ISO 27001との比較
30.2.1. ISO 27001の概要
ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS, Information Security Management System)に関する国際標準です。国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で制定しており、組織が情報資産を体系的に保護するための管理体系を策定、実施、運用、モニタリング、レビュー、維持および改善するための要求事項を定義しています。
2022年10月に発行されたISO/IEC 27001:2022バージョンが現行の最新標準です。以前のバージョンである2013年版と比較して、Annex Aの統制項目が114項目から93項目に再構成され、クラウドサービス、脅威インテリジェンス、データマスキングなど、現代的なセキュリティ要件が反映されています。
ISO 27001は業種、規模、地域に関係なく、すべての組織に適用できます。特に金融、医療、公共、ITサービス分野で、顧客やパートナーの信頼を確保するために広く取得されています。韓国国内ではグローバルビジネスを展開する企業が、海外取引先の要求に応じて取得するケースが多くあります。
30.2.2. 認証構造
30.2.2.1. マネジメントシステム要求事項
ISO 27001の本文(第4〜10節)は、マネジメントシステムの策定および運用に関する要求事項を定義しています。
| 節 | タイトル | 核心的な内容 |
|---|---|---|
| 4 | 組織の状況 | 内部/外部の課題、利害関係者の要求事項、適用範囲の決定 |
| 5 | リーダーシップ | 経営陣のコミットメント、情報セキュリティ方針、役割/責任/権限 |
| 6 | 計画 | リスク評価、リスク対応、情報セキュリティ目標、変更計画 |
| 7 | 支援 | 資源、力量、認識、コミュニケーション、文書化された情報 |
| 8 | 運用 | 運用の計画および管理、リスク評価/対応の実施 |
| 9 | パフォーマンス評価 | モニタリング/測定、内部監査、マネジメントレビュー |
| 10 | 改善 | 不適合および是正処置、継続的改善 |
この構造はPDCA(Plan-Do-Check-Act)サイクルに基づいており、マネジメントシステムを継続的に改善するように設計されています。
30.2.2.2. Annex A統制項目
ISO/IEC 27001:2022のAnnex Aは、93の統制項目を4つのテーマに分類しています。
| テーマ | 統制項目数 | 主要内容 |
|---|---|---|
| 組織的統制 | 37項目 | 情報セキュリティ方針、資産管理、アクセス制御、サプライヤー関係、インシデント管理 |
| 人的統制 | 8項目 | 雇用前/中/後のセキュリティ、セキュリティ意識教育、懲戒プロセス |
| 物理的統制 | 14項目 | 物理的セキュリティ境界、機器セキュリティ、ケーブル配線、セキュリティエリア |
| 技術的統制 | 34項目 | 認証、暗号化、マルウェア対策、ネットワークセキュリティ、セキュアコーディング |
2022年バージョンで新規追加された統制項目には、脅威インテリジェンス(A.5.7)、クラウドサービスの情報セキュリティ(A.5.23)、セキュアコーディング(A.8.28)、データマスキング(A.8.11)、データ漏洩防止(A.8.12)などが含まれています。
注目すべき点は、A.8.28「セキュアコーディング」統制項目が2022年バージョンで新規追加されたことです。しかし、この項目は「セキュアコーディング原則がソフトウェア開発に適用されなければならない」というレベルの要求事項であり、具体的なコードレベルの検証基準は提示していません。
30.2.3. 審査方式
ISO 27001認証審査は、国際公認認証審査機関(CB, Certification Body)が実施します。審査プロセスは以下の通りです。
30.2.3.1. 認証審査段階
| 段階 | 名称 | 内容 | 所要期間 |
|---|---|---|---|
| 準備 | 認証準備 | マネジメントシステム策定、リスク評価、統制項目適用、文書作成 | 6〜12ヶ月 |
| 第1段階 | Stage 1審査 | 文書審査 — マネジメントシステム文書の適合性確認 | 1〜2日 |
| 第2段階 | Stage 2審査 | 現場審査 — マネジメントシステムの実際の運用効果性確認 | 3〜10日 |
| 維持 | サーベイランス審査 | 年1回の現場審査、マネジメントシステムの継続運用確認 | 1〜3日 |
| 更新 | 更新審査 | 3年ごとの全面再審査、認証書更新 | 3〜5日 |
30.2.3.2. 審査の焦点
ISO 27001審査で確認する核心的な事項は以下の通りです。
- 情報セキュリティ方針が経営陣の承認を得て文書化されているか
- 資産目録が識別されリスク評価が実施されているか
- リスク対応計画に基づいてAnnex A統制項目が適用されているか
- 適用性声明書(SoA, Statement of Applicability)が作成されているか
- 内部監査とマネジメントレビューが定期的に実施されているか
- セキュリティインシデント対応手順が策定されテストされているか
審査の焦点は「ポリシーとプロセスの存在有無および運用効果性」にあります。ソースコードを直接確認したり、ビルドパイプラインを実行したり、テストカバレッジを測定する活動は審査範囲に含まれません。
30.2.4. TQSとの比較分析
以下の表は、ISO 27001とTQSを核心的な比較軸に基づいて整理したものです。
| 比較軸 | ISO 27001 | TQS |
|---|---|---|
| 検証対象 | 情報セキュリティマネジメントシステム(ポリシー、プロセス、組織) | ソースコード、ビルド設定、CI/CDパイプライン |
| 検証レベル | ポリシー/プロセスレベル(「ポリシーが策定されているか」) | コードレベル(「コードに実装されているか」) |
| セキュリティ検証方式 | 統制項目の適用有無を文書とインタビューで確認 | セキュリティ設定をコードと設定ファイルで直接確認 |
| 暗号化検証 | 「暗号化ポリシーが策定されているか」 | 「BCryptハッシュを使用し、TLS 1.2以上が設定されているか」 |
| アクセス制御検証 | 「アクセス制御ポリシーが文書化されているか」 | 「Spring SecurityにRBAC(Role-Based Access Control)が実装されているか」 |
| セキュアコーディング検証 | 「セキュアコーディング原則が適用されなければならない」(A.8.28) | 「SQLパラメータバインディング使用、v-html不使用、入力値Bean Validation適用」 |
| 審査方法 | 書類審査 + 現場審査(手動) | 自動化ツール(ESLint、Spotless、OWASP)+ コードレビュー |
| 審査周期 | 年1回サーベイランス審査、3年更新審査 | コミットごとにCI/CD自動検証、メジャーバージョン再審査 |
| 認証費用 | 数千万ウォン(審査費用 + コンサルティング費用) | 無料(自社内部認証) |
| 認証機関 | 国際公認認証審査機関(CB) | ティエニピア技術標準委員会 |
| 法的効力 | 国際的に認定、契約要求可能 | 社内自社認証(法的効力なし) |
30.2.4.1. 検証深度の差異
ISO 27001は「暗号化ポリシーを策定し適用しなければならない」と要求します。この要求事項を満たすには、暗号化ポリシー文書を作成し、そのポリシーが組織内で運用されていることを証明すれば十分です。
TQSは「パスワードはBCryptでハッシュしなければならない」「TLS 1.2以上を使用しなければならない」「MD5、SHA-1、DES、RC4は使用しない」のように具体的な技術規格を定義し、実際のコードでこれを確認します。PasswordEncoder Beanの設定、server.ssl設定ファイル、依存関係リストを直接検査します。
30.2.4.2. フィードバック速度の差異
ISO 27001は年1回のサーベイランス審査を通じてマネジメントシステムの運用状態を確認します。審査と審査の間にポリシー違反が発生しても、次の審査まで発見されない可能性があります。
TQSはCI/CDパイプラインに統合されているため、セキュリティポリシーに違反するコードがコミットされると即座にビルドが失敗し、開発者に通知が送信されます。問題を認識して修正するのに数分から数時間あれば十分です。
30.2.5. 相互補完ポイント
ISO 27001とTQSは異なる階層でセキュリティを検証するため、併用することでシナジー効果が最大化されます。
30.2.5.1. 補完構造
ISO 27001が「セキュリティポリシーの策定」と「マネジメントシステムの運用」を担当し、TQSが「ポリシーの技術的実装の検証」を担当する2階層構造を形成します。
| 階層 | 担当認証 | 役割 | 例 |
|---|---|---|---|
| ポリシー階層 | ISO 27001 | セキュリティポリシーの策定および組織運用 | 「データ暗号化ポリシーを策定する」 |
| 実装階層 | TQS | ポリシーのコードレベル実装検証 | 「BCryptでハッシュし、AES-256で暗号化する」 |
30.2.5.2. シナジー効果
両方の認証を併用すると、以下のような効果が期待できます。
- ポリシー-実装間のギャップ解消: ISO 27001が要求するセキュリティポリシーが実際のコードに実装されていることをTQSが証明します。「ポリシーはあるが実装はない」という状況を防止します。
- 審査効率の向上: ISO 27001審査時にTQS認証結果を補助証拠として活用できます。セキュアコーディング(A.8.28)、セキュリティテスト、変更管理関連の統制項目の履行証拠としてTQSレポートを提出できます。
- リアルタイムモニタリング: ISO 27001のサーベイランス審査周期(年1回)の間にもTQSのCI/CDベースの自動化検証がセキュリティ遵守状態を継続的にモニタリングします。
- 具体的な改善指標: ISO 27001は「継続的改善」を要求しますが、具体的な測定指標を定義していません。TQSはテストカバレッジ、セキュリティ脆弱性数、Lighthouseスコアなどの定量的指標を提供し、改善活動を測定可能にします。
30.2.5.3. 適用シナリオ
ISO 27001とTQSを併用することは、以下のような組織に適しています。
- グローバルビジネスを展開しており、海外顧客がISO 27001認証を要求する組織
- 情報セキュリティマネジメントシステムを運用しつつ、実際のコード品質まで保証したい組織
- ISO 27001認証を既に保有しており、セキュアコーディングの実践を強化したい組織
ISO 27001は「セキュリティをどのように管理しているか」に答え、TQSは「セキュリティをどのように実装したか」に答えます。2つの認証は異なる質問に答えるものであるため、同時に適用するのが最も効果的です。