ISO/IEC 27005:2018 を読解する

ISMSオートメーションツール「SecureNavi」を提供している、SecureNavi Inc. の井崎です。

とあるきっかけで、情報セキュリティリスクマネジメントの規格である「ISO/IEC 27005:2018」を読解する機会がありました。内容を社内資料としてまとめようと思ったのですが、特に社内に閉じておく必要もなかったので、公開してみます。

日本語で書かれた「ISO/IEC 27005」に関する情報は少ないので、少しでも皆様の情報セキュリティリスクマネジメントの手助けになればと思います。

なお、ISO/IEC 27005 は、ISOのWebページや、日本規格協会のWebページから購入することができます。

ISO/IEC 27005:2018

日本規格協会 JSA GROUP Webdesk

上記はいずれも英語です。インターネット中を探しましたが、2018年版の日本語訳は公開・販売されていませんでした。日本語版を入手するためには、地道に翻訳するか、外部セミナーなどで配布される翻訳版を入手するしか方法はなさそうです（私は地道に翻訳しました...）。

では、早速中身を見ていきましょう。すべてを説明しすぎるのも著作権的によろしくないので、主だった目次と、その概要のみとさせていただきます。なお、目次（および、冒頭少しだけ）であれば、ISOの公式サイトのプレビューから確認することができます。

Introduction

ISO/IEC 27001:2013 では要求されなくなった、資産・脅威・脆弱性を基礎としたリスクアセスメント方法に基づいていることや、ISMSの要求事項には含まれないことが書かれています。

つまり、ISMS認証取得のために、ISO/IEC 27005 は参考にはなるものの、必ずしも遵守する必要はないことを意味しています。

4 Structure of this document

附属書Aには「コンテキストの確立」について、附属書Bには「資産の特定と評価、影響範囲」について、附属書Cには「脅威の例」について、附属書Dには「脆弱性の例と評価の方法」について、附属書Eには「リスクアセスメントアプローチの例」について、附属書Fには「リスク修正のための制約条件」について、書かれていることが記載されています。

附属書が多いですね... 脅威の例や、脆弱性の例については、実際のリスクアセスメントでも活用できそうです。

6 Overview of the information security risk management process

リスクマネジメントの概略図が記載されています。ISO/IEC 27001:2013でも、リスク特定→分析→評価→対応という流れがありますが、その流れを更に詳細に説明しています。

7 Context establishment

「コンテキスト」ってなんだろう、と思ったのですが、中身を読み進めていくと、リスク評価基準や、リスク受容基準、リスクアセスメントの範囲や、組織についての話が記載されています。

「リスク受容基準は複数の値によって構成されることが許されている」という話は、ISO/IEC 27001 しか読んだことのない方には意外なのではないでしょうか？

8.2 Risk identification

ここから、具体的なリスクアセスメントの話になってきます。まずはリスクの特定ですね。以下の流れが紹介されています。

1. 資産の特定
2. 脅威の特定
3. 既存の管理策の特定
4. 脆弱性の特定
5. 結果の特定

情報資産ベースのリスクアセスメント方法が紹介されています。「既存の管理策を特定」してから「脆弱性を特定」する流れは、理にかなっているなぁと思いました。「入退室管理体制の不備」といった脆弱性を俎上に上げる前に、「そもそも自社ってどの程度入退室管理していたっけ？」と考えるのは、たしかに自然な流れなように思います。

あと、特徴的な用語として「インシデントシナリオ」という言葉が出てきます。「脆弱性を悪用する脅威のこと」だと書かれており、「リスク」という言葉と近しい概念のようです（明確な違いはわからず...）。情報セキュリティに明るくない人にとっては「リスクを特定してください」というより「インシデントシナリオを特定してください」というほうがわかりやすいのかもしれません。

8.3 Risk analysis

次はリスクの分析です。流れは以下の通り。これは ISO/IEC 27001 をご存知の方にとっては馴染みがありますね。

1. 起こりうる結果の評価
2. 起こりやすさの評価
3. リスクレベルの決定

定性的なリスク分析と、定量的なリスク分析の両方が紹介されています。リスクに点数をつける作業、本当に難しいんですよね。人によって判断基準が曖昧になったり、特定の点数にリスクが集約されてしまったり、ISMS担当者にとっては結構悩みのタネになるポイントだと思います。点数による評価の仕方については、この規格だと「附属書E」が、その他の資料だと、例えば ISMSユーザーズガイド リスクマネジメント編 や、NIST SP800-30 の付録あたりが、参考になるのではないかと思いました（参考になるだけで、解決できるとは言っていません...）。

8.4 Risk evaluation

リスク評価の章です。これも ISO/IEC 27001 を知っている方ならおなじみの内容です。

9 Information security risk treatment

リスク対応です。対応の選択肢として、リスク修正・リスク保持・リスク回避・リスク共有の4つが紹介されています。

各選択肢の詳細は省きますが、リスク対応の結果として、リスク対応計画と残留リスクの一覧を手に入れる事ができます。

10 Information security risk acceptance

ISO/IEC 27001 では、リスク対応と受容は同じ章に記載されていましたが、この規格では章が別れています。

残留リスクがリスク受容基準を上回るときは、受容基準をより精緻なものに修正する or 意思決定者がやむを得ず受け入れる、といった選択肢が紹介されています。

12 Information security risk monitoring and review

ISO/IEC 27001 ではあまり目立たない、リスクの監視（モニタリング）と評価について紹介されています。監視や評価を行うものとして、リスクそのものと、リスクマネジメントプロセス全体の2つが紹介されています。

以上で本文は終わりとなります。規格ではまだ続きがあり、以下の附属書がついています。日々のリスクアセスメントの参考になるのではないでしょうか？

【附属書A】
情報セキュリティリスクマネジメントプロセスの範囲と境界の決定
【附属書B】
資産の特定・評価と影響評価（情報資産の例が記載されています）
【附属書C】
代表的な脅威の例（脅威の例が記載されています）
【附属書D】
脆弱性と脆弱性評価の方法（脆弱性の例が記載されています）
【附属書E】
情報セキュリティリスクアセスメントのアプローチ
【附属書F】
リスク修正のための制約事項

さいごに

弊社は、業界初のISMSオートメーションツール「SecureNavi」を提供しています。

SecureNavi｜業界初のISMSオートメーションツール

明示的な求人は公には出していませんが、情報セキュリティやISO27000シリーズに詳しい方を募集しています。弊社のプロダクト「SecureNavi」の設計やデザインのご協力をいただければと思っています！いままで、ISMSの支援といえば「コンサルティングによる支援」が一般的でしたが、弊社はソフトウェアによる支援を行っています。ご興味がある方は Twitter の DM までカジュアルにご連絡ください！まだ世の中にないプロダクトを一緒に作りましょう！ご連絡お待ちしています！