ISO 27001 & BS 25999

あなたがISO 27001の導入を始めた方は、おそらく導入を簡単にする方法を探しているでしょう。 がっかりさせるて申し訳ありませんが、簡単な方法はありません。 でも、作業を簡単にするお手伝いをさせてください。以下は、ISO 27001認証を取得したいときに、通過しなければならない16の手順の一覧です。

1. 経営陣の支援を得る

これは当たり前に思えるので、通常あまり真剣には受け取られません。 けれども私の経験では、経営陣がプロジェクトに十分な人材や資金を提供しないことこそが、ISO 27001プロジェクトが失敗する一番の原因なのです。（このような事態を経営陣に示す方法については「ISO 27001導入の主な4つの利点」を参照してください。）

2. プロジェクトとして扱う

ISO 27001導入は、すでに述べたように、さまざまな活動やたくさんの人々が関わり、数カ月（もしくは1年以上）の年月を費やす複雑な問題です。なすべき事・なすべき人・時間枠を明確に定義（つまりプロジェクト管理を適用）しなければ、仕事は永遠に終わりません。

3. 適用範囲を定義する

大規模な組織の場合には、おそらく、組織の一部でだけISO 27001を導入することにより、プロジェクト・リスクを低下させるのが賢明でしょう。（ISO 27001で適用範囲を定義する際の問題）

4. ISMSの基本方針を書く

ISMSの基本方針は、ISMSの中でも最も上位にある文書です。基本方針は細かすぎてはいけませんが、組織の情報セキュリティにおける基本的な問題の一部を定義する必要があります。そういう大雑把な方針の目的はなんでしょうか。それは、経営陣が実現したい事やそれを管理する方法を定義することです。 （情報セキュリティ基本方針-どの程度詳しくするべきか）

5. リスクアセスメントの方法論を定義する

リスクアセスメントは、ISO 27001プロジェクトの中でも最も複雑な仕事です。そのポイントは、資産・ぜい弱性・脅威・影響・確率を特定するためのルールを定義すること、および、許容できるリスクのレベルを定義することです。このルールをはっきり定義しておかないと、せっかく出た結果が使えない、というような状況に陥る可能性があります。（「中小企業におけるリスクアセスメントの要領」を参照）

6. リスクアセスメントやリスク対応を実施する

ここでは、前の段階で定義したものを実施する必要があります。大規模な組織ではこれに数ヶ月単位の時間がかかる可能性があるので、慎重に協力して努力する必要があります。 ポイントは、組織の情報に関する危険の全体像を得ることです。

リスク対応プロセスの目的は、許容できないリスクを減らすことです。これは通常、附属書Aの管理策の利用を計画することにより実現されます。

この手順では、リスクアセスメントおよびリスク対応プロセスの際に行われたあらゆる手順を記述した、リスクアセスメント報告を書く必要があります。 また、適用宣言書の一部または別個の文書として、残留リスクの承認を得る必要があります。

7. 適用宣言書を書く

リスク対応プロセスが済めば、附属書のどの管理策が必要なのかを正確に理解できているはずです（管理策は133個ありますが、おそらくこのすべてが必要ということはないでしょう）。この文書（しばしばSoAと呼ばれる）の目的は、全管理策を列挙して、該当するものとしないもの、その決断の理由、その管理策で実現したい目標、その管理策の実施方法の記述などを定義することです。

また、適用宣言書は、経営陣からISMS導入の承認を得る際に最も適した文書です。

8. リスク対応計画を書く

リスク関連文書はすべて済んだと思ったら、まだありました。リスク対応計画の目的は、SoAの管理策を導入する方法、担当する人、導入する時期、その予算などを厳密に定義することです。 この文書は実際の管理策を意識した導入計画なので、これなしでは、それ以上プロジェクトを先に進めることはできないでしょう。

9. 管理策の有効性を測定する方法を定義する

これも過小評価されがちな作業です。 ここでのポイントは、実行結果を測定できなければ、目標が達成されたかどうかを保証できない、ということです。したがって、ISMS全体および適用宣言書の該当する各管理策の両方に対して設定した目標の、達成を測定する方法を定義するようにしてください。

10. 管理策および必須の手順を実施する

これは「言うは易し行うは難し」です。ここでは、必須とされる4手順、および、附属書Aの該当する管理策を実施する必要があります。

これは通常、プロジェクトの中でも最も危険な仕事になります。なぜなら、これは通常、新しい技術の適用、とりわけ、組織への新しい活動の導入を意味するからです。 多くの場合、新しい方針や手順が必要（つまり変化が必要）であり、人間は変化に抵抗するのが普通です。これこそが、リスクを回避するために次の作業（訓練・意識向上）が重要な理由です。

11. 訓練および意識向上プログラムの実施

職員に新しい方針や手順を導入させたいときには、まずその必要性を説明し、それを期待通り実行できるように職員を訓練する必要があります。このような活動の欠如は、ISO 27001プロジェクト失敗の2番目に多い理由です。

12. ISMSを運営する

ここで、ISO 27001は組織の日常業務になります。 ここでのキーワードは「記録」です。 審査員は記録が大好きです。記録なければ、特定の活動が実際に行われたことを立証するのは極めて難しいという事に気づくでしょう。 でも、記録はまず自分自身の役にも立つはずです。記録を使えば、実際に起きている事を監視することができます。あなたは、従業員（および供給者）が作業を要求どおり実行しているかどうかを、確実に知ることができるでしょう。

13. ISMSを監視する

ISMSでは何が起きているでしょうか。 インシデントの発生回数や種類は。あらゆる手順が適切に実行されているでしょうか。

ここが、管理策と測定方法論の目標が一致するところであり、出た結果が設定した目標を達成しているかどうかを検査する必要があります。 達成できていなければ、何かが間違っているはずなので、是正処置や予防処置を実行する必要があります。

14. 内部監査

人間は、自分のしていることが間違っていることに気づかない（また気づいていても、他人には知られたくない）ことが珍しくありません。 けれども、既存の問題や潜在的な問題に気づかないと、組織に害を与える可能性があります。そのような事態を発見するには、内部監査を実施する必要があります。ここでのポイントは、懲戒処分ではなく、是正処置や予防処置をとることです。( 「ISO 27001およびBS 25999-2内部監査員のジレンマ」を参照）

15. マネジメントレビュー

経営陣は、ファイアウォールを直接設定する必要はありませんが、ISMSで起こっている事、つまり、全員が任務を遂行しているか、あるいは、ISMSが望ましい結果を実現しているかを知る必要があります。 経営陣はそれに基づいて、重要な意思決定を行う必要があります。

16. 是正処置および予防処置

マネジメントシステムの目的は、間違った事（いわゆる「不適合」）のすべての是正・予防を保証することです。したがって、ISO 27001では是正処置・予防処置を体系的に実施することを求めています。つまり、不適合の根本原因を特定して、解決・検証する必要があるということです。

この記事により、やるべきことがはっきりすれば幸いです。ISO 27001は簡単な作業ではありませんが、必ずしも複雑ではありません。 必要なのは、各手順を慎重に計画することだけです。そうすれば認証を取得できるのでご安心ください。

をクリックすれば、以上の全手順を示したISO 27001導入プロセスの図を、必要な文書と共にダウンロードすることができます。

あなたは、経営陣を説得して情報セキュリティの導入に投資しようとしたことがありますか。 もしあるのなら、どうなるかはご存知でしょう。経営陣はコストがいくらかかるかを尋ね、高すぎれば拒否するでしょう。

実際、そのような経営陣は責められません。結局のところ、経営陣の最終的な責任は企業の収益性なのですから。 つまり、経営陣の意思決定は、すべて投資と利益の間のバランス、彼らの言葉で言えば、ROI（投資収益率）に基づいています。

つまり、そのような投資を提案する際には、準備が必要だということです。経営陣が理解・認識できる言葉を使って、利点をプレゼンする方法を慎重に考えねばなりません。

そのお手伝いをしましょう。情報セキュリティ、特にISO 27001の導入には、さまざまな利点があります。 けれども、私の経験では、最も重要なのは以下の4つです。

1. 順守

これを利点の第一に挙げるのは奇妙に映るかもしれませんが、これが最も早く「投資収益率」に反映されることが多いです。組織（特に金融・保健・政府機関）がデータ保護・プライバシー・IT統治に関するさまざまな規制に従う必要がある場合に、ISO 27001はそれを最も効率的な方法で行うことを可能にする方法論を提供します。

2. マーケティング・エッジ

競争が激化する市場において、顧客の視点で組織を差別化することは極めて困難です。 特にクライアントの機密情報を扱う組織の場合、ISO 27001は得がたいセールス・ポイントになる可能性があります。

3. 費用の節約

情報セキュリティは通常、はっきりした金銭的利益のないコストと見なされています。けれども、インシデントから生じる費用を節約できれば、金銭的利益が生まれます。インシデント時には、おそらくサービスの中断やデータ漏洩や従業員の不満が発生するでしょう。 あるいは元従業員すら不満を抱くかもしれません。

本当を言うと、そのようなインシデントを防ぐことによって節約できる金額を計算する方法や技術はまだ存在しません。 けれども、そのような事態に経営陣の意識を向ければ、肯定的な印象を与えることは確実です。

4. 仕事に秩序をもたらす

おそらくこれが最も過小評価されています。過去2、3年で急速に成長した企業では、誰が何を決断するか、誰が特定の情報資産に責任を持つか、誰が情報システムへのアクセスを認可するか、といった問題に直面することがあります。

ISO 27001は、特にこのような事態を解決することに適しています。ISO 27001は責任・義務を厳密に定義することを強制し、内部組織を強化します。

結論としては、ISO 27001は、単に認証を壁に飾る以外にも、多くの利益をもたらす可能性があるということです。ほとんどの場合、利益を明快に示すことができれば、経営陣は耳を傾けるはずです。

—

また、弊社のウェビナーISO 27001 / BS 25999-2 management responsibilities: What does management need to know?（市販トレーニング）もご利用ください。

この2つ言葉は同義語だと思われがちです。結局のところ、情報セキュリティはコンピュータに関する問題ではないかと。

でも違います。 基本的なポイントは、仮に完璧なITセキュリティ対策を施したとしても、たとえば、管理者によるたった1回の悪意ある操作だけで、ITシステム全体をダウンさせることができるということです。このリスクはコンピュータとは無関係であり、人間・プロセス・監督などの問題です。

また、重要情報はデジタル形式であるとは限らず、たとえば、得意先が署名した重要な契約、社長の作成した個人的なメモ、印刷され金庫に保管された管理者パスワードなどのように、書面形式である可能性もあります。

したがって、私はクライアントに常々、ITセキュリティは情報セキュリティの半分にすぎないと言っています。なぜなら情報セキュリティは、物理的セキュリティ・人的資源管理・法的保護・組織・プロセスなどからも成り立っているからです。 情報セキュリティの目的は、（IT関連もしくは非IT関連の）情報セキュリティに起こりうるリスクのすべてを考慮に入れたシステムを構築して、許容できないリスクのすべてを抑制する包括的な管理策を導入することです。

このような統合された情報セキュリティへのアプローチが最もきちんと定義されているのは、情報セキュリティ管理の代表的な国際規格であるISO 27001です。 簡単に言えば、ISO 27001では、ハードウェア・ソフトウェア・文書・人材・供給者・パートナーを含む組織のあらゆる資産に対するリスクアセスメント、および、そのリスクを抑制するための該当する管理策の選択を求められます。

ISO 27001の附属書Aでは、133個の管理策を提案しています。私はこの管理策の簡単な分析を行なってみました。その結果は以下の通りです。

• IT関連の管理策： 46%
• 組織・文書関連の管理策： 30%
• 物理的なセキュリティ管理策： 9%
• 法的保護： 6%
• 供給者や買い手関連の管理策： 5%
• 人的資源の管理策： 4%

これが、情報セキュリティ/ISO 27001の導入に際して、何を意味するでしょうか。それは、このようなプロジェクトはITプロジェクトと見なすべきではないということです。なぜなら、ITプロジェクトと見なすと、組織全体が喜んで参加したがらなくなるからです。 このようなプロジェクトは、首脳部・IT担当者・法律の専門家・人材管理担当者・物理的セキュリティ担当者・組織の事業サイドなど、あらゆる事業部門の関連する人々が参加すべき、企業規模のプロジェクトと見なすべきです。 そのようなアプローチをとらないと、結局はあなたがITセキュリティを担当する羽目になり、最大のリスクから保護されないことになります。

—

また、弊社のウェビナーISO 27001 Foundations Part 3: Annex A overview（市販トレーニング）もご利用ください。

情報セキュリティと事業継続には、一見あまり共通点はありません。唯一似ているのは、どちらもITに関係していることぐらいだと言う人もいるでしょう。

情報セキュリティ管理を定義しているのは国際規格ISO/IEC 27001であり、事業継続管理を定義しているのは英国工業規格BS 25999-2です。したがって、両者を比較したい場合には、この2つの規格の内容を見るのが賢明です。

まずISO 27001でもBS 25999-2でも、ITは重要な部分ではありますが、この2つの規格はいかなる意味でも、ITだけの規格ではありません。その重点は、業務プロセスと資産、および、関連するリスクにあります。データを処理する主なツールがITであることは事実ですが、人間の悪意や無意識の行動に最大のリスクがあるという事実に変わりはありません。 したがって、情報セキュリティや事業継続に関するリスクは、情報技術だけでは解決できません。組織の編成・プロセス・責任を定義することの方がはるかに重要です。

では、情報セキュリティの本質とは何でしょう。 ISO 27001では、それを「情報の機密性、完全性及び可用性を維持すること」と定義しています。 一方BS 25999-2では、事業継続を「あらかじめ定めた受容可能なレベルで事業運営を継続するために、インシデント及び事業中断（混乱）に対して計画を立案し対応する、組織の戦略的及び戦術的な能力」と定義しています。

この両者はそれほど似ているようには見えません。 けれども、この両者に共通するものが一つあります。それは可用性です。 情報セキュリティおよび事業継続が重視しているのは、必要とする人が情報を利用できるようにすることです。その点、ISO 27001の附属書Aで提供しているのは、事業継続専用の管理策です。

またどちらの規格でも、情報に関する潜在的な問題を特定するために、リスクアセスメントを実施することを要求していますし、文書管理、内部監査の実施、マネジメントレビュー、是正措置・予防処置を要求しています。つまり、ISO 27001用の文書があれば、BS 25999-2でも（わずかな修正だけで）同じ手順を利用できるということです。

では両者の差はどこにあるのでしょう。主な違いは、細かさにあります。 ISO 27001の方がはるかに広い領域を扱っているので、事業継続に関する記述はあまり厳密ではありません。一方BS 25999-2では、事業インパクト分析を実行する方法、事業継続戦略を定義する方法、事業継続計画のあるべき内容などを詳細に記述しています。

結論としては、事業継続は情報セキュリティの一部として考えられるというのがポイントです。これを応用すると、事業継続をISO 27001の文脈で導入する際には、BS 25999-2をガイドラインとして使うことが最善だということになります。

—

また、弊社の無料ウェビナーISO 27001 & BS 25999-2: Why is it better to implement them together?もご利用ください。

WikiLeaksが最近話題になっていることには、それなりの理由があります。世界で最も強力な政府の機密文書が、インターネット上に公開されるのは、それほどよくあることではありませんから。そして、その文書の一部は、控え目に言っても、恥ずかしいものです。

しかし私はここで、そのような情報をWikiLeaksが公開することが合法か、その情報を公益のために公開しておくべきだったか、WikiLeaksの創設者はどうなるのか（ジュリアン・アサンジは本記事執筆時点で拘留中）、などということを論じるつもりはありません。

問題は、WikiLeaksが閉鎖されれば、また新しいWikiLeaksが現れるだろうということです。言い換えれば、公衆への情報漏洩の脅威は、今後も増え続けるということです。（ちなみに、ジュリアン・アサンジは拘留前に、アメリカの主要銀行およびその不正行為に関する差別的な情報を公開すると発表していました。）

ここでは、企業の立場から考えてみましょう。WikiLeaksやそのクローンの次の標的が企業だとしたら。情報のセキュリティを保証し、大規模なインシデントによる損害を防ぐには、どうすればよいのでしょうか。

単純な例

現実の情報セキュリティはどのようになっているのでしょうか。 単純な例で考えてみましょう。たとえば、ラップトップを自動車の後部座席に放置することがよくあるとします。そのラップトップはおそらく、遅かれ早かれ盗まれるでしょう。

そのリスクを低下させるためには、何ができるでしょうか。第一に、（手順や方針を書くことにより）ラップトップを無人の車内に放置してはいけないとか、自動車は何らかの物理的防護のある場所に駐車しなくてはいけないといった、ルールを定めることができます。第二に、強度の高いパスワードを設定してデータを暗号化することにより、情報を保護することができます。さらに、起こりうる損害に責任を持つという宣言書に署名することを、従業員に要求することもできます。 ただし、このような方策はどれも、従業員に簡単な訓練を施してルールを説明しなければ、機能しないことがあります。

では、この例から引き出せる結論は何でしょうか。情報セキュリティは決して唯一のセキュリティ方策ではなく、常に他の方策と一緒に実施されるということです。そのような方策には、ＩＴ関連の方策だけではなく、組織的問題・人事管理・物理的セキュリティ・法的保護なども含まれます。

この例の問題点は、インサイダーからの脅威のない、ラップトップ単独の例だというところにあります。今度は、会社で自分の情報を保護することがいかに難しいかを考えてみてください。会社では、情報は自分のPCだけでなく他のサーバーにも、自分の机の引き出しだけでなく携帯電話にも、USBメモリスティックだけでなく全従業員の頭の中にもアーカイブされます。さらに従業員の不満にも対処しなくてはなりません。

不可能な仕事だと思いますか。 確かに難しいですね。でも不可能ではありません。

アプローチする方法

このような複雑な問題を解くために必要なものは、フレームワークです。 幸運なことに、そのようなフレームワークはすでに規格の形で存在しています。最も普及しているのは、情報セキュリティマネジメントの代表的な国際規格であるISO 27001ですが、COBIT、NIST SP 800シリーズ、PCI DSSなど他の規格もあります。

ここではISO 27001だけを採り上げます。ISO 27001は、133個のセキュリティ管理策のカタログ、および、リスクとの関連で実際に必要な管理策だけを適用する柔軟性を提供しているので、情報セキュリティ・システム構築のための優れた基盤を与えてくれるでしょう。でも、その最大の特徴は、セキュリティ問題を指揮・管理し、セキュリティ管理の実現を組織全体のマネジメントの一部として扱うような、管理フレームワークを定義していることです。

要するに、この規格は、さまざまな形式のあらゆる情報やリスクを対象とすることを可能にし、潜在的な問題を慎重に解決して情報の安全を守るための道筋を示してくれるのです。

事業に与える影響

では、企業は情報が公衆に漏洩することを怖れるべきでしょうか。非合法もしくは非倫理的な活動を行っている企業はそう思うべきでしょうね。

でも合法的に経営している企業の場合、事業を守りたかったら、投資利益率、市場シェア、コア・コンピタンス、長期的な展望といった事だけを考えていてはいけません。そのような企業の戦略には、セキュリティの問題も取り入れる必要があります。なぜなら、情報セキュリティの危険は、新製品の発売に失敗するなどということよりも、はるかにコストがかかる可能性があるからです。 私がセキュリティという言葉で言いたいのは、物理的セキュリティだけではありません。それだけではもう不十分だからです。テクノロジーは、情報をさまざまな方法で漏洩することを可能にしました。

必要なのは、情報セキュリティに対する包括的なアプローチです。体系的なアプローチであれば、使用するのはISO 27001でもCOBITでもそれ以外のフレームワークでもかまいません。それは一回限りの努力ではなく、継続的な作業です。 そしてそれは、IT担当者だけでできることではありません。経営陣を始め、企業全体が参加しなければならないことなのです。