これまで私のブログを読んできた人は多分思っているでしょう。私がISO 27001のことを、これまで書かれた文書の中で最も完全な文書だと信じていると。 でも実際には違います。この標準には、クライアントの仕事に協力したりこの分野の教育を行ったりしていると、常にぶつかる弱点があります。以下はその弱点と、それを解決するための私の提案です。
用語の曖昧さ
この標準の要件には、かなり曖昧な部分があります。
- 箇条4.3.1 c)では、ISMS文書には「ISMSを支えている手順及び管理策」を記載することを要求しています。これは、適用する管理策ごとに文書を書かなくてはならないということでしょうか(附属書Aには133個の管理策が記載されている)。 私はそこまで必要だとは思いません。私は普段クライアントに、運用やリスク削減の見地から必要な方針や手順だけを書くことをお勧めしています。適用宣言書には、導入した全管理策の説明を記載する必要があるので、それ以外の管理策については、適用宣言書に簡単に記載しておけば結構です。
- 方針や手順の(非)文書化 – 附属書Aの管理策の多くは、方針や手順について「文書化」という言葉を使わずに言及しています。つまり、そのような方針や手順は必ずしも文書に書かなくてもいいのですが、標準を読んだ人の95%はそれを明確に認識していません。
- 外部組織/第三者 – これらの用語は区別せずに使われるので、混乱の元になりがちです。一方の用語だけを使う方がよいでしょう。
標準の構成
この標準の要件の中には、文書のあちこちに散らばっていたり、不必要に重複していたりするものもあります。
- 単純に記載する場所が適切でない管理策もあります。たとえば、A.11.7「モバイルコンピューティング及びテレワーキング」は、A.11「アクセス制御」の項目の中にあります。もちろんモバイルコンピューティングを扱う際にはアクセス制御に注意する必要がありますが、モバイルコンピューティングやテレワーキングに関する問題を定義するのに、A.11がもっとも自然な場所とは言えません。
- 外部組織に関する問題は、A.6.2「外部組織」、A.8「人的資源のセキュリティ」、A.10.2「第三者が提供するサービスの管理」など標準の各処に散らばっています。クラウドコンピューティングその他のアウトソーシングに関しても、あらゆるルールを第三者を扱う特定の文書もしくは特定の文書セットにまとめることをお勧めします。
- 従業員の訓練や意識向上は、本編の箇条5.2.2、および、管理策A.8.2.2の両方で必要です。 このような重複は不必要なだけでなく、さらなる混乱の元にもなります。附属書Aの管理策は理論的に除外できるので、標準の本編が要求している実際には除外できない要件まで除外してしまう可能性があります。同じことは、「内部監査」(標準の本編箇条6)と管理策A.6.1.8「情報セキュリティの独立したレビュー」の間でも起こります。
- 附属書Aの管理策の中には、極めて広範囲に適用でき、他の管理策が含まれてしまうものもあります。例えば、管理策A.7.1.3「資産利用の許容範囲」はあまりに一般的すぎて、その中にはA.7.2.2(機密情報の取扱い)、A.8.3.2(雇用終了時の資産の返却)、A.9.2.1(装置の保護)、A.10.7.1(取外し可能な媒体の管理)、A.10.7.2(媒体の処分)、A.10.7.3(情報の取扱手順)なども含まれています。
本当に問題か
以下は、一般に困難な問題として注目されるものですが、私はそうは思いません。
- この標準は漠然とし過ぎて、細部の記述が不十分 – これ以上使用する技術の詳細に立ち入れば、すぐに時代遅れになるでしょう。これ以上方法論や組織的解決法の詳細に立ち入れば、適用できる組織の規模や種類が限られてしまうでしょう。大銀行と小規模なマーケティングエージェンシーでは組織編成を大幅に変える必要がありますが、どちらもISO 27001を導入できるようにしなくてはなりません。
- この標準は柔軟性がありすぎる – この批判は、セキュリティ管理策の中にリスクと関係ないものがある場合には、リスクアセスメントの概念によって除外できることを指摘しています。 でも、バックアップやアンチウィルス保護を除外することはできるでしょうか。 実際、この種の保護は、クラウドコンピューティングのような技術の進歩により、ISO 27001を導入する組織の責任ではなくなる可能性があります。 (ただし、このような場合には、アウトソーシングのリスクはむしろ高くなるので、他の種類のセキュリティ管理策が必要になるでしょう。)
今後の問題
この標準には変更の必要があるのは確かです。ISO/IEC 27001:2005の最新版は6年前に作成されたものなので、次の改訂時(2012年か2013年の予定)には上記の問題の多くが解決されていることを期待しましょう。
このような欠点はしばしば混乱の元になりますが、大局的に見れば、標準の良い面は悪い面を補って余りあると思います。そして私は実際、この標準が情報セキュリティ管理のための最高のフレームワークであると信じています。
—
eBook Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own もご覧ください。