<情報セキュリティ通信Vol.78>情報セキュリティは品質保証の一部に
公開日:2025.07.01
情報セキュリティは品質保証の一部に―ISO9001とISO27001の統合―
■情報セキュリティの取り組みは当たり前に
企業活動におけるデジタル化が進む中で、情報セキュリティの取り組みが当たり前になってきています。ランサムウェアによる事業停止はもちろんのこと、機密情報の漏えいやパスワードの漏えいなど、通常のビジネス活動が円滑に行われない状態では、取引相手として選んでもらえないということも起きてしまうでしょう。
■情報セキュリティは全社的な取り組みへ
企業活動におけるデジタル化がますます進展する中で、情報セキュリティの確保はもはやIT部門だけの責務で終わらせることが困難になってきています。情報セキュリティは、情報資産の品質管理や保証であると言い換えることもできることから、「情報セキュリティは品質そのものである」というコンセプトを打ち出し、ISO27001 (情報セキュリティマネジメントシステム) とISO9001 (品質マネジメントシステム)の統合をめざす企業も多くなってきています。
■ISO9001とISO27001の統合へ
ISO27001とISO9001は、ともに「リスクベースアプローチ」や「文書化された情報の管理」、「継続的改善」、「教育と意識向上」、「サプライチェーンマネジメント」など基本的なマネジメント の考え方を共有しています。特に、ISO9001を認証取得し運用している企業において、情報セキュリティの取り組みを別途行っている場合では重複する活動が多くなり、無駄が多くなるだけでなく必要な連携ができないリスクもあります。
■ISO9001とISO27001に共通する視点
ISO9001とISO27001に共通する視点として、特に重要と思われるものを三つ挙げておきます。
(1)整理整とん
「もの」を整理整とんするという視点を、情報資産やアクセス権にも適用することによって、情報漏洩などの情報セキュリティリスクを低減することにつながります。
(2)委託先管理
製品やサービスの品質に影響を与える業者を管理するするという視点を、情報資産を扱う委託先にも適用 することによって、サプライチェーン攻撃などの情報セキュリティリスクを低減することにつながります。
(3)構成管理
製品の部品構成や変更履歴を管理するするという視点を、SBOM (ソフトウェア部品管理) にも適用することによって、脆弱性攻撃などの情報セキュリティリスクを低減することにつながります。
■情報セキュリティにもマネジメントが必要
情報セキュリティはITエンジニアだけの役割ではありません。情報セキュリティにもマネジメントが必要です。特に、ISO9001(品質マネジメントシステム)との親和性が高いため、品質向上活動の一貫として情報セキュリティに取り組んでみてはどうでしょうか。