備忘メモ #05 ISO/IEC 27035シリーズを読んでみる

サイバーセキュリティに関するインシデントマネジメント関連の文書のうち、これまで見逃していたISO/IEC 27035シリーズを読んでみたので、感想も含めてメモを残します。

ISO/IEC 27035シリーズとは

ISO/IEC 27035シリーズは、そのタイトル"Information technology - Information Security incident management"から分かるとおり、情報セキュリティのインシデントマネジメントに関する国際規格です。シリーズ化されていて、現時点では次の3点が発行されています。

• ISO/IEC 27035-1:2023 Part 1: Principles and processes

• ISO/IEC 27035-2:2023 Part 2: Guidelines to plan and prepare for incident response

• ISO/IEC 27035-3:2022 Part 3: Guidelines for ICT incident response operations

また、ISO/IEC 27035-4 Part 4: Coordination がDIS（国際規格案）までできているので、2025年頃には発行に至りそうです。
情報セキュリティ／サイバーセキュリティに関連する多くの文書では、インシデントマネジメントに関する内容が必ず含まれています。それぞれ似たようなことが書かれているのですが、それらを汎化したものとして、このISO/IEC 27035シリーズは活用できそうです。

Part 1は、インシデントマネジメントの標準的な考え方として参考になりそう

Part 1では、基本的なプロセス（Plan and Prepare / Detect and Report / Assess and Decide / Respond / Learn Lessons）とインシデント発生時のフロー、インシデントや攻撃手法の類型、収集すべき情報の種類などが記載されています。作成する文書で統一した用語を使いたい場合に重宝しそうです。

付録にISO/IEC 27001:2022 Annex A（ISMSの管理策）との対応関係や、関連する国際標準のリストなど付いているので、こちらも特定のプロセスを深掘りする際に役立ちそうです。

Part 2は、準備段階でやるべきことが整理されている

Part 2では、準備段階でやっておくべき計画の立案や体制構築、社員教育などの内容が整理されています。
付録に載っているセキュリティインシデントレポートの様式例は、6ページにわたるものでその内容も非常に詳細なものでした。実際のインシデント発生時にこれだけのレポートを書くのはかなり大変そうという印象を受けました。

Part 3は、検知から対応までの一連の活動を具体化

Part 3では、Part 2で取り扱わなかったプロセス（Detect and Report / Assess and Decide / Respond）が具体化されています。Part 1の3つのプロセスを6つのライフサイクル（Detection / Notification / Triage / Analysis / Response / Reporting）に分けて、それぞれ章を分けて説明しています。
書かれている内容は、考え方のみならず、技術的な手法の例示などが含まれているため、実際のインシデント対応におけるやり方の参考にもなるでしょう。