高瀬里見第3話では27001と27002を学んだね。今回は残りの「27000ファミリー」を一気に整理するよ。番号の意味がわかると、試験でも実務でもすごく楽になるから。
この記事で登場する用語
| 用語 | 読み方 | 一言説明 | 身近な例え |
|---|---|---|---|
| ISO/IEC 27003 | にーななまるまるさん | ISMSの導入手順書 | ゲームの「チュートリアル」 |
| ISO/IEC 27004 | にーななまるまるよん | 監視・測定・評価の方法 | ダイエットの記録アプリ |
| ISO/IEC 27005 | にーななまるまるご | リスク管理の専門書 | 家の防犯チェックリスト |
| ISO/IEC 27006 | にーななまるまるろく | 審査員の資格基準 | 運転免許の試験官ルール |
| ISO/IEC 27007 | にーななまるまるなな | 監査の手順書 | 学校の保健室の定期検査 |
| ISO/IEC 27014 | にーななまるいちよん | 経営層向けガバナンス指針 | 校長先生の役割マニュアル |
| ISO/IEC 27017 | にーななまるいちなな | クラウドサービス専用ガイド | 貸し倉庫のセキュリティ規則 |
🖊️ 結城の偵察ノート
深夜。結城はディスプレイの前で指を止め、ゆっくりと画面をスクロールした。
メタCのISMS認証取得のプレスリリース。公開日時、担当部署、問い合わせ先——隅々まで読み込んだが、引っかかる情報は見当たらない。
(27001は取っている。27002の対策も揃えているはずだ……)
問題は、その「先」だった。ISMSファミリーは27001と27002だけではない。27003から27007、さらに27014、27017——組織がどこまで運用しているかで、穴の場所は変わってくる。
(規格は紙の上では完璧に見える。でも、全部を完璧に運用できている組織なんてない。どこかに隙がある)
彼女がとりわけ目をつけていたのは、ISO/IEC 27005だった。リスク管理の専門規格。形式的にしか運用していない組織なら、リスクの洗い出しが甘くなる——そして甘いところには、必ず入れる隙間が生まれる。
(慎也が里見から教わっている。でも、教わるのと実際に動かすのは別だ。焦ることはない。しっかり観察する)
彼女はノートに一行書いた。
「27005の運用深度を確認すること」
🌸 慎也と里見:用語の続きを聞く
翌週。慎也はいつものカフェで里見の向かいに座り、タブレットを開いた。
山本慎也ねえ、27001と27002はなんとなくわかったんだけど……他にも27000番台ってあるよね。あれって全部覚えないといけないの?
高瀬里見試験で全部出るわけじゃないけど、番号ごとの「役割の違い」は知っておいて損はないよ。特に27005、27014、27017あたりは支援士試験でも顔を出すから。
山本慎也番号に意味があるの?
高瀬里見そう。順番通りに「導入→測定→リスク→審査→監査」って流れになってるんだよ。一つずつ見ていこうか。
📖 里見の解説:27003〜27007
ISO/IEC 27003 ——「始め方の手順書」
高瀬里見27003はISMSを「ゼロから導入するときの手順書」。どこから手をつけて、何を準備して、どの順番で進めるかが書いてある。
27001が「何をすべきか(要求事項)」を定めているとすれば、27003は「どうやって始めるか(手順)」を教えてくれる。
例え話:新しいゲームを始めるときの「チュートリアル」。27001がゲーム本編のルール、27003はプレイヤーを最初のステージまで連れて行くガイド役。
ISO/IEC 27004 ——「効果の測り方」
高瀬里見27004はISMSがちゃんと機能しているかを「数値で測る方法」をまとめたもの。PDCAの「Check(評価)」フェーズを支える規格ね。
山本慎也数値って……何を測るの?
高瀬里見たとえば「ウイルス感染件数が先月より何件減ったか」「フィッシング訓練の引っかかり率は何%か」みたいなもの。感覚じゃなくてデータで判断するための規格だよ。
例え話:ダイエットの記録アプリ。体重・体脂肪・歩数を毎日記録して「目標まであと何kg?」「効果は出てる?」を確認するのと同じ発想。
ISO/IEC 27005 ——「リスク管理の専門書」
高瀬里見27005はリスク管理に特化した規格。「どんな脅威があるか洗い出して、どう対処するか」のプロセスが詳しく書いてある。27001でリスク管理は必須だけど、27005はその「深掘り版」ね。
| ステップ | 内容 |
|---|---|
| リスク特定 | 「窓から泥棒が入るかも」 |
| リスク分析 | 「1階の窓は危険度が高い」 |
| リスク評価 | 「まず1階を優先的に守ろう」 |
| リスク対応 | 「防犯センサーをつける」 |
例え話:家の防犯チェックリスト。闇雲に鍵を増やすんじゃなく、「どこから侵入されやすいか」を分析してから対策を立てる。
山本慎也これって、このあと学ぶリスクアセスメントと関係ある?
高瀬里見まさに。27005はリスクアセスメントの「理論的な土台」になってる規格だよ。
リスクアセスメント(risk assessment) 「組織にとってどんな脅威があるか」を洗い出し、その深刻さを評価するプロセス。具体的には「リスク特定 → リスク分析 → リスク評価」の3ステップで構成される。この評価結果をもとに、次のステップ「リスク対応(回避・軽減・転嫁・受容)」に進む。
例え話:旅行前の荷物チェック。「財布を忘れたらどうなる?(特定)」→「現地にATMはある?(分析)」→「まあ最悪なんとかなる…いや絶対持っていこう(評価)」という流れがリスクアセスメント。
ISO/IEC 27006 ——「審査員の資格基準」
高瀬里見27006は、ISMS認証の「審査をする人(審査員)がどんな資格・能力を持つべきか」を定めた規格。
27001が「認証を取るための基準」だとすれば、27006は「認証を与える側(審査員)の基準」。運転免許で言うなら、試験官になるための資格ルール。
例え話:「ちゃんと採点できる試験官じゃないと、免許試験は成立しない」。審査員も適当な人ではいけない、という話。
ISO/IEC 27007 ——「監査のやり方ガイド」
高瀬里見27007はISMSが「ちゃんと動いてるかチェックする方法(監査の手順)」を定めたもの。27006が「誰が審査するか」なら、27007は「どうやって審査するか」ね。
例え話:学校の保健室の定期検査。「救急箱の中身は足りてるか」「消毒液は期限切れじゃないか」をチェックリストで確認するイメージ。
📖 里見の解説:27014と27017
ISO/IEC 27014 ——「経営者向けのガバナンス指針」
高瀬里見27014は経営者・役員向けの規格。「社長や取締役がセキュリティをどう管理・意思決定すべきか」が書いてある。現場じゃなくてトップ向けなのがポイント。
山本慎也社長が読む規格があるんだ……
高瀬里見そう。セキュリティって「現場に任せておけばいい」じゃなくて、経営判断が必要な話も多いから。予算の確保とか、方針決定とか。それをちゃんとトップがやりましょうっていう規格ね。
ガバナンス(governance)とは:
「統治・管理する仕組み」という意味の英単語。組織が正しい方向に向かうよう、経営層が方針を決め、監督し、責任を持つ体制のこと。「誰が決めて、誰が見張るか」を明確にする仕組みとも言える。
ITガバナンスとの関係:27014はISMSの文脈における「情報セキュリティガバナンス」を定めており、ITガバナンス全体(COBIT等)とも連携する。
例え話:学校の校長先生の役割マニュアル。「防災は大事!」と方針を決めて、予算をつけて、定期報告を受けて、改善を指示する——そういう経営層の行動ルール。
ISO/IEC 27017 ——「クラウドサービス専用ガイド」
高瀬里見27017はクラウドを使うときの特有のセキュリティ対策を定めた規格。27002が「一般的な対策集」なら、27017は「クラウド版の追加対策集」って感じ。
クラウドは「自社サーバー」と違い、物理的な設備を管理できない。そのため特有の課題がある:
| クラウド特有の課題 | 内容 |
|---|---|
| データの保管場所 | 国内か海外か、どこのデータセンターか |
| 責任の分界点 | クラウド事業者とユーザーで責任がどう分かれるか |
| バックアップの主体 | 誰が取るか、どこに保存するか |
| サービス停止時の対応 | 可用性の担保をどう契約するか |
例え話:自分の家(自社サーバー)と貸し倉庫(クラウド)の違い。自宅なら鍵も防犯カメラも自分で管理。貸し倉庫は「倉庫会社と自分でどこまで担うか」の取り決めが必要。
山本慎也なるほど……クラウドって便利だけど、責任の範囲が複雑なんだね。
高瀬里見そう。「クラウドだから安全」じゃなくて、「誰が何を守るかを明確にする」のが大事。27017はそのための指針なんだよ。
🗺️ ISMSファミリー全体像
【認証を取る】
27001 ─── 要求事項(何をすべきか)
27002 ─── 対策集(どう対処するか)
【導入・運用を支える】
27003 ─── 導入手順(どうやって始めるか)
27004 ─── 測定・評価(効果を数値で確認)
27005 ─── リスク管理(脅威の洗い出しと対応)
【審査・監査を支える】
27006 ─── 審査員の資格基準
27007 ─── 監査の手順
【特殊な対象】
27014 ─── 経営層向けガバナンス
27017 ─── クラウドサービス専用
🌸 慎也と里見:帰り道で
夕暮れのカフェを出ると、秋の空気がひんやりと頬に触れた。慎也は里見の隣を歩きながら、頭の中で規格番号を整理しようとしていた。
山本慎也……うーん、番号が多くて頭がこんがらがってきた。
高瀬里見全部を暗記しなくていいよ。「役割ごとにグループになってる」ってイメージで覚えるといい。「導入・測定・リスク」で03・04・05、「審査・監査」で06・07、「経営とクラウド」で14・17、みたいな。
山本慎也あ、そのグループで考えると少し楽かも。……でも実際に使うのってどれ?
里見は少し考えてから答えた。
高瀬里見試験で出やすいのは27005と27014かな。27005は「リスク管理の根拠」として、27014は「経営層の関与」として問われることが多い。また、最近は27017もクラウドが絡む問題で出てくる。
山本慎也じゃあその3つは特にしっかり押さえておこう。……ありがとう、また付き合ってもらって。
高瀬里見付き合うって、当たり前でしょ。
里見が少し照れたように前を向いた。慎也は自然と歩調を合わせる。
勉強した内容がこうして日常の会話にまぎれ込んでいく——そのことが、慎也にはどこか嬉しかった。
🖊️ 結城:偵察を続ける
翌日、結城はリストを更新した。
(27005……リスク管理の運用実態を調べる必要がある。資産台帳の更新頻度、脅威評価の記録があるかどうか。書類上は整っていても、実際の更新サイクルが止まっている組織は多い)
(27014……経営層の関与。これが形骸化しているなら、いざ問題が起きたとき意思決定が遅れる。それが私には好都合だ)
(27017……クラウドの責任分界点。どこが自社管理で、どこがベンダー任せか。境界が曖昧なところに隙が生まれる)
彼女の分析は、教科書的なレビューではなかった。それは攻撃者の視点——どの規格がどれだけ「形式だけ」になっているかを見極める、実戦的な読み方だった。
(慎也が学べば学ぶほど、メタCも強くなっていく。でも……規格を知っているだけじゃ、守れない。使えていなければ意味がない)
彼女は静かにスクリーンを閉じた。
(急ぐことはない。隙は、必ず見つかる)
コメント