進化する ISMS ISMS 適合性評価制度の認証用基準 (ISO/IEC 27001) は 改定の度に進化している Ver. Ver. I

ＩＳＭＳの本

質を理解す

る

1

2017/12/１３

リコージャパン株式会社

エグゼクティブコンサルタント

羽田 卓郎

作成：2017年10月６日

更新：2017年11月06日 Ver.1.1

Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. ₂

進化するISMS

２８P

ＩＳＭＳ適合性評価制度の認証用基準（ISO/IEC 27001）は、改定の度に進化

している。

2000

2000

2000

2000 2001

2001

2001

2001 2002

2002

2002

2002 2003

2003

2003

2003 2004

2004 2005

2004

2004

2005

2005 2006

2005

2006

2006 2007

2006

2007

2007

2007

ISO/IEC 17799:2000

ISO/IEC 17799:2000

ISO/IEC 17799:2000

ISO/IEC 17799:2000

JIS X 5080:2002

JIS X 5080:2002

JIS X 5080:2002

JIS X 5080:2002

ISMS

ISMS

ISMS

ISMS認証基準

認証基準

認証基準

認証基準

Ver. 2.0

Ver. 2.0

Ver. 2.0

Ver. 2.0

Ver.

Ver.

Ver.

Ver.

1.0

1.0

1.0

1.0

Ver.

Ver.

Ver.

Ver.

0.8

0.8

0.8

0.8

BS 7799

BS 7799

BS 7799

BS 7799-

-

-

-2:2002

2:2002

2:2002

2:2002

英国規格

英国規格

英国規格

英国規格

英国規格

英国規格

英国規格

英国規格

国際規格

国際規格

国際規格

国際規格

JIS Q 27002:2006

JIS Q 27002:2006

JIS Q 27002:2006

JIS Q 27002:2006

ISO/IEC 27002:2005

ISO/IEC 27002:2005

ISO/IEC 27002:2005

ISO/IEC 27002:2005

JIS Q 27001:2006

JIS Q 27001:2006

JIS Q 27001:2006

JIS Q 27001:2006

ISO/IEC

ISO/IEC

ISO/IEC

ISO/IEC

17799:2005

17799:2005

17799:2005

17799:2005

国際規格

国際規格

国際規格

国際規格

2008

2008

2008

2008 2009

2009

2009

2009 2010

2010

2010

2010

ISO/IEC

ISO/IEC

ISO/IEC

ISO/IEC

27001:20

27001:20

27001:20

27001:2013

13

13

13

BS7799

BS7799

BS7799

BS7799-

-

-

-1

1

1

1

:1998

:1998

:1998

:1998

JIS Q

JIS Q

JIS Q

JIS Q

27001:2014

27001:2014

27001:2014

27001:2014

2011

2011

2011

2011 2012

2012

2012

2012 2013

2013

2013

2013 2014

2014

2014

2014

JIS Q

JIS Q

JIS Q

JIS Q

27002:2014

27002:2014

27002:2014

27002:2014

ISO/IEC

ISO/IEC

ISO/IEC

ISO/IEC

2700

2700

2700

27002

22

2:20

:20

:20

:2013

13

13

13

2017

2017

2017

2017

BS7799

BS7799

BS7799

Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. ₃

マネジメントシステム規格の共通化

1.

1.

1.

1. マネジメントシステム規格の共通化：

マネジメントシステム規格の共通化：

マネジメントシステム規格の共通化：

マネジメントシステム規格の共通化：

①ISO/IEC27001：2013は、ISO/IEC 専門業務用指針

第1部ISO補足指針統合版の附属書SLのAppendix 2

「上位構造、共通の中核となるテキスト、共通用語およ

び中核となる定義 」 を適用している。・・・以降

「MSS」

という。

②MSSは、QMS、EMS、BCMSなど、既存の全てのマ

ネジメントシステムにも適用され、将来的には、全て

MSSをベースとした規格となる。

③ISO/IEC27001：2013は、MSSの

開発目的を尊重し、可能な限り

専門分野（情報セキュリティ）固有

の要求事項とMSSの要求事項が

重複しないように改訂された。

３８P

Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. ₄

０ 序文

１ 適用範囲

２ 引用規格

３ 用語及び定義

４ 組織の状況

５ リーダーシップ

６ 計画

７ 支援

８ 運用

９ パフォーマンス評価

１０ 改善

JIS Q 27001

：

2014

［本文］

［付属書Ａ（規定）管理目的及び管理策］

Ａ．５ 情報セキュリティのための方針群 Ａ．６ 情報セキュリティのための組織 Ａ．７ 人的資源のセキュリティ Ａ．８ 資産の管理 Ａ．９ アクセス制御 Ａ．１０ 暗号 Ａ．１１ 物理的及び環境的セキュリティ Ａ．１２ 運用のセキュリティ Ａ．１３ 通信のセキュリティ Ａ．１４ システムの取得、開発及び保守 Ａ．１５ 供給者 Ａ．１６ 情報セキュリティインシデント管理 Ａ．１７ 事業継続マネジメントにおける情 報セキュリティの側面 Ａ．１８ 順守

決定

実施

Ｐ Ｄ Ｃ Ａ Ｐ

規格の構成

３７P

適用範囲の決定とリスク対策の視点

Copyright 2015,2017 RICOH JAPAN Corporation All Rights Reserved. 5

○適用範囲定義の視点

人的・組織的対策

人的・組織的対策

人的・組織的対策

人的・組織的対策

○セキュリティ対策を考察する際の視点を適用する

ISO/IEC 27001:2006

では、「事業・組織・所在地・資産・技術の特徴の見地」から定

義することを求めていた。しかし、

₂₀₁₄

年版ではその指定はなくなったが、現実的に

は同様の定義が必要となる。

セキュリティ対策考察時３つの視点

物理的対策→物理的視点

技術的対策→技術的視点

人的・組織的対策→人的・組織的視点

・・・順守を含む

４９P

ISMS構築モデル

組織の使命

組織の使命

組織の使命

組織の使命

②組織の目的を達成 ②組織の目的を達成②組織の目的を達成 ②組織の目的を達成 するための活動（ するための活動（するための活動（ するための活動（機会機会機会機会 を得るための活動） を得るための活動）を得るための活動） を得るための活動） ①組織の目的 ①組織の目的①組織の目的 ①組織の目的 ⑦組織の目的を達成するた ⑦組織の目的を達成するた ⑦組織の目的を達成するた ⑦組織の目的を達成するた めの活動と、利害関係者の めの活動と、利害関係者の めの活動と、利害関係者の めの活動と、利害関係者の ニーズ及び期待の実現に伴 ニーズ及び期待の実現に伴 ニーズ及び期待の実現に伴 ニーズ及び期待の実現に伴 う課題及び組織の目的に対 う課題及び組織の目的に対 う課題及び組織の目的に対 う課題及び組織の目的に対 する する する するリスクリスクリスクリスク ⑤ニーズ ⑤ニーズ⑤ニーズ ⑤ニーズ

利害関係者

利害関係者

利害関係者

利害関係者

⑥期待 ⑥期待 ⑥期待 ⑥期待 ⑧情報セキュリティに ⑧情報セキュリティに⑧情報セキュリティに ⑧情報セキュリティに 関連する組織全体の 関連する組織全体の関連する組織全体の 関連する組織全体の 目的に関わる課題と 目的に関わる課題と目的に関わる課題と 目的に関わる課題と リスク リスクリスク リスク ⑩情報セキュリティ目的 ⑩情報セキュリティ目的⑩情報セキュリティ目的 ⑩情報セキュリティ目的 ((((部門階層別目的を含む部門階層別目的を含む部門階層別目的を含む部門階層別目的を含む)))) ⑨情報セキュリティ方針群 ⑨情報セキュリティ方針群⑨情報セキュリティ方針群 ⑨情報セキュリティ方針群

情報セキュリティ

情報セキュリティ

情報セキュリティ

情報セキュリティ

組織の目的を達成するた めの活動に付随する課題 （阻害要因）は、目的達成 に対する「リスクリスクリスクリスク」につなが る。 ⑪情報セキュリティ目的に ⑪情報セキュリティ目的に⑪情報セキュリティ目的に ⑪情報セキュリティ目的に 対するリスク対応 対するリスク対応対するリスク対応 対するリスク対応 ⑫情報セキュリティ目的達 ⑫情報セキュリティ目的達⑫情報セキュリティ目的達 ⑫情報セキュリティ目的達 成のための活動 成のための活動成のための活動 成のための活動 ③内部の課題 ③内部の課題③内部の課題 ③内部の課題

組織の状況

組織の状況

組織の状況

組織の状況

④外部の課題 ④外部の課題 ④外部の課題 ④外部の課題

理解

理解

理解

理解

理解

理解

理解

理解

（箇条 （箇条（箇条 （箇条4.14.14.14.1）））） （箇条 （箇条 （箇条 （箇条4.24.24.24.2）））） （箇条 （箇条 （箇条 （箇条444）4））） （箇条 （箇条 （箇条 （箇条6.1.16.1.16.1.16.1.1）））） （箇条 （箇条（箇条 （箇条6.1.16.1.16.1.16.1.1）））） （箇条 （箇条 （箇条 （箇条5.15.15.15.1、、、、5.25.25.25.2）））） （箇条 （箇条 （箇条 （箇条6.26.26.2）6.2））） （箇条 （箇条 （箇条 （箇条6.6.6.6.１１１１.2.2、.2.2、、、.6.1.3 .6.1.3 .6.1.3 .6.1.3 ）））） （箇条 （箇条 （箇条 （箇条6.26.26.26.2、、、、8 8 8 8 ）））） （箇条 （箇条（箇条 （箇条4444））））

組織の課題

組織の課題

組織の課題

組織の課題

6 情報セキュリティでは、組織の目的 に対する「機会」は②で選択している ため、⑪⑫の時点では、機会の選択 はない。 〇継続的改善 〇継続的改善 〇継続的改善 〇継続的改善 （箇条 （箇条 （箇条 （箇条10 10 10 ）10 ）））

Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. ₇

「リスクと機会」の関係とISMSについて

売上

売上

売上

売上

業務フロー

自組織

システム

受注

受注

受注

受注

機会（Opportunity）を得るということは、組

織のビジネス目的を達成するための活動を行

うという事である。リスクは機会を得るための

活動に付随して発生することから、ビジネス

活動に関するリスクと機会は連動していると

言える。従って、リスクを増大させて機会を増

やす事が可能となる。

ISMSは、主たるビジネスを遂行する

上で、阻害要因となる情報のセキュリ

ティ課題を解決する事が目的であり、

組織のビジネスそのものを拡大させる

活動ではない。従って、ISMSの活動で

は、リスクを増大させて機会を得るとい

う関係はない。

外部

組織の目標

組織の目標

組織の目標

組織の目標

ISMS

ISMS

ISMS

ISMS活動

活動

活動

活動

ビジネス活動

ビジネス活動

ビジネス活動

ビジネス活動

組織の目標

組織の目標

組織の目標

組織の目標

ISMS

ISMS

ISMS

ISMS活動

活動

活動

活動

ビジネス活動

ビジネス活動

ビジネス活動

ビジネス活動

組織の目標に対するビジネス活動とISMS活動の関係

組織の目標

組織の目標

組織の目標

組織の目標

ISMS

ISMS

ISMS

ISMS活動

活動

活動

活動

ビジネス活動

ビジネス活動

ビジネス活動

ビジネス活動

Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. ₈

ビジネス活動 を阻害

目標達成

ビジネスリスク の増大

5.1

、5.2：組織の戦略として

の情報セキュリティ方針と目

的の設定

組織

組織

組織

組織

6.2

_{：階層別情報セキュリティ}

目的の確立とそれを達成す

るための計画

9.3

：マネジメントレビューへ

の情報セキュリティ目的の達

成状況報告

4.1

組織及び状況の理解

_{組織及び状況の理解}

_{組織及び状況の理解}

組織及び状況の理解

•

組織内部の状況

組織内部の状況

組織内部の状況

組織内部の状況

•

組織の外部状況

組織の外部状況

組織の外部状況

組織の外部状況

4.2

_{利害関係者の}

_{利害関係者の}

_{利害関係者の}

_{利害関係者の}

ニーズ及び期待の理解

ニーズ及び期待の理解

ニーズ及び期待の理解

ニーズ及び期待の理解

6.1.1

_{リスク及び}

_{リスク及び}

_{リスク及び}

_{リスク及び}

機会の決定

機会の決定

機会の決定

機会の決定

8.1

_{：情報セキュリティ目的達}

成のための計画の実施

9.1

_{：情報セキュリティパ}

フォーマンス及びISMS有効

性の評価

•

必要資源

必要資源

必要資源

必要資源

•

責任者

責任者

責任者

責任者

•

達成期限

達成期限

達成期限

達成期限

•

評価方法

評価方法

評価方法

評価方法

情報セキュリティ目的達

情報セキュリティ目的達

情報セキュリティ目的達

情報セキュリティ目的達

成のための活動の評価

成のための活動の評価

成のための活動の評価

成のための活動の評価

6.1.2

_、

_{、6.1.3 リスク}

_、

_、

_リスク

_リスク

_リスク

アセスメントとリスク対

アセスメントとリスク対

アセスメントとリスク対

アセスメントとリスク対

応及び、管理策の決定

応及び、管理策の決定

応及び、管理策の決定

応及び、管理策の決定

マネジメントシステム

マネジメントシステム

マネジメントシステム

マネジメントシステム

と管理策の実装

と管理策の実装

と管理策の実装

と管理策の実装

情報セキュリティ目的の

情報セキュリティ目的の

情報セキュリティ目的の

情報セキュリティ目的の

達成の阻害要因の確認

達成の阻害要因の確認

達成の阻害要因の確認

達成の阻害要因の確認

と対応指示

と対応指示

と対応指示

と対応指示

目的を中心とした骨格の形成

10

部門階層別 「目的」設定の考え方

○目標１：

40Km

走れる持久

力を身に付ける

○目標

2

：

60K

ｇの荷物を

5

時

間背負えるようになる

○目標

3

：オーバーハングの壁

を

1

人で上れるようになる

全体の目的（目標）を

全体の目的（目標）を

全体の目的（目標）を

全体の目的（目標）を

達成するための活動

達成するための活動

達成するための活動

達成するための活動

に対する目的（目標）

に対する目的（目標）

に対する目的（目標）

に対する目的（目標）

を設定する

を設定する

を設定する

を設定する

個々の目標を達成することで 個々の目標を達成することで 個々の目標を達成することで 個々の目標を達成することで 全体の目的が達成可能となる 全体の目的が達成可能となる 全体の目的が達成可能となる 全体の目的が達成可能となる

※

戦術的目標

○戦略的目標：3000m級の山を征服する

＆

＆

●戦術的目的：各段階の戦略的目標を

達成するための諸課題を解決する。

８１P

11

情報セキュリティ目的とリスク受容レベルのイメージ

大

大

結

果

結

果

結

果

結

果

のののの

大大大大

き

さ

き

さ

き

さ

き

さ

（（（（

影

響

度

影

響

度

影

響

度

影

響

度

））））

起りやすさ

起りやすさ

起りやすさ

起りやすさ

小

小

②リスク受容

②リスク受容

②リスク受容

②リスク受容

レベル

レベル

レベル

レベル

①情報セキュリ

①情報セキュリ

①情報セキュリ

①情報セキュリ

ティ目的達成レ

ティ目的達成レ

ティ目的達成レ

ティ目的達成レ

ベル

ベル

ベル

ベル

リスク対応

リスク対応

リスク対応

リスク対応

例 例例 例1111：結果を変える：結果を変える：結果を変える：結果を変える 例 例例 例2222：起こりやすさを変える：起こりやすさを変える：起こりやすさを変える：起こりやすさを変える

1

2

第１段階 第１段階第１段階 第１段階 第 第第 第2222段階段階段階段階 第１段階 第１段階 第１段階 第１段階 第 第第 第2222段階段階段階段階

リスク対応の概念の変化

従来のリスクに関連する概念の例 従来のリスクに関連する概念の例従来のリスクに関連する概念の例 従来のリスクに関連する概念の例 新しいリスクに関連する概念の例新しいリスクに関連する概念の例新しいリスクに関連する概念の例新しいリスクに関連する概念の例 リスク対応 脅威（存在、事象、行為） ウィルス（存在） 感染（事象） 脆弱性（状態） ウィルス対策ソフトの不備 （状態） 発生 付け込む インシデント（事象） 情報破壊 リスク源 ウィルス（存在） ウィルス対策ソフトの不備 （状態） 事象 ウィルス感染による情報の 破壊 結果（目的に対する） 業務停止による 損害の発生 リスク源の除去（フィル タリング） 起こりやすさを変える （ウィルス対策ソフトの 管理強化） 結果を変える（装置の 冗長化又はバックアッ プからのリストアによ る短期回復等） 結果（損害の発生）

Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 13

リスクアセスメントとリスク対応のモデル

リスクの特定

リスク源 リスク源 リスク源 リスク源 リスクの存在又は現象（ウィ リスクの存在又は現象（ウィ リスクの存在又は現象（ウィ リスクの存在又は現象（ウィ ルス） ルス） ルス） ルス） 弱点のある状態（ウィルス対 弱点のある状態（ウィルス対 弱点のある状態（ウィルス対 弱点のある状態（ウィルス対 策ソフトの不備） 策ソフトの不備） 策ソフトの不備） 策ソフトの不備） 事象（原因事象を含む） 事象（原因事象を含む） 事象（原因事象を含む） 事象（原因事象を含む） リスク源によって引き起こさ リスク源によって引き起こさリスク源によって引き起こさ リスク源によって引き起こさ れ、目的達成を阻害する出来 れ、目的達成を阻害する出来れ、目的達成を阻害する出来 れ、目的達成を阻害する出来 事（ウィルス感染による情報 事（ウィルス感染による情報事（ウィルス感染による情報 事（ウィルス感染による情報 の破壊） の破壊）の破壊） の破壊） 結果 結果 結果 結果 事象の発生により、目的を達 事象の発生により、目的を達事象の発生により、目的を達 事象の発生により、目的を達 成できないという結果（業務 成できないという結果（業務成できないという結果（業務 成できないという結果（業務 停止） 停止）停止） 停止） 結びつく 結びつく結びつく 結びつく

情報セキュリティ

情報セキュリティ

情報セキュリティ

情報セキュリティ

目的

目的

目的

目的

起こり易さ 起こり易さ起こり易さ 起こり易さ 影響 影響影響 影響 ⑥ ⑥ ⑥ ⑥ パフォーマンス評価パフォーマンス評価パフォーマンス評価パフォーマンス評価 （目的達成のための活動） （目的達成のための活動） （目的達成のための活動） （目的達成のための活動）

リスク対応

リスクの回避 リスクの回避リスクの回避 リスクの回避 機会の追求のためのリスク増加 機会の追求のためのリスク増加機会の追求のためのリスク増加 機会の追求のためのリスク増加 リスク源の除去 リスク源の除去リスク源の除去 リスク源の除去 起こり易さを変える 起こり易さを変える起こり易さを変える 起こり易さを変える 結果を変える 結果を変える結果を変える 結果を変える リスクの共有 リスクの共有リスクの共有 リスクの共有 リスクの保有 リスクの保有リスクの保有 リスクの保有 ② ② ② ② ① ①① ① ③ ③ ③ ③ ④ ④④ ④ ⑤ ⑤⑤ ⑤

Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 14

リスク特定の例

リスク源

事象

結果

（目的からの乖離がリスク）

・存在

存在

存在：ラン

存在

サムウェア

・脆弱性：不

正メール対

策の不備

・原因事象

原因事象

原因事象：従業者が受

原因事象

信した不正メールの添

付ファイルを開封

・結果事象

結果事象

結果事象：ランサム

結果事象

ウェアの侵入と活性化

（サーバ内のデータ暗

号化）

【目的：情報の可用性喪失

による業務停止の防止】

・（重要情報の強制暗号化

を復元できないため必要情

報にアクセスできないこと

による）業務停止による機

会損失や対外的信用喪失の

発生

【リスク源、事象、結果の例（ランサムウェア感染）】

情報セキュリティ事象の連鎖の例

Copyright 2017 RICOH JAPAN Corporation All Rights Reserved.

Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 16

事象の連鎖とリスク源及びリスク対策の例

事象1

事象２

事象３

｜←――――――――――

ISMS適用範囲

――――――――――→｜

事象の連鎖（事象1から

3へと続く）

従業者が受信した不正

メールの添付ファイル

を開封

ランサムウェアがPCに

侵入し、続いてサーバ

に侵入する

ランサムウェアがサー

バ内のデータを暗号化

し復元できない

リスク源（脆弱性）

※リスクの存在（ラン

サムウェア）は、一

連の事象に共通のた

め省略

従業者に対する不正

メールの取り扱い指導

（不審なメールは開か

ない）の不備または不

徹底

・ウィルス対策ソフト

の不備または未導入

・PCのOS及びサーバ

のOSに対する脆弱性対

策の不備または不徹底

バックアップとリスト

ア対策の実施手順の未

整備

[管理策]とリスク対策

[管理策：A.7.2.2]

従業者に対する不正

メール対策の指導及び

教育の徹底

・[管理策：A.12.2.1]

ウィルス対策ソフトの

導入と定期更新

・[管理策：A.12.6.1]

PCのOS及びサーバの

OSの脆弱性対策の実施

（最新バージョン化、

修正プログラムの適用

等）

[管理策：A.12.3.1]

システム環境及びデー

タバックアップの取得

と安全な保管、リスト

アテストの実施等

【事象の連鎖とリスク源の例】

Copyright 2017 RICOH JAPAN Corporation All Rights Reserved. 17

最後に

ISO/IEC 27001は、課題解決ツールである。

ISMSのみならず、QMS、EMS、BCMS、ITSMSなど、すべての

マネジメントシステムは、それぞれの分野の経営課題を解決するため

に用意されている。

組織の目的を達成するために行う活動には、すべてリスクが伴うた

め、そのリスクを顕在化（インシデント発生）させないことが、組織

にとっての課題となる。

ISMSの本質は、情報セキュリティに係るビジネス課題を解決するこ

とであり、そこには、経営陣の明確な意思が反映されるべきである。