ISO 27001 とは？

ISO/IEC 27001 は、認証機関である 国際標準化機構 （ISO）と IEC（国際電気標準会議）によって考案され、国際的に認められた情報セキュリティ規格です。ISO 27001 は ISO 27001:2013 などの複数の改定を経ており、最新版は ISO/IEC 27001:2022 です。

ISO 27001 は、情報セキュリティ管理システム（ISMS）の「確立、実装、維持、継続的な改善」に関する要件を含むガイドラインとフレームワークを提供します。ISO 27001 には 93 項目のリスク管理が含まれていますが、ISO 27001 規格の準拠にそれらすべてが求められるわけではありません。ISO 27001 の準拠とは、組織のリスクレベルを理解し、情報資産に対するリスクを緩和するために 93 項目の管理のうちどれが最も適切であるかを判断することを意味します。

ISO 27001 は、知的財産などの組織の機微な情報を保護するポリシーと手順を含む ISO 27001 ISMS フレームワークを確立することを求めています。このフレームワークは、情報セキュリティ管理に必要なプロセス、人、テクノロジー、手順を土台として、システムとデバイスのセキュリティを確保し、データの誤用、漏えい、破壊、改ざん、損壊につながる不正アクセスからデータを保護します。さらに、ISMS のポリシーと手順は、リスク評価を通じてサイバー攻撃や内部者の脅威に起因するデータリスクを軽減するのに役立ちます。また、ISMS は、データの完全性、機密性、可用性を高め、一般データ保護規則（GDPR）などのデータ保護およびプライバシーに関する規制を遵守するのにも有用です。

Akamai のセキュリティソリューションは、脆弱性を狙った攻撃、マルウェアの脅威（ランサムウェアを含む）、データ漏えい、DDoS 攻撃を防ぎます。Akamai は、あらゆるもの、あらゆる場所にセキュリティを組み込み、顧客体験、従業員、システム、個人データ、機微な情報を保護します。Akamai のグローバルプラットフォームを利用することで、組織は既存の脅威や新たな脅威を検知して阻止し、変化するセキュリティ状況に適応できるようになります。これは、ISO 27001 に準拠した状態を維持し、セキュリティを継続的に改善するために不可欠です。ゼロトラストの要素を含む Akamai のプラットフォームは、ISO 27001 に準拠した環境を構築して、資産、アクセス制御、ネットワークフローを詳細に可視化し、セキュリティポリシーをきめ細かく実行するために役立ちます。

ISO 27001 には、組織、人、物理、技術の各領域の管理が含まれています。すべてのセクターが、重要なシステムやサービスへのアクセスを悪用する人間中心のサイバー脅威のリスクにさらされています。

ISO 27001 規格の管理目標には基本的にゼロトラスト・セキュリティのアプローチが採用されており、以下の管理が含まれています。

• アクセス制御（情報やその他の関連資産への物理的および論理的なアクセス制御の確立）
• 特権的アクセス権限（「最小権限」アクセスの確保）
• ネットワークの分離（ゼロトラスト・セキュリティ・アプローチの一環）

これらの管理は、組織がゼロトラスト環境を確立するのに役立ちます。

以下では、ISO 27001 に基づいてゼロトラストを実践することでメリットを得られるセクターの例を 3 つ紹介します。

重要インフラにおける ISO 27001 

重要インフラへの攻撃は、甚大な影響を及ぼします。最近の例としては、米国の石油サプライヤーである Colonial Pipeline で発生したセキュリティインシデントが挙げられます。その影響は米国南西部全体に及びましたが、このインシデントでオペレーションセキュリティが回避され、同社がランサムウェアに感染した原因は、たった 1 件のパスワード侵害でした。重要インフラには、公益事業、化学メーカー、交通機関など、多くの重要なサービスが含まれます。これらのサービスは重要性が極めて高いため、ハッカーにとっては魅力的なターゲットとなります。焦点となる主な領域は、巨大なサプライチェーンまでも標的とした不正アクセスと認証情報の露出です。広範なインターネットへの接続が増加したことや、現代的な結合型産業ユニットによってアタックサーフェスが拡大したことにより、しっかりと閉鎖された重要なシステムに攻撃者が侵入できるようになりました。ISO 27001 とそれに関連する情報セキュリティポリシーや手順を導入することで、重要インフラに対するサイバー攻撃のリスクを緩和できます。

ヘルスケアにおける ISO 27001 

ヘルスケアセクターは広範であり、サイバー犯罪者にとって理想的なターゲットです。このセクターはデータリッチで、重要なインフラであり、テクノロジーやサプライヤーとの関係に大きく依存しています。そのため、ヘルスケア機関は、データ漏えいやランサムウェアなど、さまざまな形態のサイバー攻撃のリスクにさらされています。FBI の Internet Crime Complaint Center （IC3）が発表した最近のレポートによると、2022 年には他のどの重要インフラセクターよりもヘルスケアセクターを標的としたランサムウェア攻撃に関する報告が多く寄せられました。ISO 27001 では認証の一環として ISMS を導入することが厳格に求められており、複雑なサービスであるヘルスケアはそこからメリットを得ることができます。ゼロトラストのアプローチで情報セキュリティリスクに対処することにより、ヘルスケア機関は機微な情報へのアクセスを制御し、重要なシステムやサービスの管理を維持することができます。

金融サービスにおける ISO 27001 

2023 年に 51 か国で実施された 国際通貨基金 （IMF）の調査では、金融機関に対するサイバー脅威が「急増」しており、当該セクターによる適切な対応が急務であることが判明しました。金融業界は、ランサムウェア、データ漏えい、DDoS 攻撃など、さまざまなサイバー攻撃を受けています。また、 2022 Verizon Data Breach Investigation Report では、金融セクターに対する攻撃のタイプが「基本的な Web アプリケーション攻撃、システム侵入、各種エラー」に分けられており、これらが侵害の 79% を占めています。また、このレポートでは、当該セクターのほとんどの攻撃において盗まれた認証情報が不可欠な要素となっていることが強調されています。ISO/IEC 27001 は、金融セクターがゼロトラストのアプローチで不正アクセスに対処するためのメカニズムを提供します。

データセキュリティは競争上の強みであることが認められています。ISO 27001 認証を取得することで、企業は顧客、クライアント、その他のステークホルダーに対して、情報セキュリティを真剣に受け止め、事業継続性管理を実施していることを証明できます。ISO 27001 に準拠することは、ISMS をベースにした安全な環境を構築し、データ・セキュリティ・リスクを緩和して、事業に関わる企業のリスクを最小限に抑えることを意味します。

認証取得プロセスを進め、情報セキュリティの脅威を管理してインシデント管理を改善する一連の制御を導入する過程で、組織はデータセキュリティのギャップ分析を実施し、サイバー攻撃や偶発的なデータ露出のリスクを低減することとなります。これにより、データ漏えいが減少し、規制違反に対する罰金やその他の罰則が科される可能性が低下します。

ISO 27001 の管理項目とフレームワークは、GDPR や NIST CSF（サイバーセキュリティフレームワーク）など、他のデータ保護規制にも対応しています。したがって、ISO 27001 認証を取得することで、これらの他のデータ保護規制に準拠することができます。