Vizigo
FE EXAM

ISO/IEC 27001(ISMSの国際規格)

情報セキュリティマネジメントシステムの国際規格。

DIAGRAM
組織の準備
審査
認証取得
ISO/IEC 27001 認証取得の流れ① 適用範囲の決定
どの部署・情報を対象にするか
② ISMSの構築・運用
ルールを定め実際に運用する
③ 審査機関の審査
第三者がルールと運用を点検
④ 認証取得・更新
合格で取得、定期的に更新審査
PDCAで継続的に見直し・改善するISO/IEC 27001 = 世界共通のものさし(要求事項)同じ基準で審査するので、国や業種を越えて信頼の目安になる
解説

📌
ISO/IEC 27001とは

組織のISMS守るルールと仕組み従うISO/IEC 27001国際規格(基準)世界共通の「ものさし」に組織が合わせる

ISO/IEC 27001とは、情報セキュリティマネジメントシステム(ISMS=組織が情報を安全に守るための仕組み・ルールのこと)の国際規格です。「ISMSはこういう要素を満たしていなければならない」という要求事項を世界共通で定めています。

身近な例で考えると、世界共通のものさしに似ています。長さを「だいたい長い」と各自が言い合っても比べられませんが、メートルという共通の基準があれば誰でも同じように測れます。同じように、情報セキュリティへの取り組みを世界共通の基準で測れるようにしたのがこの規格です。

ISO/IEC 27001は「何を満たすべきか(要求事項)」を定めた規格であり、その基準を満たした組織は第三者の審査を受けて認証を取得できます。上の図解では、組織のISMSが国際規格に従い、審査を経て認証へ至る流れをまとめています。

📌
認証取得の流れ

ISO/IEC 27001の認証は、組織が自分で「取れた」と宣言するものではなく、第三者である審査機関の審査に合格して取得します。おおまかな流れは次のとおりです。


① 適用範囲の決定:どの部署・どの情報を対象にするかを決める
② ISMSの構築・運用:守るべきルールを定め、実際に運用して記録を残す
③ 審査機関の審査:第三者が、ルールが規格を満たし、実際に運用されているかを点検する
④ 認証取得・更新:審査に合格すると認証を取得。一度きりでなく、定期的に更新審査を受け続ける

ポイントは、認証が「一度取れば終わり」ではないことです。PDCAサイクル(Plan→Do→Check→Actで継続的に改善する仕組み)を回し続け、定期的な更新審査で運用が保たれているかを確認します。運転免許の更新と同じで、取った後も維持し続ける必要があると考えると分かりやすいです。

📌
取得のメリット

認証取得第三者のお墨付き信頼体制整備対外的な信頼 と 社内の管理体制が両方向上

ISO/IEC 27001の認証を取得すると、情報セキュリティにきちんと取り組んでいる組織であることを、対外的に客観的に示せるようになります。主なメリットは次のとおりです。


信頼性の向上:取引先や顧客に対し、安全に情報を扱う組織だと第三者のお墨付き付きで示せる
取引上の有利さ:取得を取引条件にする企業もあり、新たな取引につながりやすい
社内体制の整備:認証取得の過程で、社内の情報セキュリティ管理が体系的に整理される

ただし注意したいのは、認証は「事故が絶対に起きない」ことを保証するものではない点です。あくまでリスクを下げる仕組みが整っていることの証明であり、健康診断を受けても病気にならないわけではないのと同じです。継続的に運用し改善し続けることが大切です。

📌
ISMSの中身

ISMS(情報セキュリティマネジメントシステム)ルール・方針何をすべきか実施・記録実際に動かす監査・改善定期的に見直す対象: 機密性・完全性・可用性を守るすべての取り組み

ISMS(Information Security Management System=情報セキュリティマネジメントシステム)とは、組織が情報を安全に守るためのルールと仕組みのことです。ISO/IEC 27001は、このISMSが「何を満たしていなければならないか」という要求事項を定めた国際規格です。

ISMSには大きく3つの要素が含まれます。
ルール・方針(=情報セキュリティポリシー):どの情報をどう守るかを明文化したもの。「パスワードは8文字以上にする」のような具体的なルールも含まれる
実施・記録:ルールを実際に運用し、「いつ誰が何をしたか」の証跡(証拠)を残すこと
監査・改善:定期的にルールが守られているかを点検し、問題があれば改善すること

なぜ「仕組み」が必要なのか。セキュリティは個人の努力だけでは限界があります。組織全体でルールを共有し、守られているかを継続的に確認することで、担当者が替わってもセキュリティの水準を保てます。これが、個別の技術対策だけでなく「マネジメント」として体系化する理由です。

📌
PDCAサイクルとの関係

P: Plan(計画)ルールを決めるD: Do(実施)ルールを運用するA: Act(改善)見直して改善するC: Check(点検)守られているか確認

ISO/IEC 27001のISMSは、PDCAサイクル(=計画・実施・点検・改善を繰り返す仕組み)に基づいて運用します。PDCAとは英語の頭文字で、P(Plan=計画)→ D(Do=実施)→ C(Check=点検)→ A(Act=改善)の4段階を繰り返すことを指します。

なぜ繰り返すのか。セキュリティの脅威(攻撃の手口・技術)は常に進化しています。一度ルールを決めて終わりにすると、やがてそのルールが古くなり、新しい脅威に対応できなくなります。PDCAを回し続けることで、常に最新の状況に合わせて改善できるのです。

身近な例で考えると、防火訓練に似ています。最初にマニュアルを作り(P)、訓練を実施し(D)、うまくいかなかった点を洗い出し(C)、次回に向けて改善する(A)──これを毎年繰り返すからこそ実際に役立つ体制になります。ISMSも同じく、定期的な見直しと改善が不可欠です。

練習問題

🎯
基本情報技術者 練習問題

Q1.ISO/IEC 27001が定めている内容として最も適切なものはどれか。
A.情報セキュリティマネジメントシステム(ISMS)の要求事項
B.製品の品質マネジメントシステムの要求事項
C.環境マネジメントシステムの要求事項
D.労働安全衛生マネジメントシステムの要求事項
Q2.ISO/IEC 27001の認証を取得するための流れとして適切なものはどれか。
A.ISMSを構築・運用し、第三者の審査機関による審査に合格する
B.自社で「認証取得済み」と宣言するだけでよい
C.一度取得すれば永久に有効で、更新は不要である
D.個人が試験を受けて合格すれば組織として認証される
Q3.ISO/IEC 27001の認証を取得するメリットとして適切でないものはどれか。
A.情報セキュリティに取り組む組織であることを対外的に示せる
B.取引先や顧客からの信頼性が高まる
C.社内の情報セキュリティ管理が体系的に整理される
D.認証を取得すれば情報漏えいが完全に起こらなくなる

関連コンテンツ

リスクアセスメント

リスクアセスメント

リスクを洗い出し、その大きさを分析・評価する一連の活動。

ISMS

ISMS

組織の情報セキュリティを継続的に管理・改善する仕組み。

IPスプーフィング

IPスプーフィング

送信元IPアドレスを偽装して別の機器になりすます攻撃。

パスワードリスト攻撃

パスワードリスト攻撃

他で流出したID・パスワードの一覧を使い回して不正ログインを試みる攻撃。

パスワードクラック

パスワードクラック

何らかの手段でパスワードを解析・推測して破る行為。

セッションハイジャック

セッションハイジャック

利用者のセッション情報を奪い取って成りすます攻撃。