クラウドコンピューティングが必要ですか? 今すぐ始める

ISO 27001 とは?

ISO/IEC 27001 は、認証機関である 国際標準化機構 (ISO)と IEC(国際電気標準会議)によって考案され、国際的に認められた情報セキュリティ規格です。ISO 27001 は ISO 27001:2013 などの複数の改定を経ており、最新版は ISO/IEC 27001:2022 です。

ISO 27001 は、情報セキュリティ管理システム(ISMS)の「確立、実装、維持、継続的な改善」に関する要件を含むガイドラインとフレームワークを提供します。ISO 27001 には 93 項目のリスク管理が含まれていますが、ISO 27001 規格の準拠にそれらすべてが求められるわけではありません。ISO 27001 の準拠とは、組織のリスクレベルを理解し、情報資産に対するリスクを緩和するために 93 項目の管理のうちどれが最も適切であるかを判断することを意味します。

ISO 27001 とデータセキュリティ

ISO 27001 は、知的財産などの組織の機微な情報を保護するポリシーと手順を含む ISO 27001 ISMS フレームワークを確立することを求めています。このフレームワークは、情報セキュリティ管理に必要なプロセス、人、テクノロジー、手順を土台として、システムとデバイスのセキュリティを確保し、データの誤用、漏えい、破壊、改ざん、損壊につながる不正アクセスからデータを保護します。さらに、ISMS のポリシーと手順は、リスク評価を通じてサイバー攻撃や内部者の脅威に起因するデータリスクを軽減するのに役立ちます。また、ISMS は、データの完全性、機密性、可用性を高め、一般データ保護規則(GDPR)などのデータ保護およびプライバシーに関する規制を遵守するのにも有用です。

Akamai を利用して ISO 27001 に準拠

Akamai のセキュリティソリューションは、脆弱性を狙った攻撃、マルウェアの脅威(ランサムウェアを含む)、データ漏えい、DDoS 攻撃を防ぎます。Akamai は、あらゆるもの、あらゆる場所にセキュリティを組み込み、顧客体験、従業員、システム、個人データ、機微な情報を保護します。Akamai のグローバルプラットフォームを利用することで、組織は既存の脅威や新たな脅威を検知して阻止し、変化するセキュリティ状況に適応できるようになります。これは、ISO 27001 に準拠した状態を維持し、セキュリティを継続的に改善するために不可欠です。ゼロトラストの要素を含む Akamai のプラットフォームは、ISO 27001 に準拠した環境を構築して、資産、アクセス制御、ネットワークフローを詳細に可視化し、セキュリティポリシーをきめ細かく実行するために役立ちます。

ISO 27001 が組織に与える影響

ISO 27001 には、組織、人、物理、技術の各領域の管理が含まれています。すべてのセクターが、重要なシステムやサービスへのアクセスを悪用する人間中心のサイバー脅威のリスクにさらされています。

ISO 27001 準拠の管理カテゴリーを示す図

ISO 27001 規格の管理目標には基本的にゼロトラスト・セキュリティのアプローチが採用されており、以下の管理が含まれています。

  • アクセス制御(情報やその他の関連資産への物理的および論理的なアクセス制御の確立)
  • 特権的アクセス権限(「最小権限」アクセスの確保)
  • ネットワークの分離(ゼロトラスト・セキュリティ・アプローチの一環)

これらの管理は、組織がゼロトラスト環境を確立するのに役立ちます。

以下では、ISO 27001 に基づいてゼロトラストを実践することでメリットを得られるセクターの例を 3 つ紹介します。

重要インフラにおける ISO 27001 

重要インフラへの攻撃は、甚大な影響を及ぼします。最近の例としては、米国の石油サプライヤーである Colonial Pipeline で発生したセキュリティインシデントが挙げられます。その影響は米国南西部全体に及びましたが、このインシデントでオペレーションセキュリティが回避され、同社がランサムウェアに感染した原因は、たった 1 件のパスワード侵害でした。重要インフラには、公益事業、化学メーカー、交通機関など、多くの重要なサービスが含まれます。これらのサービスは重要性が極めて高いため、ハッカーにとっては魅力的なターゲットとなります。焦点となる主な領域は、巨大なサプライチェーンまでも標的とした不正アクセスと認証情報の露出です。広範なインターネットへの接続が増加したことや、現代的な結合型産業ユニットによってアタックサーフェスが拡大したことにより、しっかりと閉鎖された重要なシステムに攻撃者が侵入できるようになりました。ISO 27001 とそれに関連する情報セキュリティポリシーや手順を導入することで、重要インフラに対するサイバー攻撃のリスクを緩和できます。

ヘルスケアにおける ISO 27001 

ヘルスケアセクターは広範であり、サイバー犯罪者にとって理想的なターゲットです。このセクターはデータリッチで、重要なインフラであり、テクノロジーやサプライヤーとの関係に大きく依存しています。そのため、ヘルスケア機関は、データ漏えいやランサムウェアなど、さまざまな形態のサイバー攻撃のリスクにさらされています。FBI の Internet Crime Complaint Center (IC3)が発表した最近のレポートによると、2022 年には他のどの重要インフラセクターよりもヘルスケアセクターを標的としたランサムウェア攻撃に関する報告が多く寄せられました。ISO 27001 では認証の一環として ISMS を導入することが厳格に求められており、複雑なサービスであるヘルスケアはそこからメリットを得ることができます。ゼロトラストのアプローチで情報セキュリティリスクに対処することにより、ヘルスケア機関は機微な情報へのアクセスを制御し、重要なシステムやサービスの管理を維持することができます。

金融サービスにおける ISO 27001 

2023 年に 51 か国で実施された 国際通貨基金 (IMF)の調査では、金融機関に対するサイバー脅威が「急増」しており、当該セクターによる適切な対応が急務であることが判明しました。金融業界は、ランサムウェア、データ漏えい、DDoS 攻撃など、さまざまなサイバー攻撃を受けています。また、 2022 Verizon Data Breach Investigation Report では、金融セクターに対する攻撃のタイプが「基本的な Web アプリケーション攻撃、システム侵入、各種エラー」に分けられており、これらが侵害の 79% を占めています。また、このレポートでは、当該セクターのほとんどの攻撃において盗まれた認証情報が不可欠な要素となっていることが強調されています。ISO/IEC 27001 は、金融セクターがゼロトラストのアプローチで不正アクセスに対処するためのメカニズムを提供します。

ISO 27001 のビジネス上のメリット

データセキュリティは競争上の強みであることが認められています。ISO 27001 認証を取得することで、企業は顧客、クライアント、その他のステークホルダーに対して、情報セキュリティを真剣に受け止め、事業継続性管理を実施していることを証明できます。ISO 27001 に準拠することは、ISMS をベースにした安全な環境を構築し、データ・セキュリティ・リスクを緩和して、事業に関わる企業のリスクを最小限に抑えることを意味します。

認証取得プロセスを進め、情報セキュリティの脅威を管理してインシデント管理を改善する一連の制御を導入する過程で、組織はデータセキュリティのギャップ分析を実施し、サイバー攻撃や偶発的なデータ露出のリスクを低減することとなります。これにより、データ漏えいが減少し、規制違反に対する罰金やその他の罰則が科される可能性が低下します。

ISO 27001 の管理項目とフレームワークは、GDPR や NIST CSF(サイバーセキュリティフレームワーク)など、他のデータ保護規制にも対応しています。したがって、ISO 27001 認証を取得することで、これらの他のデータ保護規制に準拠することができます。

よくある質問(FAQ)

ISO 27001 は、組織全体における ISMS の設計と導入を中心としています。SOC 2 は、これを達成するための包括的なセキュリティフレームワークを提供します。SOC 2 に準拠するためには、情報保護のための一連の重要なセキュリティ管理を導入していることを証明する必要があります。つまり、ISO 27001 は ISMS の総合的な開発と導入を求めているのに対し、SOC 2 はセキュリティ管理に関する厳密な監査に重点を置いています。

さらに、ISO 27001 は国際的に認められた認証規格であるという点でも異なります。SoC 2 は、独立公認会計士(CPA)が実施する一連の監査です。

ISO/IEC 27001 は、ISMS の要件を定めた国際規格として広く認知されており、情報セキュリティリスクが管理されていることを保証する必要がある、あらゆる規模または種類の組織が利用しています。これには、中小企業、大企業、非営利団体、行政機関など、公共部門と民間部門の両方の組織が含まれます。

ISO 27001 と呼ばれることもありますが、情報セキュリティ管理の要件に関する国際規格の正式な略称は ISO/IEC 27001 です。これは、ISO と国際電気標準会議(IEC)が共同で制定しているためです。この番号は、ISO の分科委員会 27(情報セキュリティ、サイバーセキュリティ、プライバシー保護に関する分科委員会)と IEC の情報技術に関する合同技術委員会(ISO/IEC JTC 1)の責任の下で制定されたことを表しています。

ISO/IEC 27001 認証は、組織が情報を安全に管理できることを証明する方法の一つです。認証機関が証明書を発行することは、認証機関が独立した立場から被認証機関の能力を確認したことを意味するため、被認証機関は証明書を保持することで自信が得られます。ロゴを使用して認証を保有していることを示す場合は、証明書を発行した認証機関に問い合わせる必要があります。また、単に「ISO 27001 認証」などと表示するのではなく、たとえば「ISO/IEC 27001:2022 認証」のように規格の完全な名称を表示しなければなりません。

Akamai が選ばれる理由

Akamai はサイバーセキュリティとクラウドコンピューティングを提供することで、オンラインビジネスの力となり、守っています。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバルエンタープライズが、自社ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識の提供について Akamai に信頼を寄せています。

Akamai の全セキュリティソリューションをご紹介