ISO/IEC 27005 あいえすおー にまんななせん ご
情報セキュリティリスク管理リスクアセスメントISMSISO 27001リスク対応脅威・脆弱性
ISO 27005について教えて
簡単に言うとこんな感じ!
会社のセキュリティリスクを「洗い出して→評価して→どう対処するか決める」ための手順書だよ!「何が怖いか」「どれくらい怖いか」「どう備えるか」を整理するための国際ルールなんだ。
ISO/IEC 27005とは
ISO/IEC 27005は、組織が情報セキュリティに関するリスクをどのように管理するかを規定した国際規格です。情報セキュリティ管理の総合規格である ISO/IEC 27001(ISMS)を実践するための「リスク管理プロセスの実践ガイド」として位置づけられています。
この規格の目的は、リスクアセスメント(リスクの識別・分析・評価) と リスク対応(対策の選択・実施) を体系的に行うための共通フレームワークを提供することです。業種・規模を問わず適用できる汎用的な設計になっており、「うちの会社には何のリスクがあるの?」という問いに答えるための実用的な道具立てが揃っています。
なお、規格は2022年に改訂され(ISO/IEC 27005:2022)、ISO 31000(リスクマネジメント一般規格)との整合性が強化されました。旧版(2018年版)との主な違いは、リスク処理の考え方が「オプション選択型」から「シナリオ分析型」に進化した点です。
ISO 27005のリスク管理プロセス
ISO 27005が定めるリスク管理プロセスは、繰り返し(反復)実施されるサイクルとして設計されています。
| ステップ | 内容 | ビジネス担当者の関与 |
|---|---|---|
| コンテキストの確立 | 組織の目的・範囲・基準を定める | ◎ 経営層・事業部門が判断 |
| リスクアセスメント | リスクを識別・分析・評価する | △ IT部門と協力 |
| リスク対応 | 対策を選び実施する | ◎ 予算・優先度の判断 |
| リスク受容 | 残留リスクを経営として受け入れる | ◎ 経営判断 |
| コミュニケーション・協議 | 関係者と情報を共有する | ◎ 全員参加 |
| モニタリング・レビュー | 定期的に見直す | △ 結果の確認 |
リスクアセスメントの3ステップ
リスクアセスメントは特に重要で、3段階に分かれています。
① リスク識別
↓ 「何が起きうるか?」を洗い出す
資産・脅威・脆弱性・影響を列挙
② リスク分析
↓ 「どれくらい起きやすく、どれほど痛いか?」を測る
発生可能性 × 影響度 = リスクレベル
③ リスク評価
↓ 「許容できるか?対策が必要か?」を判断する
リスク基準と照らして優先順位を決定リスク対応の4つの選択肢
| 対応策 | 意味 | 例 |
|---|---|---|
| リスク修正(軽減) | 対策を打ってリスクを下げる | ファイアウォール導入 |
| リスク保有(受容) | 許容範囲内と判断してそのまま | 影響が軽微なリスク |
| リスク回避 | 原因となる活動をやめる | クラウド利用自体をやめる |
| リスク共有(移転) | 保険・委託で第三者に移す | サイバー保険の加入 |
歴史と背景
- 2005年 — ISO/IEC 27005:2005 として初版を発行。情報セキュリティのリスク管理を初めて国際的に標準化
- 2008年 — 第2版(ISO/IEC 27005:2008)発行。BS 7799や初期ISMSの実践ノウハウを取り込む
- 2011年 — 第3版(ISO/IEC 27005:2011)発行。ISO 31000との整合性を初めて意識した改訂
- 2018年 — 第4版(ISO/IEC 27005:2018)発行。ISO 27001:2013への対応を強化
- 2022年 — 第5版(ISO/IEC 27005:2022)発行。シナリオベースアプローチを採用し、実践的な分析手法を充実。旧版のAnnex(付属書)形式の手法説明を廃止し、本文でのプロセス統合を強化
- 現在 — ISMS認証を取得・維持する組織のリスク管理実践ガイドとして世界中で活用
ISO 27001・ISO 31000との関係
ISO 27005は単独で使う規格ではなく、他の規格と連携して機能します。
他のリスク管理フレームワークとの比較
| フレームワーク | 特徴 | 向いている場面 |
|---|---|---|
| ISO/IEC 27005 | 情報セキュリティ特化・国際標準 | ISMS認証取得・グローバル対応 |
| NIST SP 800-30 | 米国政府標準・詳細な手法 | 米国政府調達・米系企業との取引 |
| OCTAVE | 資産中心・自己評価型 | 組織内部チームで実施する場合 |
| CRAMM | 定量的・ツール依存 | 金融・重要インフラ向け詳細評価 |
関連する規格・RFC
| 規格番号 | 内容 |
|---|---|
| ISO/IEC 27001:2022 | 情報セキュリティマネジメントシステム(ISMS)要求事項。27005の「親規格」にあたる |
| ISO/IEC 27002:2022 | 情報セキュリティ管理策の実践ガイド。リスク対応時の管理策選定に使う |
| ISO 31000:2018 | リスクマネジメント一般規格。27005の上位フレームワーク |
| ISO/IEC 27005:2022 | 本規格の現行版(第5版) |
関連用語
- ISO/IEC 27001 — 情報セキュリティマネジメントシステム(ISMS)の要求事項を定めた国際規格
- ISO/IEC 27002 — ISMSで実施すべき情報セキュリティ管理策のカタログ規格
- ISMS — 組織の情報セキュリティを継続的に管理・改善するための仕組み全体
- リスクアセスメント — 脅威・脆弱性・影響度を分析してリスクを評価するプロセス
- 脅威・脆弱性 — セキュリティリスクを構成する2大要素。脅威は攻撃・災害など、脆弱性はシステムの弱点
- ISO 31000 — あらゆるリスクに適用できる汎用リスクマネジメント国際規格
- NIST CSF — 米国NISTが策定したサイバーセキュリティフレームワーク。27005と補完関係
- 情報セキュリティポリシー — 組織のセキュリティ方針・ルールをまとめた文書