/IEC27002 標 準 あり 情 報 セキュリティ 管 理 の 技 術 管 理 項 目 JIS Q27002 practice for information security management 2013 Information technology Security techniques Information 標 準 あり WD ISO/IEC27003 情 報 セキュリティの 実 装 方 法 security management system implementation guidance 改 訂 開 始 2016 Information technology Security techniques Information 標 準 あり WD ISO/IEC27004 情 報 セキュリティ 管 理 のための 測 定 方 法 security management measurements 改 訂 開 始 2016 Information technology Security techniques Guidelines 標 準 あり WD ISO/IEC27005 情 報 セキュリティ 分 野 のリスク 管 理 未 定 for information security risk management 改 訂 開 始 2016 Information technology Security techniques 標 準 あり IS ISO/IEC27006 Requirements f or bodies providing audit and certification of ISMSの 認 証 機 関 に 対 する 要 求 条 件 JIS Q27006 改 定 中 2011 information security management systems Information technology Security techniques Guidelines IS ISO/IEC27007 標 準 あり 情 報 セキュリティ 内 部 監 査 のガイドライン f or inf ormation security management systems auditing 2011 Information technology Security techniques Guidance for ISO/IEC TR auditors on information security management systems 標 準 あり 情 報 セキュリティ 監 査 の 技 術 ガイドライン TR27008 2011 controls Information technology Security techniques Information IS ISO/IEC27010 標 準 あり 産 業 間 の 情 報 セキュリティ 管 理 security management for inter-sector communications 2012 Information technology Security techniques Information 標 準 あり WD 情 報 通 信 事 業 者 が27002を 用 いて 情 報 セキュリ ISO/IEC27011 security management guidelines for telecommunications 改 訂 開 始 2016 ティ 管 理 を 実 施 するためのガイドライン organisations based on ISO/IEC 27002 Information technology Security techniques Guidance on IS ISO/IEC20000-1と27001の 両 方 の 認 証 を 統 合 ISO/IEC27013 the integrated implementation of ISO/IEC 20000-1 and 標 準 あり 2012 的 に 受 けるときのガイドライン ISO/IEC 27001 Information technology Security techniques Governance IS ISO/IEC27014 標 準 あり 情 報 セキュリティガバナンスのガイドライン JIS Q27014 of Information security 2013 Information technology Security techniques Information IS 金 融 証 券 業 向 けの 情 報 セキュリティ 管 理 シス ISO/IEC27015 security management system for financial and insurance 標 準 あり 2013 テム services sector 標 準 英 語 名 称 標 準 実 施 年 概 要 日 本 基 準 ISO/IEC Information technology Security techniques Information 標 準 あり IS ISMSの 経 済 性 TR27016 security management Organizational economics 2014 Information technology Security techniques Guidelines on 標 準 化 CD 情 報 セキュリティ 管 理 の 要 求 条 件 ISO/IEC27017 ISMS for the use of cloud computing services 作 業 中 2015 ISMS-Cloud 認 証 基 準 Information technology Security techniques Guidelines on 標 準 化 WD 情 報 セキュリティ 管 理 の 要 求 条 件 ISO/IEC27018 ISMS for the use of cloud computing services 作 業 中 2016 ISMS-プライバシ 認 証 基 準 The Use and Application of ISO/IEC 27001 for 標 準 化 WD I ISMS 認 証 における 要 求 条 件 に 付 加 的 な 基 準 を ISO/IEC27009 Sector/Service-Specific Third-Party Accredited Certifications 提 案 中 2016? 組 み 合 わせるときの 考 え 方 (2013 年 末 の 状 況 ) 12. 付 録 3 ISO/IEC 27001:2013 の 目 次 1. 適 用 範 囲 2 引 用 規 格 3 用 語 及 び 定 義 9
4 組 織 の 状 況 4.1 組 織 及 びその 状 況 の 理 解 4.2 利 害 関 係 者 のニーズ 及 び 期 待 の 理 解 4.3 情 報 セキュリティマネジメントシステムの 適 用 範 囲 の 決 定 4.4 情 報 セキュリティマネジメントシステム 5 リーダーシップ 5.1 リーダーシップ 及 びコミットメント 5.2 方 針 5.3 組 織 の 役 割, 責 任 及 び 権 限 6 計 画 6.1 リスク 及 び 機 会 に 対 処 する 活 動 6.1.1 一 般 6.1.2 情 報 セキュリティリスクアセスメント 6.1.3 情 報 セキュリティリスク 対 応 6.2 情 報 セキュリティ 目 的 及 びそれを 達 成 するための 計 画 8 運 用 8.1 運 用 の 計 画 及 び 管 理 8.2 情 報 セキュリティリスクアセスメント 8.3 情 報 セキュリティリスク 対 応 9 パフォーマンス 評 価 9.1 監 視, 測 定, 分 析 及 び 評 価 9.2 内 部 監 査 9.3 マネジメントレビュー 10 改 善 10.1 不 適 合 及 び 是 正 処 置 10.2 継 続 的 改 善 13. 付 録 4 ISO/IEC 27002:2013 の 目 次 0 序 文 0.1 背 景 及 び 状 況 0.2 情 報 セキュリティ 要 求 事 項 0.3 管 理 策 の 選 定 0.4 組 織 固 有 の 指 針 の 策 定 0.5 ライフサイクルに 関 する 考 慮 事 項 0.6 関 連 規 格 1 適 用 範 囲 2 引 用 規 格 3 用 語 及 び 定 義 4 規 格 の 構 成 4.1 箇 条 の 構 成 4.2 管 理 策 のカテゴリ 5 情 報 セキュリティのための 方 針 群 5.1 情 報 セキュリティのための 経 営 陣 の 方 向 性 6 情 報 セキュリティのための 組 織 6.1 内 部 組 織 6.2 モバイル 機 器 及 びテレワーキング 7 人 的 資 源 のセキュリティ 7.1 雇 用 前 7.2 雇 用 期 間 中 7.3 雇 用 の 終 了 及 び 変 更 8 資 産 の 管 理 8.1 資 産 に 対 する 責 任 8.2 情 報 分 類 8.3 媒 体 の 取 扱 い 9 アクセス 制 御 9.1 アクセス 制 御 に 対 する 業 務 上 の 要 求 事 項 9.2 利 用 者 アクセスの 管 理 9.3 利 用 者 の 責 任 9.4 システム 及 びアプリケーションのアクセス 制 御 10 暗 号 10.1 暗 号 による 管 理 策 11 物 理 的 及 び 環 境 的 セキュリティ 11.1 セキュリティを 保 つべき 領 域 11.2 装 置 12 運 用 のセキュリティ 12.1 運 用 の 手 順 及 び 責 任 12.2 マルウェアからの 保 護 12.3 バックアップ 12.4 ログ 取 得 及 び 監 視 12.5 運 用 ソフトウェアの 管 理 12.6 技 術 的 ぜい 弱 性 管 理 12.7 情 報 システムの 監 査 に 対 する 考 慮 事 項 13 通 信 のセキュリティ 13.1 ネットワークセキュリティ 管 理 13.2 情 報 の 転 送 14 システムの 取 得, 開 発 及 び 保 守 14.1 情 報 システムのセキュリティ 要 求 事 項 14.2 開 発 及 びサポートプロセスにおけるセキュリティ 14.3 試 験 データ 15 供 給 者 関 係 15.1 供 給 者 関 係 における 情 報 セキュリティ 15.2 供 給 者 のサービス 提 供 の 管 理 16 情 報 セキュリティインシデント 管 理 16.1 情 報 セキュリティインシデントの 管 理 及 びその 改 善 17 事 業 継 続 マネジメントにおける 情 報 セキュリティの 側 面 17.1 情 報 セキュリティ 継 続 17.2 冗 長 性 18 順 守 18.1 法 的 及 び 契 約 上 の 要 求 事 項 の 順 守 18.2 情 報 セキュリティのレビュー 10