ISO 27001とは|情報セキュリティマネジメントの国際規格

ISO/IEC 27001は情報セキュリティマネジメントシステム（ISMS）の要求事項を定めた国際規格であり、2005年に英国規格BS 7799-2を母体として初版が発行され、2013年改訂を経て2022年10月に第3版が公開された。組織が情報資産のリスクを評価し、適切な管理策を選択・運用・改善するための共通の枠組みを提供する。本稿では制定の経緯、要求事項の構造、附属書Aの管理策、そして他規格との関係まで包括的に整理する。

この記事の目次

1. ISO 27001の系譜と国際標準化の経緯
2. 本文4〜10章が定める要求事項
3. 附属書Aの管理策93項目
4. 他規格との連動と認証取得の実務
5. まとめ

ISO 27001の系譜と国際標準化の経緯

起源は1995年に英国BSIが制定したBS 7799にさかのぼる。Part 1（実践規範）とPart 2（仕様書）の二部構成で、Part 1は2000年にISO/IEC 17799として国際標準化され、Part 2は2005年にISO/IEC 27001となった。ISOとIECの合同技術委員会JTC 1のSC 27（情報セキュリティ・サイバーセキュリティ・プライバシ保護）が規格群を管理し、27000ファミリーとして関連規格が体系化されている。

規格番号でいえば27000が用語、27001が要求事項、27002が管理策ガイダンス、27005がリスクマネジメント、27017がクラウド向け管理策、27701がプライバシ情報マネジメント（PIMS）拡張という関係である。日本ではJIS Q 27001として国内規格化され、ISMS適合性評価制度を運営するISMS-ACが認証機関を認定する。認証取得組織数は2023年末で7000社を超え、業種は金融、ITサービス、製造、公共と広範に及ぶ。

本文4〜10章が定める要求事項

ISO 27001の本文は4章「組織の状況」から10章「改善」までの7章で構成され、PDCAサイクルに沿ったマネジメント要求を並べる。4章で利害関係者と適用範囲を定義し、5章でリーダーシップと方針を確立、6章でリスク評価と適用宣言書（SoA）を作成、7章で資源と力量、コミュニケーション、文書化を整え、8章で運用を実施する。9章は監視・内部監査・マネジメントレビュー、10章は不適合への対応と継続的改善である。

特に6.1.2のリスクアセスメントと6.1.3のリスク対応は規格の核心で、識別したリスクごとに受容・低減・移転・回避を判断し、附属書Aから選定した管理策を適用宣言書に列挙する。SoAは認証審査の最重要文書となり、選択／除外の理由を一貫した根拠で記述できるかが運用品質を映す。2022年版ではThreat IntelligenceやCloud Servicesへの言及が強化され、現代的なリスクへの対応性が高まった。

附属書Aの管理策93項目

附属書Aは2013年版で14カテゴリ114項目の管理策を提示していたが、2022年版では4カテゴリ93項目へ再編された。新しい区分は組織的管理策（A.5）、人的管理策（A.6）、物理的管理策（A.7）、技術的管理策（A.8）である。重複が整理されると同時に、Threat Intelligence、Information Security for Use of Cloud Services、ICT Readiness for Business Continuity、Physical Security Monitoringなど11項目が新規追加された。

実装面では、各管理策に対して証拠を残せる形で運用することが鍵となる。たとえばA.8.9（構成管理）であれば資産台帳と構成ベースライン、A.8.16（監視活動）であればSIEMやログ集約基盤の構成と検知ルールが証跡になる。ISO/IEC 27002:2022は各管理策に対し目的、ガイダンス、その他情報を詳細に解説するため、SoAの根拠資料として併用するのが一般的である。

他規格との連動と認証取得の実務

ISO 27001はISO 9001（品質）や14001（環境）と同じハイレベル構造（HLS、現在のHS）を採用しているため、同一組織で複数のマネジメントシステムを統合運用しやすい。サービス事業者向けにはISO/IEC 27017、個人情報を扱う組織にはISO/IEC 27701を上乗せし、GDPRや個人情報保護法への対応根拠とすることが多い。

認証は第三者認証機関による二段階審査（Stage 1：文書、Stage 2：実装）で取得し、以降は年次のサーベイランス審査、三年ごとの更新審査が続く。2022年版への移行期限は2025年10月31日とされ、現行2013年版で取得済みの組織はそれまでに新版適合への切替監査を完了する必要がある。日本ではJIPDECが運営するISMS適合性評価制度が公的な信頼性を担保するため、調達条件として求められる場面も増えている。

まとめ

ISO 27001はリスクに基づく継続改善を組織文化として根付かせる規格である。要求事項と附属書Aを形式的な書類で満たすのではなく、SoAを軸に自社固有の脅威と統制を結びつけて運用できれば、外部認証の取得は副産物のように達成できる。

※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。