ISO27001とグローバル情報セキュリティ調査

iso_27001_1_R

ISOとISO27001

ISOは、「International Organization for Standardization」の頭文字をとったもので、日本語では「国際標準化機構」と呼んでいます。工業基準の策定を目的とする国際機関で、第三者認証に必要となる要求事項等を作成しています。

ISOの規格は番号によって整理され、品質マネジメントシステムはISO9001、環境マネジメントシステムはISO14001、食品安全マネジメントシステムはISO22000、道路交通安全マネジメントシステムはISO39001、事業継続マネジメントシステムはISO22301などとなっています。このISO規格の中に「情報セキュリティマネジメントシステム」もあり、ISO27001という規格になっています。

さまざまな企画があるISO規格ですが、それらを分かりやすくいくつかに分類する場合、産業別に分ける方法もありますし、品質、環境といった分野別に分ける方法もあります。また次の3つに分ける方法もあります。

①ビジネスパフォーマンスの改善

②ビジネスリスクのマネジメント

③サステナビリティ(持続可能)な価値創出

この場合、「情報セキュリティマネジメントシステム」であるISO27001は、②の「ビジネスリスクのマネジメント」に属することになります。

ISO27001は2005年に既に発行され、わが国においては翌年JISQ27001:2006としてJIS規格の一つとして発行されました。今はJISQ27001:2014となっています。

ISO27001をサポートするため、ISO27000(用語集)、ISO27003(ISO27001をサポートするための実施のガイドライン)、ISO27004(情報セキュリティマネジメントの測定に関わる規格)などがあります。

 iso_27001_2

(月刊総務オンラインhttp://www.g-soumu.com/column/2013/06/iso02.php より)

ISO27001

ISO27001は情報セキュリティ課題や、紛失、破壊、改ざん、盗難等々のリスクを特定し、必要な対策を実施、継続的に改善しながら、常に情報セキュリティリスクから身を護り、セキュリティが維持できるようにするための情報セキュリティマネジメントシステム(Information Security Management System )を社内に構築し、運用していくためのルールを定めた国際規格です。ISO27001では、関連する法規や契約上のセキュリティ義務の遵守や実効あるリスク評価、処理対策を活用した効果的なISMSの確立などの要求事項があり、それら要求事項に対して組織的に取り組まれていることを示す情報セキュリティポリシーの策定を求めています。

ISO27001認証を取得することは、企業にとっては、情報の漏えい・改ざん・不正利用・盗難・破壊等のリスクが低減されるというだけでなく、顧客からの信頼を獲得することができ、企業のブランドイメージを向上させ、結果として企業の競争力が向上するというメリットがあります。

ISO27001とプライバシーマーク制度

ISO27001によく似た制度にプライバシーマーク制度があります。ISO27001は情報セキュリティマネジメントシステムを構築・運用するための国際規格ですが、プライバシーマークは個人情報保護マネジメントシステムを構築・運用するための日本独自の規格です。日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」によって、事業者が個人情報の取扱いを適切に行う体制等を整備していることを認定するものです。ISO27001は情報資産全般を管理するのに対して、プライバシーマークは個人情報に限定されるとこが大きな違いと言えます。

 iso_27001_3

(一般財団法人日本情報経済社会推進協会(JIPDEC)http://www.jipdec.or.jp/project/pmark.html より)

グローバル情報セキュリティ調査2016の公表

内閣府の主催で、World Economic Forum の協力のもと、2015年11月7日、8 日に沖縄万国津梁館ザ・ブセナテラスで「Cyber3 Conference Okinawa 2015 – Crafting Security in a Less Secure World -」が行われました。Cyber3とは、サイバーコネクション(IoT、クラウドサービス、センサーネットワーク、ロボット、自動運転テクノロジーといったテーマを分析するとともに、インターネットの関わりを未来へとどう繋げていくか)、サイバーセキュリティ(サイバー空間の安全性向上や悪意ある攻撃からの防御のため、世界中の異なる組織がどのように互いに協力していけるのか)、サイバークライム(グローバルなステークホルダーが、サイバー犯罪の増加を抑止するために、情報交換や国境を越えた協力をどのように最大限活用していけるのか)の3つのテーマを指します。

プライスウォーターハウスクーパース社はこの会議に合わせて、「グローバル情報セキュリティ調査2016」の結果を発表しました。調査は、CIO Magazine、CSO Magazineとともに2015年5月から6月にかけて1万人以上の経営責任者や財務責任者、情報セ キュリティ責任者、あるいは企業役員などの経営層を対象にオンラインで調査したものです。調査地域も127 カ国に及び、うち日本の回答は286 人とのことです。

それによると、企業が採用するセキュリティのフレームワークに関して、グローバルおよび国内ともISO27001の採用が最も多かったそうです。しかし、グローバルではISO27001の他に、NISTのサイバーセキュリティフレームワークの採用率が35%、SANS InstituteのTwenty Critical Security Controls for Effective Cyber Defenseの採用率が28%もあるのに対して、日本ではいずれも9%しかありませんでした。ISF グッドプラクティス標準は、グローバルが26%に足して日本は僅か4%でした。

 

Q:あなたの組織・企業では、どのようなセキュリティフレームワークを採用していますか

cyber_security_001_R

(http://www.pwc.com/jp/ja/advisory/press-room/press-release/2015/information-security-survey151107.html より)

日本企業は ISO27001 以外のフレームワークをほとんど活用されておらず、ISO27001に偏重していると言えるかもしれません。

このことに関してプライスウォーターハウスクーパース社は次のように述べています。

 日本企業が採用するセキュリティフレームワークは、平時のマネジメントシステム(ISMS)を重視したISO27000 シリーズに偏重する傾向があります。しかし、昨今の洗練されたサイバー攻撃を考慮すると、インシデントが起こる前提に立った態勢を構築することが必要です。

(http://www.pwc.com/jp/ja/advisory/press-room/press-release/2015/information-security-survey151107.html より)

サイバーリスクを他の組織と共有しているかという問いに対しては、グローバルが64.7%なのに日本は30.4%となっています。

Q:他の組織とサイバーリスクに関する情報共有を行っていますか

cyber_security_002_R

(http://www.pwc.com/jp/ja/advisory/press-room/press-release/2015/information-security-survey151107.html より)

また、インシデントによるダウンタイムの長さを、脅威情報サービス、セキュリティ関連ログなど分析する「SIEM」、インデント対応プロセスの有無での比較では、脅威情報サービスの導入有無による組織のダウンタイムに大きな差がありました。

Q:過去1年間で、セキュリティ関連インシデントのために合計何時間のダウンタイム(サービス/アプリケーション/ネットワークが利用できなくなる状態)が発生しましたか

cyber_security_003_R

(http://www.pwc.com/jp/ja/advisory/press-room/press-release/2015/information-security-survey151107.html より)

こうしたことから、プライスウォーターハウスクーパース社は以下のことを提言しています。

・日本企業のセキュリティ向上のためには、ISAC(情報共有分析機関)のよう な業界横断的なプラットフォームや規則を整え、さらに企業内の情報共有を効果的なものとするため の態勢を整備する必要がある。

・最新のThreat Intelligence を厳選して収集し、自社の対応態勢構築や防御に活 用することで、インシデントの影響を最小化できるメリットがあり、Threat Intelligenceによって、過去や現在のサイバー攻撃の状況を定期的に分析し、将来のサイバー攻撃を予測することで、プロアクティブなインシデント対応態勢の構築が可能となる。

(http://www.pwc.com/jp/ja/advisory/press-room/press-release/2015/information-security-survey151107.html より)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です