ISO27001認証とは
ISO27001とは、情報セキュリティマネジメントシステムにおける国際規格です。認証を取得し、継続することで企業のセキュリティ強化、顧客や利害関係者への信頼性をアピールできます。
データ復旧を依頼する企業を選ぶとき、ISO27001を取得しているかどうかは判断基準となるのか、どのようなメリットがあるのかを解説します。
またIEC27001、ISO27001、ISMSの違いについても説明します。
ISO27001を取得している企業にデータ復旧を依頼するメリット
企業にとって自社情報や顧客情報、個人情報の漏洩は重大なリスクであり、データ復旧を依頼する業者も信頼性の高い企業でなければなりません。データ復旧を依頼する企業選びにも悩むことになりますが、ISO27001を取得している企業を選ぶことでどのようなメリットがあるのでしょうか。
データ復旧を依頼する企業選びの参考にもなりますので、把握しておきましょう。
高いセキュリティ基準の保証
ISO27001の認証取得には、マネジメントシステムの構築、運用、審査を受ける必要があります。多くの段階を踏まなければならず、取得後も認証維持のために定期的な審査を受けなければなりません。
ISO27001取得には費用も時間もかかるため、非常に難易度の高いものとなっています。
その分、高いセキュリティ基準が保証されており、データ復旧を依頼する業者選びの指標にできるといえます。
ISO27001では、機密性・完全性・可用性の3つを情報セキュリティの条件としています。
厳格なデータへのアクセス管理
データへのアクセス管理とは、認可を受けている人だけが情報へアクセスできる状態を指します。
認可されていない相手には情報を開示せず、勝手にアクセスされたり使用されたりしないようにします。
そのための手法として、パスワード設定やアクセス制限をし、厳格にデータへのアクセス管理をします。
暗号化の徹底
データが漏洩しないよう、データや情報を一定にアルゴリズムに基づいて変換し、特定の者以外に解読できないようにするセキュリティ手法が暗号化です。
ISO27001取得では暗号化も徹底されています。
定期的なセキュリティ評価と改善
ISO27001は、取得後も年に1〜2回のサーベイランス審査(維持審査)、3年に1回の更新審査を受ける必要があります。
定期的に審査を受け評価されるため、取得した当時のレベルを維持し改善しなければなりません。
信用性と実績の証明
ISO27001が目的としているのは、認証取得によって信頼性と実績の証明になることです。近年はサイバー攻撃も増加しており、日本国内でも情報漏洩などセキュリティ事故が多く発生するようになりました。
そのためデータ復旧を依頼する際にも、依頼する業者が信頼できるかどうかは重要であり、ISO27001認証はひとつの指標となります。
リスク管理の徹底
ISO27001を取得する際には、外部からの攻撃だけでなく、内部からの情報漏洩や紛失などにも対策が必要です。そのためISO27001を取得している企業は包括的にリスク管理が徹底されているといえます。
コンプライアンス遵守
企業は事業遂行のためには、法令を遵守する必要があります。ISO27001を取得する際の審査において、コンプライアンスの遵守もチェックされるため、法令違反のリスクが低くなります。
IEC、ISO、ISMSの違い
IECやISOにはそれぞれ番号が振られており、それぞれの違いや意味がわからない方も多いでしょう。
これらはすべて「規格」であり、製品やサービスが多様化・複雑化して効率悪化することを防ぐために、標準を取り決めるものです。
IECとは電気・電子に関する技術における国際標準化で、ISOとは製品、サービス、プロセス、材料、システムに関する国際規格のことです。
IECの制定した規格にはそれぞれ固有の番号が与えられており、ISOと区別するために60000〜79999の整数が割り当てられています。ISOは9001(品質マネジメントシステム)、14001(環境マネジメントシステム)、27001(情報セキュリティ)、22000(食品安全)など、番号によって項目が決められており、番号によって何の規格かがわかるようになっています。
ちなみにISMS(情報セキュリティマネジメントシステム)は、マネジメントシステムそのもののことであり、ISO20071は規格要求のことです。ISO27001の通称としてISMSと表記されることもあります。
ISO27001認証企業にデータ復旧を依頼する理由
ISO27001を取得するには、定められた基準を満たすために企業のセキュリティを強化する必要があります。当然ながら基準を満たしていなければ取得できず、維持するためにも定期的な審査を受けなければならないため、外部に対してだけでなく、内部の漏洩リスクにもしっかり対応しているという客観的な証明となります。
復旧したいデータは漏洩しては困る大切なデータですから、復旧を依頼した企業から情報が漏洩するリスクも考慮しなければなりません。
ISO27001認証企業であれば、セキュリティ対策の国際規格を満たしているという信頼性が高く、データ復旧を依頼する企業としてふさわしいといえます。
よくある質問(FAQ)
Q1. データ復旧業者を選ぶ際、ISO27001は本当に重要な判断基準になりますか?
A. はい、重要な判断基準のひとつになります。ISO27001は、情報セキュリティマネジメントシステムが国際規格に基づいて構築・運用されていることを第三者が認証する制度です。
データ復旧では、顧客情報や機密情報を業者に預けることになるため、ISO27001を取得している企業は「情報の取り扱いに対する体制が整っている業者」と判断する材料になります。
Q2. ISO27001を取得していない業者に依頼すると、情報漏えいのリスクは高いですか?
A. 必ずしも即危険というわけではありませんが、情報管理体制を客観的に確認できる指標が少なくなる点は否めません。
ISO27001未取得の場合でも、独自に高いセキュリティ対策を講じている業者は存在します。ただし、その場合はアクセス管理、暗号化、監視体制、NDA対応などを個別に確認する必要があります。
Q3. ISO27001取得企業であれば、データは絶対に漏えいしませんか?
A. 「絶対」はありません。ISO27001は情報漏えいリスクを最小限に抑えるための仕組みであり、完全な無事故を保証するものではありません。
ただし、定期的な審査・改善が義務付けられているため、取得企業はリスク評価・是正対応を継続的に行っており、非取得企業に比べて安全性が高いといえます。
Q4. ISO27001・IEC27001・ISMSは何が違うのですか?
A. 基本的には同じ枠組みを指していますが、意味合いが異なります。
- ISO27001 / IEC27001:情報セキュリティマネジメントシステムに関する国際規格そのもの
- ISMS:その規格に基づいて構築・運用される管理体制(マネジメントシステム)
日本では、ISO27001認証を取得していることを「ISMS認証取得」と表現するケースも多くあります。
Q5. ISO27001取得以外に、データ復旧業者選びで確認すべきポイントはありますか?
A. あります。ISO27001は重要な指標ですが、それだけで判断するのは避けた方がよいでしょう。
- 成果報酬型など、料金体系が明確か
- 復旧実績や対応可能な障害レベルが開示されているか
- 日本データ復旧協会(DRAJ)に加盟しているか
- 守秘義務契約(NDA)に対応しているか
セキュリティ体制・技術力・料金の透明性を総合的に確認することが、安心して依頼するためのポイントです。
本当に信頼できる
データ復旧業者3選
2022年5月調査時点でデータ復旧協会に所属する14社の中から、データに関する専門業者であり、サービス運営・マネジメントに関わる国際規格(ISO9001、ISO27001のいずれか)を取得している3社について詳しく調査しました。
データ復旧の依頼を考えている方はぜひ参考になさってください。
オールメディア・フォーマットで
成功報酬&迅速対応を実現
アドバンスデザイン
引用元:アドバンスデザイン公式HP
(https://www.a-d.co.jp/datarecovery/agt/dr1168313/)
- 日本初のデータ復旧業者としての実績とノウハウを保有(※)
- バッファロー社に技術提供する
高い信頼性を誇る
※参照元:アドバンスデザイン(https://www.a-d.co.jp/datarecovery/agt/dr1163113/)
障害の種類や程度に応じて
豊富なメニューをラインアップ
A1データ
引用元:A1データ公式HP
(https://www.a1d.co.jp/)
- リモートによる復旧にも対応する
利便性が高いサービス - 復旧データのダウンロード返却で
輸送時間の短縮が可能
動画復元・修復において
固定料金で対応
データレスキューセンター
引用元:データレスキューセンター公式HP
(https://www.rescue-center.jp/)
- 固定料金で再生できなくなった
動画の復元・修復に対応 - 最短6時間以内に初期調査報告と
スピード対応を実現