ISO 27001
🔥 Vibe プロンプト
「ISO 27001 ISMSを実装:スコープ定義、リスク評価、SoA、内部監査。」
ISO 27001条項
4. 組織の状況
5. リーダーシップ
6. 計画(リスク評価、SoA)
7. 支援(リソース、トレーニング)
8. 運用(リスク処理計画)
9. 評価(内部監査、マネジメントレビュー)
10. 改善(是正処置)
ISMSスコープ例
対象:
- AWSインフラ(us-west-2)
- Webアプリ(app.myapp.com)
- モバイルアプリ(iOS, Android)
- エンジニアリングチーム(25人)
対象外:
- 経理システム(QuickBooks)
- 人事システム(BambooHR)
リスク評価
| ID | リスク | 可能性 | 影響 | スコア | 対策 |
|----|-------|--------|------|-------|------|
| R01 | データ漏洩 | 2/低 | 4/重大 | 8 | 暗号化、WAF、IDS |
| R02 | サービス停止 | 3/中 | 3/高 | 9 | HA、マルチAZ、バックアップ |
| R03 | 内部脅威 | 2/低 | 3/高 | 6 | アクセスレビュー、ログ |
SoA(適用宣言書)
| Annex Aコントロール | 適用 | 理由 |
|-------------------|------|------|
| A.5 - セキュリティポリシー | ✅ | ガバナンス必須 |
| A.9 - アクセス制御 | ✅ | RBAC、MFA、レビュー |
| A.10 - 暗号化 | ✅ | 保存+転送暗号化 |
| A.11 - 物理セキュリティ | ❌ | AWS責任範囲 |
| A.16 - インシデント管理 | ✅ | 対応計画、テスト |
| A.17 - 事業継続 | ✅ | DR計画、バックアップ |
内部監査チェックリスト
# アクセス制御(A.9)内部監査
- [ ] アクセス制御ポリシー文書化
- [ ] ユーザー登録/削除プロセス
- [ ] 権限レビュー(90日毎)
- [ ] 退職時のアクセス削除
- [ ] パスワードポリシー適用
- [ ] MFA実装
- [ ] 15分セッションタイムアウト
認証プロセス
月1-2月: ギャップ分析とスコープ定義
月3-4月: リスク評価とSoA
月5-6月: ポリシーとコントロール実装
月7-8月: トレーニングと文書化
月9月: 内部監査とマネジメントレビュー
月10月: 是正処置
月11月: 第1段階監査(文書レビュー)
月12月: 第2段階監査(実装監査)
→ 認証3年有効(年次サーベイランス監査)
PDCAサイクル
Plan: ISMS確立(スコープ、ポリシー、リスク評価)
Do: コントロール実装(ポリシー、トレーニング、技術)
Check: 監視、測定、監査
Act: 是正処置、継続的改善
ベストプラクティス
- 明確なスコープから開始(カバーしすぎない)
- リスク評価ツールを使用
- 経営陣のコミットメント獲得
- 実際に守られるポリシーを作成
- 認証前に内部監査実施
- PDCAサイクルの徹底
- 可能な限り証拠収集を自動化
重要なポイント
- コアコンセプトをしっかり理解する
- ハンズオンコード例で実践する
- 実世界の問題に応用する
- 演習で知識を強化する
さらに学ぶ
- 公式ドキュメント
- GitHubのオープンソースプロジェクト
- コミュニティフォーラムとディスカッション
- 関連コースとチュートリアル