リスクマネジメントの分野では、JIS Q 27000 と JIS Q 31000 は、整合性を持ち、双方での記述があります。ここでは、その分野を JIS Q 31000 にまとめています。
本規格の位置づけ
ISMS適合性認証制度
ISMS(Information Security Management System、情報セキュリティマネジメントシステム)とは、企業等の組織において、情報セキュリティ対策を、経営者がリーダーシップをもって、全社的・継続的な改善活動として取り込むことです。
JIS Q 27001(ISO/IEC 27001)は、ISMSを実施するための要求事項です。企業がが構築したISMSがJIS Q 27001に適合しているかを、専門的な認証機関がMS状況を審査し、審査に合格した組織を登録する制度をISMS適合性認証制度といいます(厳密には、JIS Q 27001適合性認証制度というべきでしょうが)。
ISMS適合性評価の審査申請をした組織に対して、セキュリティ関連文書による文書審査と、それが実践されていることを確認する実地審査を行い、合格したときには認定書を発行し、ISMS適合性マーク(右図)の使用が認められます。また、原則として3年ごとに更新審査を行い、その間に維持・改善が行われたことが求められます。
企業は、ISMS適合性マークを掲げることにより、自社の情報セキュリティ対策のレベルの高さを取引先などに示し、取引での安心・安全を与えることができます。
なお、ISMS適合性認証制度では、JIS Q 27001 要求事項のすべてを文字通り実現することを強制するものではありません。企業の特色や状況に合わせて取捨選択すること、部分的な変更をすること、規格以外でも重要事項は取り入れることなど、個々の企業に適切な内部規程を作成し実践するのが適切だとしています。
詳細:ISMS適合性認証制度
情報セキュリティ監査制度
情報セキュリティ監査制度は、組織の情報セキュリティに関して監査を行い、保証と助言を行う制度です。これもほぼ JIS Q 27001に準拠してしています。ISMS適合性認証制度と似ていますが、次のような違いがあります。
ISMS適合性認証制度 情報セキュリティ監査制度
準拠規格 JIS Q 27001 同左
性格 審査・認証 監査・助言
機関 認証機関 指定なし
特典 認証書・マークの利用 特になし
有効期間 3年ごとの更新審査 規定なし
それで、ISMSを導入した当初の頃は、情報セキュリティ監査制度により助言を受けつつ成熟度を高め、ある程度の成熟度に達した段階で、ISMS適合性認証制度により認証を受けるようにするのが適切でしょう。
詳細:情報セキュリティ監査制度
JIS Q 27000(ISO/IEC 27000)シリーズ
JIS Q 27xxx は国際規格 ISO/IEC 27xxx を日本語化してJIS規格にしたものです。
このシリーズには40以上の規格がありますが、主なものを列挙します。
- JIS Q 27001(ISO/IEC 27001)要求事項
- 27000ファミリーの中で中核となる規格です。ISMS認証の要求事項が示されています。組織はこの要求事項に準じたマネジメントシステムを構築することで規格の認証を受けることができます。
この規格の附属書Aには情報セキュリティマネジメントの具体的な管理策が100以上示されています。 - JIS Q 27002(ISO/IEC 27002)情報セキュリティ管理策の実践のための規範
- 具体的な情報セキュリティマネジメントの管理策を示した規格で、要求事項を実践するための規範(ベストプラクティス)です。上記の附属書Aの各管理策の実施の手引きや関連情報などが記載されています。
すなわち、ISMSを確立するには、ISO/IEC 27002(JIS Q 27002)が示すことを実践すればよく、その実践状況をISMS適合性認証制度で評価することになります。しかし、これらを全て実現するのは困難ですので、自社の状況を考慮して、重点を検討することになります。 - JIS Q 27004(ISO/IEC 27004)情報セキュリティガバナンス
- 情報セキュリティガバナンスとは、経営者の立場から情報セキュリティを統合的に統制することです。ここでは、経営の観点からISMSを構築するために情報セキュリティ対策の概念、管理の原則、推進プロセスについてガイダンスを示しています。
すなわち、経営者として JIS Q 27001、JIS Q 27002 をどのように運営するかを示すものだといえます。 - JIS Q 27000(ISO/IEC 27000)用語
- このシリーズで用いられている用語の解説です。
JIS Q 27014 (ISO/IEC 27014) 情報セキュリティガバナンス
( https://kikakurui.com/q/Q27014-2015-01.html)
JIS Q 27014:2015 の目次
序文 1 適用範囲 2 引用規格 3 用語及び定義 4 概念 4.1 一般 4.2 目的 ★ 4.3 期待される結果 4.4 関係 ★ 5 原則及びプロセス 5.1 概要 5.2 原則 ★ 5.3 プロセス ★ 附属書A(参考)情報セキュリティ報告書の例 附属書B(参考)詳細な情報セキュリティ報告書の例 9 参考文献
以下、★の内容を列挙します。
情報セキュリティガバナンスの目的
- 戦略の整合
情報セキュリティの目的及び戦略を,事業の目的及び戦略に合わせる。 法制度,規制及び契約を遵守する必要がある。 - 価値の提供
経営陣及び利害関係者に価値を提供する。 - 説明責任
情報リスクに対して適切に対処されていることを確実にする。
情報セキュリティガバナンスと他ガバナンスの関係
情報セキュリティガバナンスとコーポレートガバナンス、ITガバナンスの関係です。
- 情報セキュリティガバナンスもITガバナンスもコーポレートガバナンスの一部として確立されるものであり、その仕組みとして内部統制を適用するという位置づけになります。
- ITに関するセキュリティの分野は多くあり、情報セキュリティガバナンスとITガバナンスが重複する対象は非常に多く「ITセキュリティ」といいます。この重複分野では両ガバナンスの相互関連が重要です。
- ITガバナンスとは、経営戦略に沿ったIT戦略として、ITの導入・運用を組織的に管理・統制することです。ITセキュリティは重要な分野ですが、業務の効率化や最適化などセキュリティ以外の分野も多くあります。
- 情報セキュリティガバナンスは、情報資産一般の保護を対象にします。紙の文書の管理、人的不正の防止など非ITなリスクも含まれます。
情報セキュリティガバナンスの原則
- 組織全体の情報セキュリティを確立する。
- リスクに基づく取組みを採用する。
- 投資決定の方向性を設定する。
- 内部及び外部の要求事項との適合性を確実にする。
- セキュリティに積極的な環境を醸成する。
- 事業の結果に関するパフォーマンスをレビューする。
情報セキュリティガバナンスのプロセス
- 評価
現在のプロセス及び予測される変化に基づくセキュリティ目的の現在及び予想される達成度を考慮し,将来の戦略的目的の達成を最適化するために必要な調整を決定するガバナンスプロセス - 指示
経営陣が,実施する必要がある情報セキュリティの目的及び戦略についての指示を与えるガバナンスプロセス
資源供給レベルの変更,資源の配分,活動の優先順位付け並びに,方針,適切なリスク受容及びリスクマネジメント計画の承認が含まれる。 - モニタ
経営陣が戦略的目的の達成を評価することを可能にするガバナンスプロセス - コミュニケーション
経営陣及び利害関係者が,双方の特定のニーズに沿った情報セキュリティに関する情報を交換する双方向のガバナンスプロセス - 保証
経営陣が独立した客観的な監査,レビュー又は認証を委託するガバナンスプロセス
JIS Q 27000:2014(ISO/IEC 27000:2013)用語
( https://kikakurui.com/q/Q27000-2014-01.html)
膨大な用語の中から、主なものを掲げます。
リスク、脆弱性、事象
- リスク(risk)
目的に対する不確かさの影響。
注記 1 影響とは,期待されていることから,好ましい方向又は好ましくない方向に乖離することをいう。
注記 2 不確かさとは,事象,その結果又はその起こりやすさに関する,情報,理解又は知識が,たとえ部分的にでも欠落している状態をいう。
注記 3 リスクは,起こり得る事象,結果又はこれらの組合せについて述べることによって,その特徴を記述することが多い。
注記 4 リスクは,ある事象(周辺状況の変化を含む。)の結果とその発生の起こりやすさとの組合せとして表現されることが多い。
注記 5 ISMS の文脈においては,情報セキュリティリスクは,情報セキュリティ目的に対する不確 かさの影響として表現することがある。
注記 6 情報セキュリティリスクは,脅威が情報資産のぜい弱性又は情報資産グループのぜい弱性に付け込み,その結果,組織に損害を与える可能性に伴って生じる - 脆弱性(vulnerability)
一つ以上の脅威によって付け込まれる可能性のある,資産又は管理策の弱点。 - 事象(event)
ある一連の周辺状況の出現又は変化。
注記 1 事象は,発生が一度以上であることがあり,幾つかの原因をもつことがある。注記 2 管理策が,常に意図又は想定した修正効果を発揮するとは限らない。
注記 2 事象は,何かが起こらないことを含むことがある。
注記 3 事象は, 事態(incident) 又は 事故(accident) と呼ばれることがある。なお, 事態 は, インシデントとも表現される。
情報セキュリティの要素
情報セキュリティ(information security)とは、
・情報の機密性,完全性及び可用性を維持すること
・さらに,真正性,責任追跡性,否認防止,信頼性などの特性を維持すること
- 機密性(confidentiality)
認可されていない個人,エンティティ又はプロセス(2.61)に対して,情報を使用させず,また,開示しない特性 - 完全性(integrity)
正確さ及び完全さの特性 - 可用性(availability)
認可されたエンティティが要求したときに,アクセス及び使用が可能である特性 - 真正性(authenticity)
エンティティは,それが主張するとおりのものであるという特性
- 責任追跡性 (accountability)
情報資産へのある操作について、過去に遡って追跡し操作者と操作を一意に特定できる特性 - 否認防止(non-repudiation)
主張された事象又は処置の発生,及びそれを引き起こしたエンティティを証明する能力 - 信頼性(reliability)
意図する行動と結果とが一貫しているという特性
注記 エンティティは,“実体”,“主体”などともいう。情報セキュリティの文脈においては,情報を使用する組織及び人,情報を扱う設備,ソフトウェア及び物理的媒体などを意味する。
リスクマネジメントの分野は、ISO 31000(JIS Q 31000):リスクマネジメントと整合性が図られています。また「××性」の詳細などについては、情報セキュリティの要件を参照してください。
JIS Q 27001:2014 (ISO/IEC 27001:2013) 要求事項
( https://kikakurui.com/q/Q27001-2014-01.html)
JIS Q 27001:2014 の目次
0 序文 1 適用範囲 2 引用規格 3 用語及び定義 4 組織の状況 5 リーダーシップ 6 計画 7 支援 8 運用 9 パフォーマンス評価 10 改善 附属書 A (規定)管理目的及び管理策
「企業のISMSは、これらの状況になっていなければならない」事項を列挙したものです。ISMS適合性認証制度では、これらの要求事項が満たされているかを評価します。
例えば、次のような内容です。
- 5 リーダーシップ
- 5.1 リーダーシップ及びコミットメント
- 5.2 方針
トップマネジメントは,次の事項を満たす情報セキュリティ方針を確立しなければならない。
a) 組織の目的に対して適切である。
b) 情報セキュリティ目的を含むか,又は情報セキュリティ目的の設定のための枠組みを示す。
c) 情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
d) ISMSの継続的改善へのコミットメントを含む。
情報セキュリティ方針は,次に示す事項を満たさなければならない。
e) 文書化した情報として利用可能である。
f) 組織内に伝達する。
g) 必要に応じて,利害関係者が入手可能である。 - 5.3 組織の役割,責任及び権限
(以下略)
JIS Q 27001:附属書A
( https://manualzilla.com/doc/6581873/iso27001内部監査チェックリスト(附属書a管理策))
附属書Aには、組織がかかえている情報セキュリティ上のリスクを軽減するための管理目的と、その管理目的を達成するための管理策が示されています。
管理策(control)とは、リスクを修正する対策。
注記 1 管理策には,リスクを修正するためのあらゆるプロセス,方針,仕掛け,実務及びその他の処置を含む。
注記 2 管理策が,常に意図又は想定した修正効果を発揮するとは限らない。
附属書Aの目次
A.5 情報セキュリティのための方針群
A.6 情報セキュリティのための組織
A.7 人的資源のセキュリティ
A.8 資産の管理
A.9 アクセス制御
A.10 暗号
A.11 物理的及び環境的セキュリティ
A.12 運用のセキュリティ
A.13 通信のセキュリティ
A.14 システムの取得、開発及び保守
A.15 供給者管理
A.16 情報セキュリティインシデント管理
A.17 事業継続マネジメントにおける情報セキュリティの側面
A.18 順守
構成
┌ 管理事項
│ ┌ 管理目的
│ │ ┌ 管理策
A.5.1.1
例
A.5 情報セキュリティのための方針群
A.5.1 情報セキュリティのための経営陣の方向性
目的:情報セキュリティのための経営陣の方向性及び支持を、
事業上の要求事項、関連する法令及び規制に従って、規定するため。
A.5.1.1 情報セキュリティのための方針群
管理策:情報セキュリティ基本方針文書は、経営陣によって承認されなければ
ならず、また、全従業員および関連する情報セキュリティのための方針群
は,これを定義し,管理層が承認し,発行し,従業員及び関連する外部関
係者に通知することが望ましい。
内部監査チェックリストでは、各小項目について、該当部門、コメント、有効性評価、総合評価結果の欄を加えた表にしています。
JIS Q 27002 (ISO/IEC 27002) 情報セキュリティ管理策の実践のための規範
( https://kikakurui.com/q/Q27002-2014-01.html)
JIS Q 27001の附属書Aの構成と、管理目的と管理策をそのまま引き継ぎ、それぞれの管理策について実施の手引、注意事項などを示したものです。すなわち、「この規格に従って改善を進めていけば、認証を受けられるレベルのISMSが実現できる」ベストプラクティスを示したガイドブックだといえます。
例えば、次のようになっています。
- 5.1 情報セキュリティのための経営陣の方向性
- 目的 (附属書Aと同じ)
情報セキュリティのための経営陣の方向性及び支持を、事業上の要求事項並びに関連する法令及び規制に従って提示するため。 - 5.1.1 情報セキュリティのための方針群
- 管理策 (附属書Aと同じ)
情報セキュリティ基本方針文書は、経営陣によって承認されなければならず、また、全従業員および関連する情報セキュリティのための方針群は,これを定義し,管理層が承認し,発行し,従業員及び関連する外部関係者に通知することが望ましい。
注記 管理層には,経営陣及び管理者が含まれる。ただし,実務管理者(administrator)は除かれる。 - 実施の手引 (追加部分)
組織は,方針群の最も高いレベルに,一つの情報セキュリティ方針を定めることが望ましい。この情報セキュリティ方針は,経営陣によって承認されるものであり,組織の情報セキュリティ目的の管理に対する取組みを示すものである。
情報セキュリティ方針は,次の事項によって生じる要求事項を取り扱うことが望ましい。
a) 事業戦略
b) 規制,法令及び契約
c) 現在の及び予想される情報セキュリティの脅威環境
情報セキュリティ方針には,次の事項に関する記載を含めることが望ましい。
a) 情報セキュリティに関する全ての活動の指針となる,情報セキュリティの定義,目的及び原則
b) 情報セキュリティマネジメントに関する一般的な責任及び特定の責任の,定められた役割への割当て
c) 逸脱及び例外を取り扱うプロセス
以下略
JIS Q 27017 (ISO/IEC27017) ISMSクラウドセキュリティ認証
(
https://www.jqa.jp/service_list/management/service/iso27017/
https://www.jipdec.or.jp/archives/publications/JIP-ISMS111-3.0_S1-10.pdf)
クラウドコンピューティング環境が急速に進んでいます。在宅勤務の普及により、社内システムの運用が変化しています。IoTの進展に伴い、多数のセンサーが⼯場や屋外の環境に設置され、それらが直接情報システムに接続されるようになってきました。AIの進展に伴い、情報システム操作の⼀部が自動化されてきました。このような変化に伴い、クラウドコンピューティング環境におけるセキュリティ対策がますます重要になっています。
ISMSクラウドセキュリティ認証(JIS Q 27017)は、JIS Q 27001 認証(ISMS 認証)の拡張規格です。
「クラウドコンピューティングには,その特性(例えば,ネットワーク,システムのスケーラビリティ及び弾⼒性,資源共有,セルフサービスプロビジョニング,オンデマンド管理,法域を超えたサービスの提供及び管理策の実施についての可視性が限られていること)に由来する,固有の,脅威及びぜい弱性を含むリスク源がある。」としています。
JIS Q 27001での具体的な対策(管理策)集である附属書A(JIS Q 27002)を基に、クラウドサービス固有の管理策や実施の手引きを追加した手引書の位置づけです。
規格の対象者
本規格では、対象者を次のように区分しています。
クラウドサービスプロバイダ(クラウドサービス提供者)
クラウドサービスカスタマ(クラウドサービス利用者)
しかし、プロバイダには、IaaS、PaaS、SaaSの全サービスを提供している場合と、他の事業者のIaaS、PaaSを利用してSaaSをサービスしている場合もあります。また、カスタマには、クラウドサービスを利用した自社システムを構築して、エンドユーザにサービスを提供している場合もあります。このように、状況により両方の立場になることもあえいます。
クラウドセキュリティは、プロバイダとカスタマの双方の立場で個々の実施活動を改善するべきだとの観点から、個々の実施活動について、プロバイダとカスタマの実施手引を対にして掲げています。
対象範囲
クラウドサービスプロバイダの情報セキュリティ管理の対象は、クラウドサービスカスタマの情報セキュリティ対策のための情報提供や機能提供を含むものと規定されている。これに従い、クラウドサービスプロバイダは、リスクアセスメントの範囲にクラウドサービスカスタマとの関係を含めたリスク対応を検討することが必要である。」としています。
- サービス特定と立場
管理対象とするクラウドサービスにおいて、自社がプロバイダあるいはカスタマのいずれの立場になるかを明確にします。 - システム側面からの適用範囲
提供するクラウドサービスを提供するにあたり必要なITシステムは全て、適用範囲に含める必要があります。それには、クラウドサービス以外の形態もありましょう。 - 組織的な適用範囲
ISMS要員でもクラウドサービス以外の者はクラウドセキュリティ要員ではないし、ISMS要員以外でもクラウドサービスの運用管理を行う者はクラウドセキュリティ要員に含めるなど、組織に若干の違いがあります。 - 物理的な適用範囲
クラウドサービスを提供するには、そのサイトを、他のクラウドサービス利用、自社インフラの利用、自社データセンターに設置などのケースがあり、その管理の重点が異なります。