Zenn
📖

CISSP受験者必見!覚えておくべきISO/IEC標準シリーズ大辞典

に公開
Security
CISSP
idea

皆さん、こんにちは!前回は、米国NISTが発行するSP 800シリーズについて学びましたね。今回は、もう一つの重要な「ものさし」、すなわち世界共通のルールブックである 「ISO/IEC標準シリーズ」 についてご紹介します!

ISO/IEC規格は、特定の国だけでなく、世界中の組織が共通の基準で物事を進められるように定められた国際標準です。情報セキュリティの分野においても、組織の管理体制(マネジメントシステム)を構築・運用・評価するための非常に重要な規格が数多く存在し、もちろんCISSP試験の範囲とも深く関わっています。

たくさんの規格がありますが、それぞれの「役割」を理解すれば、きっと頭の中がスッキリ整理できますよ!

ISO/IECって何? - 世界共通の「お手本」

本題に入る前に、言葉の確認です。

  • ISO (International Organization for Standardization / 国際標準化機構):
    様々な分野(工業、農業、医療、そして情報技術など)における国際的な標準規格を策定している、スイスに本部を置く非政府組織です。
  • IEC (International Electrotechnical Commission / 国際電気標準会議):
    主に電気・電子技術分野の国際規格を策定している組織です。
  • ISO/IEC:
    ISOとIECが共同で作業部会(JTC 1)を設置し、情報技術(IT)分野の国際規格を策定しています。私たちが学ぶ情報セキュリティ関連の規格の多くは、このISO/IECから発行されています。

最重要!ISO/IEC 27000ファミリー (ISMSファミリー)

情報セキュリティを学ぶ上で、避けては通れないのがこのISO/IEC 27000ファミリーです。これは、組織が情報セキュリティを適切に管理するための仕組みである 「情報セキュリティマネジメントシステム(ISMS: Information Security Management System)」 を構築・運用・改善していくための一連の規格群です。ファミリーの中でも、特に重要なメンバーをご紹介します!

1. ISO/IEC 27001 - ISMSの「設計図」であり「認証基準」 (超重要!)

  • 正式名称: Information security, cybersecurity and privacy protection — Information security management systems — Requirements (要求事項)
  • どんなもの?: 組織がISMSを構築し、運用していくために 「何をすべきか(満たすべき要求事項)」 を定めた規格です。ISMS認証を取得する際の審査基準となる、ファミリーの中で最も重要な規格の一つです。
  • 特徴: PDCAサイクル(Plan-Do-Check-Act) に基づいた継続的な改善プロセスを要求しています。また、附属書Aには、リスク対策として検討すべき具体的な管理策(コントロール)のリストが掲載されていますが、その詳細な実施方法は書かれていません。

2. ISO/IEC 27002 - ISMS管理策の「実践ガイドブック」 (超重要!)

  • 正式名称: Information security, cybersecurity and privacy protection — Information security controls (実践のための規範)
  • どんなもの?: ISO 27001の附属書Aにリストアップされている管理策(コントロール)について、「どのように実施すればよいか」という具体的なベストプラクティス(優れた実践方法) を詳しく解説したガイドラインです。
  • 関係性: ISO 27001が「やることリスト(要求事項)」なら、ISO 27002はその「やり方のヒント集」です。認証基準そのものではありませんが、ISMSを構築・運用する上で必ず参照される、ISO 27001と一心同体の重要な規格です。

3. ISO/IEC 27000 - ISMSファミリーの「辞書」

  • 正式名称: Information security, cybersecurity and privacy protection — Overview and vocabulary (概要及び用語)
  • どんなもの?: ISMSファミリー全体の概要と、そこで使われる基本的な用語の定義をまとめた規格です。ファミリーへの入門書であり、言葉の意味が分からなくなった時に立ち返る「辞書」のような役割を果たします。

4. ISO/IEC 27005 - 「リスク管理」の専門家

  • 正式名称: Information security, cybersecurity and privacy protection — Guidance on managing information security risks (リスク)
  • どんなもの?: ISMSにおける情報セキュリティリスクマネジメントのプロセス(リスクの特定、分析、評価、対応)をどのように進めるべきか、その具体的なガイダンスを提供します。

専門分野を深掘り!27000ファミリーの仲間たち

27000ファミリーには、特定のテーマに特化した規格もたくさんあります。特に重要なものをいくつかご紹介します。

  • ISO/IEC 27017 (クラウドセキュリティ): クラウドサービスを利用または提供する際の、情報セキュリティ管理策に関する実践規範。ISO 27002への追加ガイダンスという位置づけです。
  • ISO/IEC 27018 (クラウド上の個人情報保護): パブリッククラウド環境でPII(個人識別情報) を処理する際の保護に特化した実践規範。これもISO 27002への追加ガイダンスです。
  • ISO/IEC 27701 (プライバシー情報管理): ISO 27001をプライバシー保護の観点から拡張するための要求事項とガイダンス。PIMS (Privacy Information Management System) の認証基準となります。GDPRなどのプライバシー法規制への対応で注目されています。
  • ISO/IEC 27035 (インシデント管理): 情報セキュリティインシデントの管理(計画、準備、検知、評価、対応、教訓の反映)に関するガイドライン。
  • ISO/IEC 27037 (デジタル証拠): デジタル証拠の特定、収集、取得、保全に関するガイドライン。デジタルフォレンジック調査の基本となります。
  • ISO/IEC 27014 (情報セキュリティのガバナンス): 組織の経営層が、情報セキュリティをどのように統治(ガバナンス)すべきかの原則とプロセスを示します。
  • ISO/IEC 27034 (アプリケーションセキュリティ): 安全なアプリケーションを開発・運用するための、組織的な枠組みに関するガイドライン。

組織運営の基盤となる重要規格

情報セキュリティだけでなく、より広い視点から組織の体制を考える上で重要な規格です。

  • ISO 31000 (リスクマネジメント): ITやセキュリティに限らず、組織が直面するあらゆる種類のリスクを管理するための原則と一般的なガイドラインを提供します。
  • ISO 22301 (事業継続マネジメント): 災害や事故などの危機的な状況でも事業を継続・早期復旧させるための事業継続マネジメントシステム(BCMS: Business Continuity Management System) に関する要求事項を定めた規格。BCMS認証の基準となります。

IT製品・システムの評価基準

  • ISO/IEC 15408 (Common Criteria / コモンクライテリア):
    • IT製品や情報システムが持つセキュリティ機能とその信頼性(保証レベル) を、国際的に共通の基準で評価・認証するための標準です。
    • 評価の厳格さはEAL (Evaluation Assurance Level) という7段階のレベル(EAL1~EAL7)で示され、レベルが高いほどより厳密な評価が行われたことを意味します。政府調達などで参照されることがあります。

その他、関連する主要な規格

  • ISO 9001 (品質マネジメント): 製品やサービスの品質を継続的に改善していくための品質マネジメントシステム(QMS) の要求事項。組織のプロセスの基本品質を担保する上で、セキュリティとも間接的に関わります。
  • ISO/IEC 20000 (ITサービスマネジメント): 顧客に提供するITサービスを効果的かつ効率的に管理するためのITサービスマネジメントシステム(ITSMS) の要求事項。ITIL®というベストプラクティス集と密接に関連しています。

学習のポイント

たくさんの規格があって大変ですよね。CISSPの学習では、まず以下の点を押さえるのが効果的です。

  • 全ての規格の番号と内容を暗記するのではなく、特に太字で示した重要な規格が「何についてのルールなのか」という目的と概要を理解する こと。
  • 特にISO/IEC 27001(要求事項)ISO/IEC 27002(実践規範) の関係性は非常によく問われますので、しっかり区別しておきましょう。
  • ISMS (27001), BCMS (22301), PIMS (27701) といった、認証の基準となる規格を把握しておくこと。
  • NIST SP 800シリーズなどの他のフレームワークと、これらのISO規格がどのように関連し、補完し合っているのかを意識すると、より理解が深まります。

まとめ

今回は、CISSPの学習で覚えておきたい主要なISO/IEC標準シリーズについて、特に情報セキュリティマネジメントの根幹をなすISO/IEC 27000ファミリーを中心に解説しました。

これらの国際標準は、組織が場当たり的な対策ではなく、体系的で、継続的に改善可能なセキュリティ体制(マネジメントシステム) を構築・運用していくための、世界共通の強力なツールです。

この「世界共通の言葉」を理解しておくことは、皆さんがセキュリティ専門家として、グローバルな舞台での活躍にも役にたつでしょう。

それでは、また次回の学びでお会いしましょう!

Discussion