e知識「e-chishiki.com」では、インドでの著名なIT著者、IT教育者、eセキュリティーの大家により作成された様々な種類のプログラミング言語に関する技術的なコンテンツを知識情報データーベースとして提供します。
週刊eセキュリティシリーズ(Web アプリケーション アタック)
ISO 27001 はもう有効ではない
Vijay Mukhi
はじめに
ISO 27001 認証を受けている企業数に関して、日本はすべての国でトップです。このリストでは、英国が 2 位で、インドが 3 位です。ただし、米国の多くの組織はまだこうした標準を採用していませんが、今後数年でそのほとんどは認証を受ける見込みです。この認定の妥当性を理解する前に、コンプライアンスを保証する別の組織およびその欠点を概観します。
BSI
BSI (英国規格協会) は、世界のあらゆる標準策定組織の大元となっています。基本的にあらゆる業界のあらゆるセクタでのコンプライアンスを保証する共通ガイドラインである、標準の数の多さでトップです。
今日、BSI 標準のほとんどが ISO 標準になっています。ISO は、標準の国際的組織、または標準化のグローバル団体とでもいうようなものです。しかし、事情通によれば、BSI は ISO 制度内で自らの標準が採用される効果的な方法を知っているそうです。BSI は BSI 7799 という標準 (文字通り優れた助言を意図した、ベスト プラクティスを掲載した文書) からスタートしました。この 100 ページ以上に及ぶ文書は、組織が安全な情報エコシステムを実現するための 133 のコントロールをガイドラインとしてリストしました。
しかし、BSI 7799 の問題は多種多様でした。
まず、それに対する認証制度が存在しなかったため、企業は、そのガイドラインまたはベスト プラクティスに従っていても、"BSI 7799 に準拠" と公的に名乗ることができませんでした。企業が標準に設定された基準に従っているかどうかを判断することは困難でした。
次に、これらのコントロールは、抽象的であったので準拠することが極端に困難でした。たとえば、パスワードはだれも推測できないように非常に複雑にする必要がある、すべてのデータは適切に検証する必要があるなどと主張していますが、これらのことに準拠しているかどうかを判断するための具体的なルールを定義していません。
この標準の最大の欠点は、ワード情報の分類でした (紙、人、データ、あらゆる種類のプロセスを含んでいました)。
