ISO 27001の導入：情報セキュリティマネジメントシステム

ISO 27001 は世界で最も広く認知されている情報セキュリティ管理標準であり、世界中で 70,000 を超える組織が認証を取得しています。 GDPR や PCI DSS などの規範的な規制とは異なり、ISO 27001 は、体系的な情報セキュリティ管理のためのリスクベースのフレームワークを提供し、あらゆる規模、業界、地域の組織に適応できます。有効な ISO 27001 認証は、組織が構造化され、監査され、継続的に改善される管理システムを通じて情報セキュリティ リスクを管理していることを顧客、パートナー、規制当局、保険会社に知らせます。

現在のバージョンは ISO/IEC 27001:2022 で、2022 年 10 月に発行され、ISO/IEC 27001:2013 に置き換わりました。 2013 年の認証を取得した組織は、2025 年 10 月 31 日までに 2022 年バージョンに移行する必要がありました。すべての新しい認定は 2022 年に対して発行されます。

重要なポイント

• ISO 27001:2022 では、附属書 A の管理項目が 114 から 93 に削減され、組織 (37)、人材 (8)、物理的 (14)、技術 (34) の 4 つのテーマに再編成されました。
• 2022 年の新しい管理には、脅威インテリジェンス、事業継続のための ICT 対応、物理的セキュリティ監視、セキュア コーディング、Web フィルタリング、DLP、データ マスキングが含まれます。
• ISMS (情報セキュリティ管理システム) は、認定された認証機関によって範囲が定められ、文書化され、リスク評価され、認証される必要があります。
• 認定には次のものが必要です: ステージ 1 (文書レビュー) およびステージ 2 (実装監査) - 準備が整ってから認定まで通常 3 ～ 6 か月
• 継続的な改善が必須: 四半期ごとの内部監査、年次管理レビュー、年次監視監査を含む 3 年間の認証サイクル
• 適用ステートメント (SoA) は、リスク対応の決定を附属書 A の管理に結び付ける重要な文書です
• EU の公共調達、企業販売、保険引受業務において ISO 27001 認証の要求がますます高まっています

---

ISO 27001 フレームワーク構造

ISO 27001:2022 は、すべての ISO マネジメント システム規格 (ISO 9001、ISO 14001、ISO 22301 など) で共有される共通のフレームワークであるハイレベル構造 (HLS) に従っています。これにより、複数の ISO 標準を同時に実装する組織の統合管理システムが可能になります。

主要条項 (4 ～ 10) — 必須要件:

付録 A — 参照管理目標: セキュリティ管理のベスト プラクティスを表す 4 つのテーマにわたる 93 の管理。 SoA は、どの附属書 A コントロールが ISMS 範囲に適用されるかを決定します。

---

ステップ 1 — ISMS の範囲を定義する

スコープは、ISMS の境界、つまり何が含まれ、何が除外されるかを定義します。範囲の決定は、認証のコストと複雑さに根本的に影響します。

スコープ定義の考慮事項:

• 地理的境界: 特定のオフィス、データセンター、リモートワーカー
• 組織の境界: 特定の事業単位、部門、または子会社
• 対象となる情報資産: 特定のシステム、データセット、プロセス
• 範囲外のシステムおよびサードパーティとのインターフェース

一般的なスコープ設定アプローチ:

狭い範囲: 特定の顧客セグメントまたは製品に直接関連するシステムとプロセスのみをカバーします。より速く、より安価に認証できますが、顧客にとっての保証価値は限られています。

広範囲: 組織全体をカバーします。最大限の保証を提供しますが、実装コストは最も高くなります。

クラウド ホスト型サービスの範囲: SaaS 企業の場合、範囲は通常、クラウド インフラストラクチャ、アプリケーション コード、およびサービスをサポートする運用プロセスをカバーし、物理的およびインフラストラクチャ制御に関するクラウド プロバイダーの SOC 2/ISO 27001 認定を活用します。

範囲は文書化する必要がありますし、認定文書に含める必要があります。監査人はスコープ境界内のコントロールをテストし、スコープ外の要素とのインターフェイスを検証します。

---

ステップ 2 — 情報セキュリティのリスク評価

リスク評価 (第 6.1.2 項) は、ISO 27001 の方法論的な基礎です。この規格では、次のような文書化されたリスク評価プロセスが必要です。

1. 情報セキュリティリスク評価プロセスを確立および適用する
2. ISMS の範囲内で情報の機密性、完全性、可用性の喪失に関連するリスクを特定する
3. リスクの分析と評価

資産ベースのリスク評価アプローチ:

1. 資産インベントリ: 範囲内のすべての情報資産 (システム、データベース、物理文書、人材、プロセス、サードパーティ サービス) をリストします。
2. 脅威の特定: 各資産について、潜在的な脅威 (外部攻撃、内部関係者の脅威、誤った削除、ハードウェア障害、自然災害など) を特定します。
3. 脆弱性の特定: 脅威によって悪用される可能性のある脆弱性を特定します (パッチが適用されていないソフトウェア、脆弱なパスワード、アクセス制御の欠如など)。
4. 影響評価: 脅威と脆弱性の組み合わせごとに、定義されたスケール (例: 1 ～ 5) を使用して、機密性、完全性、および可用性に対する潜在的な影響を評価します。
5. 可能性の評価: 定義された尺度を使用して、脅威が脆弱性を悪用する確率を評価します。
6. リスク評価: リスク = 影響 × 可能性を計算します。リスク許容基準を確立する（例：特定のスコアを超えるリスクには治療が必要）

リスク登録の形式:

---

ステップ 3 — リスク治療計画と適用性の声明

許容しきい値を超えるリスクごとに、リスク対処オプションを選択します。

• 軽減: リスクを軽減するためにセキュリティ制御を実装します。
• 承諾: リスクの承諾を文書化します (通常、影響が小さく、可能性が低いリスクの場合)
• 移転: リスクを第三者に移転します (保険、アウトソーシング)
• 回避: リスクを生み出す活動を中止します。

適用ステートメント (SoA): 中心となるコンプライアンス文書。 93 の Annex A コントロールのそれぞれについて、SoA は以下を記録します。

• コントロールがスコープに適用できるかどうか
• 現在実装されているかどうか
• 包含または除外の正当性

SoA は監査人が最も厳密に精査するものです。すべての除外は正当化され、説得力を持って正当化される必要があります。一般的な正当な除外事項: クラウドのみの組織 (クラウド プロバイダーによって管理されるデータ センター) の物理的セキュリティ制御、重要なサードパーティ関係が存在しない場合のサプライヤー管理制御。

---

ステップ 4 — 付属書 A の管理を実装する

ISO 27001:2022 付属書 A では、93 の管理を 4 つのテーマにまとめています。テクノロジー指向の組織の主要な管理:

組織的コントロール (37 コントロール)

主なコントロールには次のものが含まれます。

• 5.1 情報セキュリティに関するポリシー: 文書化、承認、伝達されたセキュリティ ポリシーおよびトピック固有のポリシー
• 5.2 情報セキュリティの役割と責任: CISO/セキュリティ担当者の役割の定義。文書化されたセキュリティ責任
• 5.7 脅威インテリジェンス (2022 年新機能): 組織に関連する脅威インテリジェンスを収集して分析します。
• 5.9 情報およびその他の関連資産の目録: 所有権とともに維持される資産目録
• 5.15 アクセス制御: アクセス制御ポリシー。最低限の特権。正式なアクセス管理手順
• 5.16 ID 管理: 完全な ID ライフサイクル管理 (プロビジョニング、変更、プロビジョニング解除)
• 5.17 認証情報: パスワード/認証資格情報の管理ポリシーと手順
• 5.20 サプライヤー契約内のセキュリティへの対処: サプライヤーおよびパートナーとの契約におけるセキュリティ要件
• 5.23 クラウド サービス利用時の情報セキュリティ (2022 年新規): クラウド セキュリティ ポリシー、クラウド サービスの選択、モニタリング

人物コントロール (8 コントロール)

• 6.1 スクリーニング: 雇用前および雇用中の身元調査
• 6.2 雇用条件: 雇用契約におけるセキュリティ関連の条件
• 6.3 情報セキュリティの意識向上、教育、トレーニング: 年次トレーニング プログラム、役割別トレーニング、フィッシング シミュレーション
• 6.4 懲戒プロセス: セキュリティ ポリシー違反に対する正式なプロセス
• 6.6 機密保持または秘密保持契約: 従業員および請負業者との NDA

物理コントロール (14 コントロール)

• 7.1 物理的なセキュリティ境界: 定義されたセキュリティ境界。安全なエリアへのアクセス制御
• 7.4 物理セキュリティ監視 (2022 年新機能): CCTV、侵入検知、アクセス ログ
• 7.7 明確なデスクと明確な画面: ポリシーと実装。画面ロック。一日の終わりにデスクをきれいにする
• 7.10 ストレージメディア: リムーバブルメディアの管理。安全な廃棄

テクノロジーコントロール (34 コントロール)

• 8.2 特権アクセス権: 特権アカウント管理。ジャストインタイムアクセス。特権セッションの監視
• 8.4 ソース コードへのアクセス: ソース コードへのアクセスは制限されています。コードレビューの要件
• 8.5 安全な認証: MFA;安全な認証プロトコル
• 8.7 マルウェアに対する保護: すべてのエンドポイントでマルウェア対策。メールとウェブのフィルタリング
• 8.8 技術的脆弱性の管理: 脆弱性スキャン。 SLA にパッチを適用します。侵入テスト
• 8.9 構成管理 (2022 年の新機能): 文書化されたセキュリティ ベースライン。構成管理プロセス
• 8.10 情報削除 (2022 年新機能): 不要になった場合の安全な削除
• 8.11 データ マスキング (2022 年の新機能): 非運用環境での機密データのマスキング
• 8.12 データ漏洩防止 (2022 年の新機能): 不正なデータ漏洩を防止する DLP ツール
• 8.15 ログ: 包括的な監査ログ。ログ保護。ログレビュー
• 8.16 監視アクティビティ (2022 年の新機能): ネットワークとシステムの監視。シェムリアップ
• 8.23 Web フィルタリング (2022 年の新機能): 悪意のあるコンテンツから保護するための Web コンテンツ フィルタリング
• 8.25 安全な開発ライフサイクル: 安全な SDLC ポリシー。開発におけるセキュリティ要件。コードレビュー。ラスト/ラスト
• 8.26 アプリケーションのセキュリティ要件: 新規アプリケーションおよび拡張アプリケーションのセキュリティ要件定義
• 8.27 セキュアなシステム アーキテクチャとエンジニアリング原則 (2022 年新機能): 設計によるセキュリティ。多層防御
• 8.28 セキュア コーディング (2022 年の新機能): セキュア コーディング標準。コードレビュー。静的解析
• 8.29 開発および受け入れにおけるセキュリティ テスト: SDLC の一部としてのセキュリティ テスト。本番稼働前の侵入テスト
• 8.34 監査テスト中の情報システムの保護: 中断を最小限に抑えるための監査活動の調整

---

ステップ 5 — 文書と記録

ISO 27001 では、特定の文書化された情報 (ポリシーと記録) が必要です。最小のドキュメントセット:

必須書類:

• ISMSスコープ文書
• 情報セキュリティポリシー
• 情報セキュリティリスク評価手法
• リスク登録とリスク治療計画
• 適用声明
• 内部監査プログラムと報告書
• マネジメントレビュー記録
• トレーニングと意識の記録

推奨されるトピック固有のポリシー:

• アクセス制御ポリシー
• 利用規約
• 資産管理方針
• 事業継続性とDRポリシー
• 管理ポリシーの変更
• 暗号化と鍵管理ポリシー
• インシデント対応ポリシー
• リモート勤務ポリシー
• サプライヤーのセキュリティポリシー
• 脆弱性管理ポリシー

---

ステップ 6 — 内部監査プログラム

第 9.2 項では、すべての ISMS 要件と附属書 A 管理を対象とした、計画された間隔で実施される内部監査プログラムを義務付けています。内部監査人は有能かつ客観的でなければなりません（自分の仕事を監査するのではありません）。

内部監査のアプローチ:

• 定義されたサイクルにわたるすべての ISMS 条項および該当するすべての附属書 A 管理を対象とする年次内部監査計画
• リスクベースのサンプリング: リスクの高い領域ではより頻繁に検査を行います
• 文書による証拠の収集と不適合の記録
• 経営陣に報告する。是正措置を完了まで追跡する

内部監査人は信頼性を高めるために認定を受けている必要があります (ISO 27001 主任監査人または内部監査人のトレーニング)。多くの組織は、客観性を確保するために、第 2 部門のアプローチ (IT のセキュリティ監査、IT のセキュリティ監査) を使用するか、外部企業と協力します。

---

ステップ 7 — 管理レビュー

第 9.3 条では、経営トップに計画された間隔 (通常は毎年) で ISMS をレビューすることを義務付けています。マネジメントレビューは以下をカバーする必要があります:

• 以前のレビューからのアクションのステータス
• ISMSに関連する社外および社内の課題の変化
• ISMSパフォーマンスに関するフィードバック（セキュリティインシデント、監査結果、モニタリング、KPI）
• 関係者からのフィードバック
• リスク評価の結果とリスク治療計画のステータス
• 継続的な改善の機会

マネジメントレビューの出力: 継続的な改善の機会、ISMS の変更、リソースのニーズに関する決定。

---

認定プロセス

認証機関を選択してください: 国家認定機関 (英国の UKAS、ドイツの DAkkS、米国の ANAB、オーストラリア/ニュージーランドの JAS-ANZ) によって認定されている必要があります。世界的に受け入れられているかどうか、IAF の認識を確認してください。

ステージ 1 監査 (文書レビュー): 監査人は、ISMS 文書 (範囲、SoA、リスク評価、ポリシー) をレビューして、ステージ 2 への準備が整っているかどうかを確認します。通常は 1 ～ 2 日です。出力: ステージ 2 の前に対処すべき発見/ギャップのリスト。

ギャップの修正: ステージ 1 の結果に対処します。特定されたギャップに応じて、4 ～ 8 週間かかる場合があります。

第 2 段階監査 (実装監査): 実際の ISMS 実装のオンサイト (またはリモート) 監査。監査人はコントロールをテストし、スタッフにインタビューし、証拠記録を確認します。範囲と組織の規模に応じて、通常は 3 ～ 10 日の監査がかかります。不適合（重大または軽微）には対処する必要があります。

認証決定: 認証機関は、3 年間有効な ISO 27001:2022 認証を発行します。証明書にはスコープステートメントが含まれます。

監視監査: 認証サイクルの 1 年目と 2 年目に行われる年次監視監査 (認証監査よりも軽い監査)。 3 年目の再認定監査では、ISMS がすべてカバーされます。

---

ISO 27001 導入チェックリスト

• ISMS 範囲の定義と文書化
• 情報セキュリティポリシーが経営トップによって承認される
• リスク評価方法を文書化し、適用する
• すべての重要なリスクのリスク評価が完了したリスク登録
• 容認できないリスクすべてに対して開発されたリスク治療計画
• 93 のすべての附属書 A 管理に対する適用ステートメントが完了しました
• 該当するすべての附属書 A 管理が実装されています
• 完全な文書セット (ポリシー、手順、記録)
• 内部監査プログラムが確立され、最初の監査が完了
• 内部監査から閉鎖まで追跡された是正措置
• 管理レビューが記録とともに完了しました
• スタッフのセキュリティ意識向上トレーニングが完了し、文書化されました
• 認定認証機関が選択され、ステージ 1 監査が予定されています
• ステージ 1 の所見が解決されました
• ステージ 2 認証監査完了

---

よくある質問

ISO 27001 の実装にはどれくらいの時間がかかりますか?

中規模のテクノロジー企業の場合、妥当なセキュリティ ベースラインから開始する場合、実装には通常、キックオフから認定まで 6 ～ 12 か月かかります。成熟したセキュリティ慣行を備えた組織は、4 ～ 6 か月で認定を取得できる場合があります。複雑な範囲、複数の拠点、または広範なレガシー文書を抱える大企業の場合は、12 ～ 18 か月かかる場合があります。タイムラインの主な要因: 範囲の複雑さ、既存のドキュメントの成熟度、リソースの可用性、認証機関のスケジュール。

ISO 27001 と ISO 27002 の違いは何ですか?

ISO 27001 は、組織が認証されるためのマネジメント システム規格であり、ISMS の確立、実装、維持、改善のための要件を規定しています。 ISO 27002 は、93 の付属書 A の各管理の実装に関するベスト プラクティスのアドバイスを提供するガイダンス文書です。 ISO 27001 付属書 A には (規範的に) コントロールが含まれています。 ISO 27002 では、その実装方法が (有益に) 説明されています。 ISO 27001 認証が必須です。 ISO 27002 は実装ハンドブックです。 「ISO 27002 認証」を受けることはできません。存在するのは ISO 27001 認証のみです。

組織の一部だけで ISO 27001 認証を取得できますか?

はい — ISO 27001 では、特定のサービス、製品ライン、部門、または場所に範囲を絞ることができます。 SaaS 企業は、バックオフィスの人事および財務システムを除く、クラウドでホストされる製品プラットフォームに ISO 27001 認証の範囲を限定する場合があります。認証証明書は範囲を指定し、顧客と監査人は、規定された範囲の境界内で管理が適用されることを理解します。範囲が狭いということは、より速く、より安価に認証を取得できることを意味しますが、組織全体に対する信頼を求める顧客に対する保証は低くなります。

ISO 27001 は SOC 2 とどう違うのですか?

どちらも情報セキュリティを扱っていますが、フレームワークと対象者が異なります。 ISO 27001 は、3 年間の証明書を発行する国際的なマネジメント システム規格です。監査は認定された認証機関によって実施されます。ヨーロッパ、アジア太平洋、中東の調達で広く認識されています。 SOC 2 は、顧客の監査人によってレビューされるレポート (タイプ I またはタイプ II) を作成する米国発の認証フレームワークです。トラストサービス基準に焦点を当てています。これは主に米国企業の購入者によって必要とされています。コントロールは実質的に重複しています。多くの組織は、米国企業の販売には SOC 2、国際および政府調達には ISO 27001 の両方を追求しています。

2013 と比較した ISO 27001:2022 の主な変更点は何ですか?

主な変更点: (1) 付属書 A は 14 のカテゴリー/114 のコントロールから 4 つのテーマ/93 のコントロールに再構成されました。 (2) 11 の新しいコントロールが追加されました: 脅威インテリジェンス、事業継続のための ICT 対応、物理的セキュリティ監視、構成管理、情報削除、データマスキング、データ漏洩防止、監視アクティビティ、Web フィルタリング、セキュアコーディング、クラウドサービスの情報セキュリティ。 (3) コントロールは削除されませんでした。既存のコントロールは統合され、再編成されました。 (4) 第 6.3 項に、管理対象の ISMS 変更に関する「変更の計画」を追加しました。 (5) 明確にするために全体の文言を更新しました。基本的な管理システム構造 (第 4 条から第 10 条) はほとんど変わっていません。

ISO 27001 認証にはどれくらいの費用がかかりますか?

総コストは組織の規模と範囲によって大きく異なります。 認証機関の監査費用: 範囲と監査日数に応じて 8,000 ～ 50,000 ドル以上。コンサルティング (オプション): 導入支援には 30,000 ドル～150,000 ドル。社内スタッフの時間: 実装と文書化に 200 ～ 1,000 時間以上。ツール (GRC プラットフォーム、脆弱性スキャン、SIEM): 年間 10,000 ～ 100,000 ドル。年次監視監査: ステージ 2 コストの約 30 ～ 50%。範囲が狭い小規模組織では、総額 40,000 ～ 80,000 ドルで認定を取得できます。中規模組織は通常、最初の認定サイクルに 100,000 ドルから 300,000 ドルを投資します。

---

次のステップ

ISO 27001 認証は戦略的投資であり、顧客の信頼の強化、企業の販売促進、サイバー保険料の削減、構造化されたセキュリティの改善を通じて回収されます。テクノロジー企業にとって、SOC 2 と並行して ISO 27001 を実装することにより、エンタープライズ バイヤーのセキュリティ要件を包括的にグローバルにカバーできるようになります。

ECOSIRE のチームは、クラウド環境全体にわたる技術制御の実装、アプリケーション セキュリティ、マネージド サービスの提供に関する専門知識を活かし、テクノロジー企業による ISO 27001 に準拠したセキュリティ管理プログラムの実装を支援します。

始めましょう: ECOSIRE サービス

免責事項: このガイドは情報提供のみを目的としています。 ISO 27001 認証要件は、認定認証機関に確認する必要があります。具体的な実装要件は、組織の規模、範囲、業界によって異なります。