• ISO27001は情報セキュリティにおける組織の合理的な意思決定を支援するツール
  • ISO27001を導入したからといって、それだけでセキュリティ水準が向上することはない
  • 有効なマネジメントシステムの運用を行って初めてセキュリティを高めることができる

近年はスマートフォンの普及によってIT化がますます進み、それと同時にサイバー犯罪の件数も上昇してきています。また、IT関連の事業を行う企業は、顧客から万全なセキュリティ体制の構築を要求されていることもあるでしょう。

そんな情報セキュリティが重んじられる現代で注目を集めているのがISO27001 です。ISO 27001は情報セキュリティマネジメントシステムISMS )の国際 規格 で、世界中で様々な企業が 認証 を取得しています。

さて、マネジメントシステムとは、要するに経営の枠組みのことなのですが、経営の枠組みによってどのように情報セキュリティ水準を高めていくことができるのでしょうか。今回は、ISO27001の情報セキュリティの考え方について解説していきましょう。

目次

ISO27001とは

ISO27001とは、国際標準化機構(ISO)が発行する情報セキュリティマネジメントシステムの規格のことです。ISO27001は企業が情報セキュリティ水準を持続的に改善していくための枠組みを提供しており、この認証を取得することで顧客からの信用を得ることも可能となっています。

マネジメントシステム規格とは聞き慣れない言葉かもしれませんね。マネジメントシステム規格とは要するに経営の枠組みに関するガイドラインのようなものです。つまりISMS規格であるISO27001というのは、情報セキュリティにおける経営の枠組みのガイドラインなのです。

ISO27001はざっくり言うと、組織が直面する、あるいはこれから直面する情報セキュリティ上のリスクを洗い出し、そのリスクを分析。リスクに対して適切な対策を講じ、実行し、その情報セキュリティ活動をレビューすることによって再度計画を練り直す…という一連の流れを合理的な判断の下行えるように整理された枠組みなのです。

要するに、情報セキュリティを組織の仕組みによって改善していくツールなのです。

関連記事:【初心者向け】ISO27001とは?取得メリットや手順・費用について解説
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27001の情報セキュリティに対する考え方

ISO27001は「組織の仕組み」というアプローチによって情報セキュリティ水準を高めていくものです。この考え方は、物理的なセキュリティ対策とは対局に位置するように感じますが、そうではありません。

ここで言う物理的なセキュリティ対策とは、ファイアウォールの設置やウイルスバスターの導入といったハードな対策のことを指しますが、ISO27001はこれらの対策方法を否定もしていなければ、むしろ積極的に実施するほうが良いと考えています。これはISO27002というISO27001の具体的な管理策を示した文書があるため、こちらを一読いただければ理解できるかと思います。

ISO27001は、それ自体がセキュリティを高めるツールとなり得るわけではありません。あくまで「リスクにどのように対応するのか」ということを合理的な判断を行うためのツールなのです。つまり、ISO27001を導入し、「どのように対策を取るか」という組織の決定を行った結果、物理的なセキュリティ対策という方法が取られるわけです。例えるなら、ISO27001は戦略であり、ファイアウォールやセキュリティツールというのは戦術なのです。

ISO27001は合理的な組織の決定を助けるツール

世の中には様々なサイバー事象が発生しており、この全てに網を張って対策していくことはどのような巨大企業であっても不可能に近いでしょう。ISO27001は、これら全てのリスクに対して対策をすべきだと言っているわけではありません。

先程も申し上げた通り、ISO27001は戦略であります。「このリスクは影響範囲が大きいから対策の必要があるが、このリスクは現時点では持っておいても問題がないだろう」――そんな組織の決断を手助けするツールなのです。こういった判断は「経験と勘」によってではなく、「確かなデータをもとにした合理的な判断」によって行われるべきであることは、言うまでもありませんが、この合理的判断を行うための枠組みが情報セキュリティマネジメントシステムであり、ISO27001はそのマネジメントシステムのガイドラインを提供するものなのです。

組織の状況を理解し、情報セキュリティの三大要素である可用性機密性完全性 を保った上でリスクとどのように付き合っていくのかを合理的に判断しましょう――。これが、ISO27001の情報セキュリティに対する考え方です。

まとめ

今回は、ISO27001の情報セキュリティに対する考え方について解説してきました。ISO27001はあくまでマネジメントシステムであるため、導入したからといって急激にリスクが減るものではありません。しかし運用を行っていくことで組織が合理的に判断する手助けを行うツールとなることでしょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ