セキュリティとコンプライアンスのISO 27000規格

セキュリティとコンプライアンスは、常に動く標的のように感じられるかもしれません。これらは常に変動しており、お客様のチームが新しいSaaSツールを追加するような小さな予定や、規制当局がガイダンスを更新するような大きな予定によって影響を受けます。一方で、本当のリスクは変わりません。基本事項が一貫していない、文書化されていない、または適用が難しいため、機密情報が結果的に漏えいしてしまう可能性があるのです。

大きな課題の1つは、多くの企業がさまざまなソリューションを購入するものの、統合されたシステムを構築していないことです。コントロールが異なるソフトウェアや、個々の人に依存するプロセスに分散しているため、どのような情報が存在し、どこに流れ、誰がアクセスできるのかについて、誰も信頼できる見解を持っていません。

規格のISO 27000ファミリーは、多くの組織に欠けているもの、すなわち情報セキュリティとコンプライアンスを1回限りのプロジェクトとしてではなく、継続的なプログラムとして管理するための構造化された方法を提供することで、この問題にアドレスします。何を保護するのかを定義し、リスクを評価し、コントロールを導入し、途中でクリアな説明責任を持ちながら改善し続けるのに役立ちます。

本記事では、ISO 27000とは何か、ほとんどの企業がデータを保護するためにアドレスする必要がある中核となるコントロール領域、およびProton Pass for Businessが摩擦を追加することなくISOに準拠した認証情報とアクセスコントロールをどのようにサポートするかについて説明します。

ISO 27000の解説

セキュリティとコンプライアンスにおいてISO 27000が重要である理由

企業がアドレスしなければならないISO 27000の主要なコントロール領域とは？

アクセスとパスワードの管理は、ISO 27000をどのようにサポートしますか？

Proton Pass for Businessは、ISO 27000の原則とどのように整合していますか？

ISO 27000の解説

ISO 27000は、情報セキュリティを管理するための国際規格のファミリーです。リスクを特定し、コントロールを選択し、監査中だけでなくセキュリティ作業が継続的に行われていることを証明するための構造化されたパスを提供することで、組織が情報セキュリティマネジメントシステム（ISMS）を構築するのを支援します。

実際には、ISO 27000は2つの意味を持つ場合があります。

ISO/IEC 27000（規格自体）：ISMSに関連するさまざまな用語や定義を提供する規格。
ISO/IEC 27000シリーズ（ファミリー）：ISMSの設計、運用、および改善方法を導く関連規格のセット。

このファミリーの中心となるISO/IEC 27001は、ISMSの要件を定義し、認証に使用されます。その周辺にある関連規格は、コントロール、リスク管理、監査、プライバシーなどに関するガイダンスを提供します。

ISO 27001：その概要と認証が意味するもの

お客様の顧客やクライアントからISO認証を取得しているか尋ねられた場合、彼らは通常、ISO/IEC 27001認証を指しています。

ISO/IEC 27001は、ISMSの確立、導入、維持、および継続的な改善に関する要件を定めています。これは意図的に管理に焦点を当てたアプローチを採用しており、お客様に以下のことを要求します。

保護すべき情報を把握する。
お客様の状況におけるリスクを理解する。
ポリシーと責任を定義する。
リスクを軽減するコントロールを選択する。
それらのコントロールが機能しているかを測定する。
機能していない場合は改善する。

ISO 27001は、その分野横断的な性質から、調達、セキュリティレビュー、およびコンプライアンスプログラムにおいて広く参照されています。また、利害関係者に信頼のための共通言語を提供します。

ISO 27000規格のリスト

ISO/IEC 27000ファミリーには多くの規格があります。暗記する必要はありませんが、それらがどのように組み合わさっているかを理解しておくと役立ちます。簡単に言うと、多くの組織は次のようにこのファミリーを使用しています。

ISO/IEC 27000：概要および語彙（共有された定義）。
ISO/IEC 27001：ISMS要件（認証可能な規格）。
ISO/IEC 27002：コントロールのガイダンス（コントロールと導入ガイダンスの実用的なカタログ）。
ISO/IEC 27005：リスク管理のガイダンス（情報セキュリティリスク管理を構築する方法）。
ISO/IEC 27007およびTS 27008：監査のガイダンス（ISMSとコントロールを評価する方法）。
ISO/IEC 27017：クラウドセキュリティのガイダンス（クラウド環境向けの追加のコントロールと明確化）。
ISO/IEC 27701：プライバシーの拡張機能（ISMSの上にプライバシー管理を構築する方法）。

お客様の業界や規制への曝露によっては、アンケートで分野固有のガイダンスや追加のISO規格が参照されているのを目にするかもしれません。すべての文書を取り入れる必要はありません。代わりに、一貫したアプローチを採用することが重要です。

セキュリティとコンプライアンスにおいてISO 27000が重要である理由

セキュリティとコンプライアンスは、しばしば別々の作業の流れとして扱われます。

セキュリティチームは、脅威、インシデント、および技術的なコントロールに焦点を当てます。
コンプライアンスチームは、ポリシー、監査、および文書化に焦点を当てます。

ISMSのアプローチでは、リスク管理、コントロールの導入、および証拠を同じシステムの一部として扱うため、ISO 27000はお客様がこれらを統合するのに役立ちます。

ISO 27000の統合された視点がもたらす主なメリットは次のとおりです。

断片化されたコントロールをシステムに置き換える

よくある失敗のモードは以下のようになります。

パスワードのルールが人事のオンボーディングチェックリストに記載されている。
アクセスの見直しが定期的にではなく、場当たり的に行われている。
資産の目録が古い。
インシデント対応プランは存在するが、誰もテストしていない。
従業員はトレーニングを受けているが、行動が変わらない。

各アイテムが存在していても、一貫性がなく、測定されておらず、適切に所有されていないため、システムは失敗します。代わりに、ISOに準拠したセキュリティは、長期的なコントロールにつながる管理ループを作成します。

システム全体は次の手順に従って実行されます。

スコープと情報資産を定義する。
リスクを評価する。
コントロールを選択し、導入する。
結果を監視し、測定する。
継続的に改善する。

主張するだけでなく、行っていることを証明するのに役立つ

多くの規則やお客様の期待は、同じテーマに従っています。それは、お客様の作業を表示することです。

誰が機密データへのアクセス権を持っていますか？
不正アクセスをどのように防ぎますか？
インシデントにどのように対応しますか？
侵害の可能性をどのように減らしますか？
従業員が安全なプロセスに従うことをどのように確保しますか？

ISO 27000は、文書化されたポリシー、割り当てられた責任、および繰り返し可能なプロセスを奨励しており、これにより監査やサードパーティのレビューに必要な証拠の記録が作成されます。言い換えれば、お客様のビジネスをデータ侵害防止のベストプラクティスの採用へと後押しします。

お客様の組織に合わせて拡張する

個人の記憶に依存するセキュリティは拡張しません。しかし、ISOに準拠したセキュリティは、次のように構築されているため拡張します。

明確に定義された役割と説明責任。
人員の変更があっても存続する標準プロセス。
コントロールの所有権（各コントロール領域に責任者がいること）。
継続的な改善（ビジネスとともにセキュリティも進化する）。

そのため、ISO 27001は、急速に成長している小規模ビジネスと、複雑な業務を管理している確立された組織のどちらにも関連しています。

ガバナンスと意思決定を改善する

強力なISMSは、リーダーシップにリスクに関する情報に基づいた意思決定を行うための方法を提供します。セキュリティにさらに投資するという構造化されていないプランを立てる代わりに、ISOに準拠したプログラムは、よりクリアで構造化された決定をサポートします。

当社のビジネスおよびクライアントにとって、どのリスクが最も重要か？
どのコントロールがそれらのリスクを効果的に軽減するか？
アクセスが制御されていないため、どこで脅威にさらされているか？
今日、利害関係者にどのような証拠を提供できるか？
次の四半期に何を改善する必要があるか？

企業がアドレスしなければならないISO 27000の主要なコントロール領域とは？

ISO 27000およびISO 27001は、すべての組織に適用される単一のチェックリストを使用するよう強制するものではありません。これらは、リスクを特定し、適切なコントロールを選択することを要求します。そうは言っても、ほとんどの企業は情報を保護し、コンプライアンスの期待をサポートするために、共通する一連のコントロール領域にアドレスする必要があります。

以下に、ISOに準拠したセキュリティプログラムにきれいにマッピングされる7つの基本的な実践を示します。認証の準備をしている場合でも、より強力なデータ保護を構築している場合でも、これらを実用的なベースラインとして使用してください。

1. どのような情報を持っているか、どこにあるかを把握する

見えないものを保護することはできません。情報資産管理は可視性から始まります。

どのような機密情報を保存しているか（クライアントのデータ、認証情報、財務データ、知的財産）？
どこにあるか（デバイス、クラウドアプリ、共有ドライブ、メール、パスワード保管庫）？
誰が所有しているか（どのチームが説明責任を負うか）？
どのように移動するか（共有、エクスポート、統合、ベンダー）？

これは単なる作業ではなく、他のすべてのコントロールの基盤となります。お客様のビジネスが機密性の高いクライアント情報を扱う場合、コンサルティング会社、法務サービス、代理店、およびセキュリティプロバイダーでは一般的ですが、可視性は制御されたアクセスと偶発的な漏えいの分かれ目となります。

実用的な手順は次のとおりです。

シンプルな資産の目録を構築する：システム、データの種類、所有者、およびアクセスパス。
データの分類を定義する（例：公開、内部、機密）。
アクセスの決定を分類に結び付ける（機密データにはより厳格なコントロールを適用する）。

2. アクセスコントロールを技術的な設定としてではなく、ビジネスプロセスとして定義する

アクセスコントロールは、不正アクセス、内部者の悪用、およびアカウントの乗っ取りの可能性を直接的に軽減するため、最も影響の大きいコントロール領域の1つです。

強力なISOに準拠したアクセスコントロールのアプローチには、通常以下が含まれます。

アクセスに関する定義されたポリシー（誰がアクセスを得るか、承認の仕組み、例外の処理方法）。
職務の責任に合わせた役割ベースのアクセス。
オンボーディング、オフボーディング、および役割の変更プロセス。
リスクの高いシステムに対する定期的なアクセスの見直し。
強力な認証の標準。

よく問題になるのはポリシーではなく、運用です。アクセスの変更は簡単に起こります。請負業者や元従業員がシステムに残っていたり、共有されたパスワードがチャットスレッドに残っていたりします。こうしたギャップがセキュリティインシデントになります。しかし、次の実用的な手順に従うことができます。

役割と、それぞれに必要な最小限のアクセスを定義する。
可能な場合はユーザー情報を一元化する（シングルサインオンまたはSSOが役立ちます）。
オフボーディングを人事タスクとしてではなく、セキュリティ上重要なプロセスとして扱う
安全な共有ルールを設定し、企業のポリシーで適用する。

3. パスワードの管理を習慣としてではなく、コントロールとして扱う

脆弱なパスワードは、基本的なユーザーの問題ではありません。これらは、お客様のチームが便利なパスワード管理なしに数十ものビジネスツールを使用した場合に予測される結果です。その状況では、次のようなことが見られます。

アカウント間で使い回されているパスワード。
ガバナンスなしにブラウザに保存されたパスワード。
メールやチャットで共有されるパスワード。
文書に一時的に保管済みの認証情報。
誰も共有された認証情報をローテーションしないため、アクセスを保持し続ける元従業員。

ISOに準拠したセキュリティプログラムは、パスワードの管理を正式なコントロール領域として扱います。つまり、組織がどのように認証情報を作成、保存、共有、および失効するかを定義します。

ビジネス向けパスワードマネージャーは、測定可能な方法でそのコントロールをサポートし、さらに強制力のあるチームのポリシー、2要素認証（2FA）、パスワードの健全性チェック、および使用状況のログを備えています。

固有のパスワードを簡単に作成できるようにすることで、パスワードの使い回しを排除します。
自動入力と直感的なインターフェースを通じてログインを迅速化することで、定着率を向上させます。
シークレットを漏えいさせることなく、安全な共有を可能にします。
（ソリューションに応じて）管理上の可視性を提供します。
アクセス管理を一元化することで、オフボーディングをサポートします。

これが、セキュリティアンケートやコンプライアンス評価においてパスワード管理が繰り返し表示される理由です。認証情報は、多くの場合、侵害の最初の一歩となります。たとえば、LastPassの侵害は、認証情報のリスクが理論上のものではないことを思い出させてくれます。

4. リスク評価を反復可能なサイクルとして実行する

ISOに準拠したセキュリティは、完璧であることを求めているわけではありません。実際には、慎重であることを求めています。リスク評価とは、何を最初に行うか、そしてその理由をどのように決定するかに関するものです。

お客様の組織に関連する脅威を特定する。
脆弱性とコントロールのギャップを検出する。
可能性と影響を見積もる。
リスクの扱い方（軽減、移転、受容、回避）を決定する。
行動を追跡し、進捗状況を見直す。

リスクは、一度文書化して忘れてよいものではありません。ビジネスが成長するにつれて、ツールも進化します。新しい脅威が出現するにつれて、お客様のリスク評価もそれに対応し、定期的なペース（四半期に1回、または年に2回）で、さらに大きな変更があった場合にはその都度追加の見直しを行う必要があります。

最も機密性の高いデータと重要なシステムに焦点を当てることから始め、次に一貫した採点アプローチを使用して、チームが時間の経過とともにリスクを比較できるようにします。最後に、リスクの修復を他のビジネスプロジェクトと同様に扱い、クリアな所有者、期限、および進捗状況の可視性を確保します。

5. 対応が必要になる前にインシデントに備える

インシデントは避けられないものですが、どれだけ真剣にプランを立てるかは任意です。インシデント管理には以下を含める必要があります。

クリアな定義（何がインシデントに該当するか、誰が決定するか）。
役割とエスカレーション（誰がリードするか、誰がコミュニケーションを取るか、誰が文書化するか）。
封じ込め手順（被害をどのように食い止めるか）。
回復手順（システムとアクセスをどのように復元するか）。
インシデント後の見直し（再発を防ぐために何を変更するか）。

アクセスと認証情報は、多くのインシデントの中心にあります。攻撃者がアカウントに侵入した場合、お客様の対応は、以下のことをどれだけ迅速に実行できるかに依存することがよくあります。

アクセスを失効させる。
認証情報をローテーションする。
どのシステムにアクセスされたかを特定する。
誰がいつ何をしたかを確認する。

これらのアクションが手動であったり、遅かったり、一貫性がなかったりすると、インシデントは拡大します。これらがお客様のコントロールに組み込まれていれば、インシデントは封じ込められたままになります。

6. 従業員の意識を日常業務に組み込む

ほとんどのセキュリティ障害は洗練されたものではなく、人為的なエラーであるため、セキュリティ文化は重要です。パスワードの使い回し、不適切なアクセスの共有、実際に何が必要かを確認せずにリクエストを承認すること、標的型フィッシング詐欺に引っかかることなどは、セキュリティを危険にさらす可能性のある行動のほんの一例です。

ISOに準拠した意識啓発は、年に1回のトレーニングだけではありません。それはまた、以下のことを意味します。

実際のワークフローに合ったクリアなルール。
セキュリティの専門家にならなくても従うことができるシンプルなガイダンス。
オンボーディング、リマインダー、およびリーダーシップの行動を通じた強化。

お客様のセキュリティプログラムは、安全な選択を最も抵抗の少ないパスにする必要があります。

7. 改善を事後対応としてではなく、セキュリティの一部として扱う

ISOに基づくセキュリティは、継続的な改善を中心に構築されています。立ち止まっているセキュリティは時代遅れになるため、これはフレームワークの中で最も価値のある部分の1つです。

継続的な改善には以下が含まれます。

（存在するだけでなく）コントロールが機能するかどうかを測定する。
プロセスを監査し、ギャップを特定する。
是正措置を追跡する。
テクノロジー、ベンダー、および脅威の変化を見直す。
現実が変化したときにポリシーを更新する。

ここが、ISO 27000が単なる認証プロジェクトではなく、基盤となる部分です。たとえ認証を決して追求しなくても、管理サイクルによって時間の経過とともにお客様のレジリエンスが向上します。

OpenAIベンダーの侵害のようなインシデントは、監査中だけでなく、継続的にベンダーリスクを見直す必要がある理由を表示します。

アクセスとパスワードの管理は、ISO 27000をどのようにサポートしますか？

アクセスコントロールとパスワードの管理は、より広範なセキュリティトピックと比較すると狭く聞こえるかもしれません。実際には、これらは以下に影響を与えるため、改善できる最も活用されるコントロールの1つです。

データの機密性（誰が機密情報を見ることができるか）。
完全性（誰がそれを変更または削除できるか）。
可用性（アカウントを乗っ取ることで誰がお客様を締め出すことができるか）。
コンプライアンス（アクセスが制御されていることを誰が証明できるか）。

アクセスコントロールはデータ保護が現実のものとなる場所

ほとんどのデータ保護の失敗は、アクセスが意図したよりも広範囲に及ぶために発生します。ISMSアプローチは、具体的な質問に答えるようお客様を後押しします。

どの役割がどのシステムへのアクセスを必要としているか？
アクセスをどのように承認するか？
アクセスをどのように迅速に失効させるか？
機密システムへのアクセスをどのように見直すか？
認証が十分に強力であることをどのように確保するか？

パスワードの管理は、制御されていない認証情報の無秩序な広がり、特に共有された認証情報や場当たり的なストレージを減らすことで、これらの答えをサポートします。

パスワードマネージャーはシャドウアクセスの問題を軽減する

シングルサインオンを使用している場合でも、ユーザー情報プロバイダーの外部には常に認証情報が存在します。

SSOをサポートしていないベンダーのポータル。
運用ツール用の共有アカウント。
IT部門が関与せずにチームによって作成されたアカウント。
作成されたプロジェクトの終了後も存続するアカウント。

これらのアカウントはシャドウアクセスを生み出します。人々が通常の承認フロー外のシステムに入り込むことができ、オフボーディングに抜け漏れが生じ、監査が混乱状態に陥ります。ビジネス向けパスワードマネージャーは、これらの認証情報をコントロール下に戻すため、デフォルトで安全に共有が行われ、アクセスの変更が意図的に行われるようになります。

認証情報のコントロールは、フレームワーク全体のコンプライアンスの期待をサポートする

コンプライアンスのフレームワークは、構造や用語が異なる場合がありますが、強力な認証、最小特権でのアクセス、機密情報への不正アクセスからの保護、コントロールが機能しているというクリアな証拠、そしてギャップが見つかった場合の継続的改善へのコミットメントという、同じ成果を目指す傾向があります。

ISOに準拠したアクセスコントロールとパスワードの管理は、これらの期待を直接サポートします。また、アクセスが実際にはどのように機能するかを紙の上で説明するだけでなく、表示できるため、セキュリティのレビューも容易になります。

Proton Pass for Businessは、ISO 27000の原則とどのように整合していますか？

ISO 27000は、お客様に必要な構造を提供します。難しいのは、その構造をチームが毎日従うことのできる習慣に変えることです。特にアクセスに関しては、小さなショートカット（使い回されたパスワード、チャットで共有された認証情報、決して整理されないアカウントなど）が、堅牢なセキュリティプログラムを密かに弱体化させる可能性があります。

当社のビジネス向けパスワードマネージャーは、ビジネス全体でパスワードセキュリティの管理を強化し、お客様のチームの速度を落とすことなく、ISOに準拠したアクセスおよび認証情報コントロールを実践するのに役立ちます。お客様のチームは、強力で固有のパスワードを生成し、エンドツーエンド暗号化の保管庫に保存できるため、シークレットがブラウザ、スプレッドシート、または受信トレイに散在することはありません。また、組み込みの2要素認証（2FA）を使用し、メッセージにパスワードをコピーすることなく、安全にアクセスを共有できます。

共有および主要なアカウントのアクションは、使用状況レポートとアクティビティログを通じて見直すことができ、監査時だけでなく通常の運用の一環として、お客様の組織の成長に合わせて作成されるよう設計されたISOプログラムの説明責任をサポートします。

ISOはまた、信頼できる、そして検証できるセキュリティを評価します。ISO 27001認証済みのISMS、オープンソースのコード、および独立した監査を備えたProton Passは、スイスの管轄権と社内で所有および運用されるコアインフラストラクチャに裏付けられ、検証可能なセキュリティを求める組織のために構築されています。

データ保護においてISO 27000に準拠したアプローチを構築している場合、アクセスはチームが触れるすべてのシステムに影響するため、始めるのに最適な部分の1つです。

Protonの実用的なセキュリティ電子書籍をダウンロードして、成長中のビジネスがすぐに効果が出る対策を導入し、チームとともに拡張する長期的なセキュリティ戦略を構築してください。