ISMS
IPAの情報処理技術者試験でISO関係の問題が出題されて、テストの知識として暗記した記憶だけはある。実際、どんなものか改めて確認。
ISMS自体は、直訳すれば、「情報セキュリティマネジメントシステム」で、ちゃんとセキュリティが機能する仕組み、の意味。
そのために何をすべきか、基準が定められている。
ISO/IEC 27001
ISMS(情報セキュリティマネジメントシステム)の要求事項を定めた国際規格。
ISO(国際標準化機構)とIEC (国際電気標準会議) が共同で策定している。
JIS Q 27001は国内規格で、ISO/IEC27001とほぼ同じ。
ISO/IEC 27002は、情報セキュリティ管理策の実践のための規範(~した方がよい)。
という関連性。
ISO/IEC 27001:2013
と表記されている場合、改定の年を示している。
ISO/IEC 27002が2022年に改定されるらしく、ISO/IEC 27002:2022と表現される。
ここまでで、無意味な記号で混乱してくる。
しかもwikiを見ると、ISO/IEC 27000からスタートして、ISO/IEC 27050まで、途中、欠番がありながらいろんな規格が制定されている。
その中で、最近よく聞くのが、ISO/IEC 27017。
ISO/IEC 27017
ISO/IEC 27002で指示されている37の管理策に、クラウドサービスに関連する、7つの管理策を追加することにより、クラウドサービスにおいて適用可能な情報セキュリティ管理のガイドラインを示している。
認証の前提としてISO/IEC 27001が認証されていることが必要、とのこと。
他のガイドライン
アメリカでは、NIST SP 800-171と呼ばれる、政府独自のガイドラインがある。
NIST SP 800-171とは米国政府機関が定めたセキュリティ基準を示すガイドライン。
政府機関からだけではなく取引企業からの情報漏洩を防ぐために、業務委託先におけるセキュリティ強化を要求する内容になっている。
セキュリティ要件が14分野109項目で、日本の企業でもアメリカ政府機関と取引する際に要求される。
日本では、2019年4月から防衛省および防衛装備庁においてNIST SP 800-171と同程度の新防衛調達基準の試行導入がスタートしている。
米国国防省は、その基準に満足していないのか、2020年1月にサイバーセキュリティ成熟度モデルの認証(CMMC )のバージョン1.0を公開した。
参照元は、NIST SP 800-171以外に、英国のNCSCが公表しているサイバーセキュリティの脅威からリスクを評価して軽減するために設計されたスキームであるCyber EssentialsやオーストラリアのACSCが公表しているさまざまなサイバー脅威によって引き起こされるサイバーセキュリティのインシデントの緩和戦略を記載したEssential Eight Maturity Modelなど。
米国国防省と企業取引しなければ、CMMC認証の必要性はないのですが、いろんな国のベストプラクティスに基づいた基準で、どれくらいの成熟度か測定できるのは興味深い。