進化する ISMS ISMS 適合性評価制度の認証用基準 (ISO/IEC 27001) は改定の度に進化している Ver. Ver. I

ISMS の本質を理解する 2017/12/13 リコージャパン株式会社エグゼクティブコンサルタント羽田卓郎作成 :2017 年 10 月 6 日更新 :2017 年 11 月 06 日 Ver.1.1 1

進化する ISMS ISMS 適合性評価制度の認証用基準 (ISO/IEC 27001) は改定の度に進化している 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2017 Ver. Ver. ISMS 認証基準 0.8 1.0 Ver. 2.0 JIS Q 27001:2006 英国規格国際規格 BS7799-2:1998 BS 7799-2:2002 ISO/IEC 27001:2005 JIS Q 27001:2014 ISO/IEC 27001:2013 13 英国規格 JIS X 5080:2002 JIS Q 27002:2006 JIS Q 27002:2014 BS7799-1 :1998 ISO/IEC 17799:2000 国際規格 ISO/IEC 17799:2005 ISO/IEC 27002:2005 ISO/IEC 27002:20 :2013 28P Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 2

マネジメントシステム規格の共通化 1. マネジメントシステム規格の共通化 : 1ISO/IEC27001:2013は ISO/IEC 専門業務用指針第 1 部 ISO 補足指針統合版の附属書 SLのAppendix 2 上位構造共通の中核となるテキスト共通用語および中核となる定義を適用している以降 MSS という 2MSSは QMS EMS BCMSなど既存の全てのマネジメントシステムにも適用され将来的には全て MSSをベースとした規格となる 3ISO/IEC27001:2013は MSSの開発目的を尊重し可能な限り専門分野 ( 情報セキュリティ ) 固有の要求事項とMSSの要求事項が重複しないように改訂された 38P Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 3

規格の構成 JIS Q 27001:2014 [ 本文 ] 0 序文 1 適用範囲 2 引用規格 3 用語及び定義 4 組織の状況 5 リーダーシップ 6 計画 7 支援 8 運用 9 パフォーマンス評価 P P D C 実施決定 [ 付属書 A( 規定 ) 管理目的及び管理策 ] A.5 情報セキュリティのための方針群 A.6 情報セキュリティのための組織 A.7 人的資源のセキュリティ A.8 資産の管理 A.9 アクセス制御 A.10 暗号 A.11 物理的及び環境的セキュリティ A.12 運用のセキュリティ A.13 通信のセキュリティ A.14 システムの取得開発及び保守 A.15 供給者 A.16 情報セキュリティインシデント管理 A.17 事業継続マネジメントにおける情報セキュリティの側面 10 改善 A A.18 順守 37P Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 4

適用範囲の決定とリスク対策の視点適用範囲定義の視点 ISO/IEC 27001:2006 では事業組織所在地資産技術の特徴の見地から定義することを求めていたしかし 2014 年版ではその指定はなくなったが現実的には同様の定義が必要となるセキュリティ対策を考察する際の視点を適用するセキュリティ対策考察時 3 つの視点物理的対策物理的視点技術的対策技術的視点人的組織的対策人的組織的視点順守を含む人的組織的対策 49P Copyright 2015,2017 RICOH JAPAN Corporation All Rights Reserved. 5

ISMS 構築モデル組織の状況 3 内部の課題 4 外部の課題利害関係者 5 ニーズ 6 期待 ( 箇条 4.1) ( 箇条 4.2) 理解理解組織の目的を達成するための活動に付随する課題 ( 阻害要因 ) は目的達成に対するリスクリスクにつながる組織の使命 ( 箇条 4) 1 組織の目的 ( 箇条 6.1.1) 2 組織の目的を達成するための活動 ( 機会を得るための活動 ) 組織の課題 ( 箇条 4) 7 組織の目的を達成するための活動と利害関係者のニーズ及び期待の実現に伴う課題及び組織の目的に対するリスク ( 箇条 6.1.1) 8 情報セキュリティに関連する組織全体の目的に関わる課題とリスク情報セキュリティ ( 箇条 5.1 5.2) 9 情報セキュリティ方針群 ( 箇条 6.2) 10 情報セキュリティ目的 ( 部門階層別目的を含む ) ( 箇条 6.1.2.2.6.1.3 ) 11 情報セキュリティ目的に対するリスク対応 ( 箇条 6.2 8 ) 12 情報セキュリティ目的達成のための活動〇継続的改善 ( 箇条 10 ) 情報セキュリティでは組織の目的に対する機会は 2 で選択しているため 1112 の時点では機会の選択はない 6

リスクと機会の関係と ISMS について業務フロー外部自組織受注システム機会 (Opportunity) を得るということは組織のビジネス目的を達成するための活動を行うという事であるリスクは機会を得るための活動に付随して発生することからビジネス活動に関するリスクと機会は連動していると言える従ってリスクを増大させて機会を増やす事が可能となる売上 ISMS は主たるビジネスを遂行する上で阻害要因となる情報のセキュリティ課題を解決する事が目的であり組織のビジネスそのものを拡大させる活動ではない従って ISMS の活動ではリスクを増大させて機会を得るという関係はない Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 7

目的を中心とした骨格の形成 4.2 利害関係者のニーズ及び期待の理解必要資源責任者達成期限評価方法マネジメントシステムと管理策の実装情報セキュリティ目的の達成の阻害要因の確認と対応指示組織 5.1 5.2: 組織の戦略としての情報セキュリティ方針と目的の設定 6.2: 階層別情報セキュリティ目的の確立とそれを達成するための計画 8.1: 情報セキュリティ目的達成のための計画の実施 9.1: 情報セキュリティパフォーマンス及び ISMS 有効性の評価 9.3: マネジメントレビューへの情報セキュリティ目的の達成状況報告 4.1 組織及び状況の理解組織内部の状況組織の外部状況 6.1.1 リスク及び機会の決定 6.1.2 6.1.3 リスクアセスメントとリスク対応及び管理策の決定情報セキュリティ目的達成のための活動の評価

部門階層別目的設定の考え方戦術的目的 : 各段階の戦略的目標を達成するための諸課題を解決する個々の目標を達成することで全体の目的が達成可能となる戦略的目標 :3000m 級の山を征服する全体の目的 ( 目標 ) を達成するための活動に対する目的 ( 目標 ) を設定する戦術的目標 & & 目標 1:40Km 走れる持久力を身に付ける目標 2:60Kg の荷物を 5 時間背負えるようになる目標 3: オーバーハングの壁を 1 人で上れるようになる 81P 10

情報セキュリティ目的とリスク受容レベルのイメージ大 1 情報セキュリティ目的達成レベル 2 リスク受容レベル結果の大きさ ( 影響度 ) 第 1 段階例 1: 結果を変える第 2 段階 1 第 2 段階 2 第 1 段階リスク対応例 2: 起こりやすさを変える小小起りやすさ大 11

リスク対応の概念の変化従来のリスクに関連する概念の例新しいリスクに関連する概念の例脆弱性 ( 状態 ) リスク源リスク対応発生ウィルス対策ソフトの不備 ( 状態 ) 脅威 ( 存在事象行為 ) ウィルス ( 存在 ) 付け込むウィルス ( 存在 ) ウィルス対策ソフトの不備 ( 状態 ) 事象リスク源の除去 ( フィルタリング ) 起こりやすさを変える ( ウィルス対策ソフトの管理強化 ) 感染 ( 事象 ) ウィルス感染による情報の破壊インシデント ( 事象 ) 情報破壊結果 ( 目的に対する ) 業務停止による損害の発生結果を変える ( 装置の冗長化又はバックアップからのリストアによる短期回復等 ) 結果 ( 損害の発生 ) Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 12

リスクアセスメントとリスク対応のモデルリスクの特定 5 リスク対応 4 3 2 リスク源リスクの存在又は現象 ( ウィルス ) 結びつく弱点のある状態 ( ウィルス対策ソフトの不備 ) 起こり易さ事象 ( 原因事象を含む ) リスク源によって引き起こされ目的達成を阻害する出来事 ( ウィルス感染による情報の破壊 ) 影響結果事象の発生により目的を達成できないという結果 ( 業務停止 ) リスクの回避機会の追求のためのリスク増加リスク源の除去起こり易さを変える結果を変えるリスクの共有リスクの保有 6 パフォーマンス評価 1 ( 目的達成のための活動 ) 情報セキュリティ目的 Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 13

リスク特定の例リスク源事象結果の例 ( ランサムウェア感染 ) リスク源存在 : ランサムウェア脆弱性: 不正メール対策の不備事象原因事象 : 従業者が受信した不正メールの添付ファイルを開封結果事象 : ランサムウェアの侵入と活性化 ( サーバ内のデータ暗号化 ) 結果 ( 目的からの乖離がリスク ) 目的 : 情報の可用性喪失による業務停止の防止 ( 重要情報の強制暗号化を復元できないため必要情報にアクセスできないことによる ) 業務停止による機会損失や対外的信用喪失の発生 Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 14

事象の連鎖とリスク源及びリスク対策の例事象の連鎖とリスク源の例事象の連鎖 ( 事象 1 から 3 へと続く ) リスク源 ( 脆弱性 ) リスクの存在 ( ランサムウェア ) は一連の事象に共通のため省略事象 1 事象 2 事象 3 ISMS 適用範囲従業者が受信した不正メールの添付ファイルを開封従業者に対する不正メールの取り扱い指導 ( 不審なメールは開かない ) の不備または不徹底ランサムウェアが PC に侵入し続いてサーバに侵入するウィルス対策ソフトの不備または未導入 PC の OS 及びサーバの OS に対する脆弱性対策の不備または不徹底ランサムウェアがサーバ内のデータを暗号化し復元できないバックアップとリストア対策の実施手順の未整備 [ 管理策 ] とリスク対策 [ 管理策 :A.7.2.2] 従業者に対する不正メール対策の指導及び教育の徹底 [ 管理策 :A.12.2.1] ウィルス対策ソフトの導入と定期更新 [ 管理策 :A.12.6.1] PC の OS 及びサーバの OS の脆弱性対策の実施 ( 最新バージョン化修正プログラムの適用等 ) [ 管理策 :A.12.3.1] システム環境及びデータバックアップの取得と安全な保管リストアテストの実施等 Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 16

最後に ISO/IEC 27001 は課題解決ツールである ISMS のみならず QMS EMS BCMS ITSMS などすべてのマネジメントシステムはそれぞれの分野の経営課題を解決するために用意されている組織の目的を達成するために行う活動にはすべてリスクが伴うためそのリスクを顕在化 ( インシデント発生 ) させないことが組織にとっての課題となる ISMS の本質は情報セキュリティに係るビジネス課題を解決することでありそこには経営陣の明確な意思が反映されるべきである Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 17

進化する ISMS ISMS 適合性評価制度の認証用基準 (ISO/IEC 27001) は 改定の度に進化している Ver. Ver. I

進化する ISMS ISMS 適合性評価制度の認証用基準 (ISO/IEC 27001) は改定の度に進化している Ver. Ver. I