はじめに
情報セキュリティの勉強をしていると、ある日いきなり「ISO 27001」「ISMS」「認証」という言葉が出てきます。少し前の私もそうでした。情報処理安全確保支援士や ISMS 審査員、CISSP などの学習を始めると、当たり前のように「国際規格」が前提になっています。
ところが、肝心の「そもそも、なぜセキュリティをわざわざ標準化するのか」「ISO/IEC とは何者なのか」という背景は、意外と説明されません。用語だけが先に降ってくるので、暗記はできても腑に落ちないのです。
この記事は、CySec(中央大学が提供する社会人向けセキュリティ教育プログラム)の「情報セキュリティマネジメントとガバナンス」を受講した私が、その第1回の内容を自分の言葉で整理した復習ログです。想定読者は、少し前の私と同じように、「ISO 27001 という言葉に触れ始めたが、その背景を知らない学習者」です。
記事の軸になるのは、次の大きな物語です。
標準化は「ネジ(部品)→ 品質管理 → マネジメントシステム → ガバナンス(経営者の責任)」へと進化してきた。
前編であるこの記事では、このうち「ネジ → 品質 → マネジメント」までを立ち上げます(図の点線部のガバナンスは後編で扱います)。読み終えたとき、ISO 27001 が「いきなり生まれた特別なルール」ではなく、100年以上続く標準化の歴史の延長線上にあると感じてもらえれば成功です。なお、私自身まだ学習中なので、間違いがあれば指摘していただけると助かります。
なぜ標準化するのか
最初の疑問はシンプルです。なぜ、わざわざモノやコトを「標準」にそろえるのでしょうか。
ここで思い出してほしいのが、海外旅行での電源プラグです。日本のプラグを持って別の国へ行くと、形が合わずコンセントに挿せません。仕方なく変換アダプターを探し回る、という経験をした人は多いはずです。これはまさに「標準化されていない不便さ」を体感する瞬間です。もし世界中のコンセントが同じ形だったら、こんな苦労はありません。
標準化のメリットは、教科書的には次の7つに整理できます。
| # | メリット | 中身 |
|---|---|---|
| 1 | 効率性の向上 | プロセスが一貫し、ミスが減り、時間が短縮される |
| 2 | 品質の一貫性 | 誰が作っても同じ品質に近づく |
| 3 | 相互運用性 | 異なる製品やシステムが組み合わせて使える |
| 4 | コスト削減 | 無駄な重複やカスタマイズが減る |
| 5 | 市場拡大と国際競争力 | 規格に合わせれば輸出がしやすくなる |
| 6 | 安全性の向上 | 事故を防ぐルールを共有できる |
| 7 | 法規制への準拠 | 規格が法的な要求を満たす根拠になる |
電源プラグの例は、このうち主に「3 相互運用性」の話です。プラグの形が標準化されていれば、どの機器でもどのコンセントでも使えます。利便性とは、結局のところ相互運用性の言い換えでもあるわけです。
ちなみに余談ですが、もし電気の標準化団体である IEC が、もっと早く・もっと強く世界をまとめていたら、世界の電源プラグも1種類に統一されていたかもしれません。歴史の「もしも」を考えると、標準化のタイミングと範囲がいかに重要かが見えてきます。
JIS規格の3分類
国際規格の話に入る前に、身近な日本の規格である JIS を整理しておきます。JIS は「日本産業規格」のことです。1949年に制定された工業標準化法が根拠でしたが、2019年の改正で「産業標準化法」になり、規格名も「日本工業規格」から「日本産業規格」へ改称されました。略称の JIS(Japanese Industrial Standards)は変わっていないので、新旧どちらの呼び名も同じものを指します。
JIS の規格は、大きく3つに分類できます。
| 分類 | 対象 | 例 |
|---|---|---|
| 基本規格 | 用語・記号・単位・標準数などの共通事項 | 表記の決まり |
| 方法規格 | 試験・分析・検査・測定の方法、作業標準 | 「やり方」の決まり |
| 製品規格 | 形状・寸法・材質・品質・性能・機能 | 製品そのものの決まり |
ここで私が「なるほど」と思ったのは、方法規格の性質です。方法規格は「やり方」を定めた規格なので、どれだけ厳格に丁寧に作業しても、その手順が規格に準拠していなければ評価されません。「うちは真面目にやっています」では通らず、「規格どおりの手順でやりました」と示せることが大事になります。
近年、自動車メーカーの認証不正が問題になりましたが、あの構図もここに通じます。実際の性能がどうであれ、定められた試験方法に沿って測定していなければ「準拠していない」と叩かれるわけです。方法規格の世界では、結果だけでなく手順が問われると覚えておくと理解が深まります。
ISO と IEC ── 国際標準を作る人たち
ここから国際規格です。代表的なのが ISO と IEC の2つです。
ISO とは
ISO は国際標準化機構です。ポイントは、ISO は「国の集まり」ではなく「各国の標準化機関(多くは民間団体)の集まり」だという点です。約175の会員団体(各国の標準化機関)が加盟し、2万6千を超える規格を管理しています(出典: ISO in figures 2025)。加盟数も規格数も年々増えているので、最新値は ISO 公式の「ISO in figures」で確認するのが確実です。
加盟の仕方には3つのカテゴリがあります。
| カテゴリ | 立場 | 議決権 |
|---|---|---|
| P Member(正会員) | 規格づくりに参加する | あり |
| O Member(オブザーバー) | 情報を取得するだけ | なし |
| Subscriber member | 小規模国向け | なし |
日本は P Member で、日本側の代表機関は JISC(日本産業標準調査会)です。
ISO が出す文書にも種類があります。
- IS(International Standard): 国際規格。いわゆる「ISO 規格」の多くはこれです。
- TS(Technical Specification): 技術仕様書。将来 IS になる可能性のある段階のものです。
- TR(Technical Report): 技術報告書。参照資料という位置づけです。
「ISO ◯◯」という番号を見たら、それは基本的に IS だと考えてよいわけです。
IEC とは
IEC は国際電気標準会議です。1906年に13カ国で発足した、民間の非政府組織です。電気・電子分野の標準化と適合性評価を担当しています。前述の電源プラグの話に出てきた団体が、この IEC です。
ISO/IEC JTC1 ── IT 分野は合同で
ここが今回の山場です。情報技術(IT)の分野では、ISO 側の委員会(当時の TC97)と IEC 側の委員会が、扱う範囲が重複してしまいました。同じテーマで2つの団体が別々に規格を作ると、現場が混乱します。
そこで 1987年、両者は ISO/IEC JTC1(第一合同技術委員会)を合同で設置しました。JTC1 はほとんどが IT 分野を扱う委員会で、その下には SC(専門委員会、Subcommittee)が番号で並んでいます。
| SC番号 | 分野 |
|---|---|
| SC7 | ソフトウェア技術 |
| SC27 | 情報セキュリティ・サイバーセキュリティ・プライバシー保護 |
| SC38 | クラウド・分散プラットフォーム |
| SC40 | IT サービスマネジメントと IT ガバナンス |
| SC41 | IoT |
| SC42 | 人工知能(AI) |
私たちが学ぶ ISO/IEC 27001 は、このうち SC27 が手がけている規格です。番号の文脈を知っていると、「27000 番台 = セキュリティの SC27 由来」とつながって覚えやすくなります。また、いま最もホットな SC42(AI)が並んでいるのを見ると、標準化が今まさに動いている現場だと実感できます。
なお、量子技術については、2024年に ISO/IEC JTC 3 が新設されました。これは JTC1 配下の SC ではなく、量子技術を扱う新しい合同技術委員会(JTC1 と並ぶ立場)である点に注意します。
標準化はネジから始まった
ISO の規格は、もともと「部品」から始まりました。一番若い番号である TC1(技術委員会1)はネジ、TC2 はボルト・ナット類です。
なぜネジから始まったのか。背景には、部品が標準化されていないことの痛い経験があります。日本は第二次世界大戦中、部品の規格がそろっておらず、補修や量産で苦労したと言われます。「あの工場のネジとこの工場のネジが合わない」では、戦時下でも平時でもモノづくりが立ち行きません。標準化は、こうした切実な反省から出発しています。
その後、標準化の対象はモノからサービス、そして先端技術へと広がっていきました。
| TC番号 | 分野 |
|---|---|
| TC1 / TC2 | ネジ / ボルト・ナット類(部品) |
| TC68 | 銀行・証券・金融サービス(サービス) |
| TC229 | ナノテクノロジー(先端技術) |
| TC97 | 情報分野 → 1987年に JTC1 へ合同化 |
並べてみると、標準化が「ネジ → サービス → 先端技術 → 情報」と対象を広げてきた歴史が一望できます。ISO 27001 はこの流れの、かなり新しい枝にあるわけです。
なぜ「作り方」にまで標準が入ったのか
ここまでは「モノやサービスそのもの」の標準でした。次の疑問は、「なぜ製品だけでなく、作り方や組織の動かし方にまで標準が入ってきたのか」です。これは産業革命以降の流れを追うと見えてきます。
おおまかな流れは次のとおりです。
- 大量生産の時代: 機械化で大量にモノを作れるようになった。
- 作業の標準化: テイラーが科学的管理法を提唱し、作業を標準化して効率を上げた(流れ作業の発想)。ファヨールは分業と組織管理を整理した。
- 品質管理・品質保証へ: デミングとシューハートが PDCA モデル(Plan-Do-Check-Act)を広め、品質を継続的に改善する考え方が定着した。
- 組織横断的な品質へ: ISO が MSS(マネジメントシステム規格)を整備し、組織全体の仕組みを標準化した。
- グローバルサプライチェーンへ: 取引相手が世界中に広がり、ISO 認証が「信頼できる相手か」を示す共通の物差しになった。
- 統合管理・ガバナンスへ: 個別の管理から、組織全体を統合して管理する経営の話へとつながっていった。
つまり、標準は「製品」から「作り方(プロセス)」へ、そして「組織の運営そのもの」へと、対象を一段ずつ抽象化しながら登ってきたわけです。ISO 27001 のような「マネジメントシステム規格」は、この階段の上のほうに位置します。
なぜ第三者の認証が必要なのか
ここで「第三者認証」という仕組みが登場します。なぜ自分で「うちは大丈夫です」と言うだけではダメなのでしょうか。
鍵になるのが情報の非対称性です。経済学では中古車市場の「レモン問題」として知られています。中古車を買うとき、売り手は車の本当の状態を知っていますが、買い手は外から見ても本当に大丈夫か分かりません。情報の量に差があるため、買い手は不安になり、取引がうまく成立しにくくなります。
セキュリティも同じです。取引先が「うちは情報をきちんと守っています」と言っても、外からはどう守っているのか見えません。そこで、信頼できる第三者が「この組織はこういう基準で管理・保証している」とお墨付きを与えれば、相手は安心できます。
認証には、もう一つ実用的な効能があります。取引先を選ぶとき、すべての候補について情報管理の中身を自力で確認するのは、途方もなく時間がかかります。認証を取得しているかどうかは、候補を絞り込むフィルターとして機能するわけです。
マネジメントシステムの共通化 ── HLS
ISO のマネジメントシステム規格には、品質・環境・情報セキュリティなど、たくさんの種類があります。これらをバラバラに作ってしまうと、企業は規格ごとに別々の構造を学ばなければなりません。
そこで ISO は、各マネジメントシステム規格の「骨組み」を統一しました。これが共通構造で、従来は HLS(High Level Structure)、近年は Harmonized Structure(調和構造)と呼ばれます。箇条のタイトル・順序・共通テキスト・用語の定義をそろえています。本記事では以後 HLS 表記で通します。
HLS の10箇条は次のとおりです。
| 箇条 | タイトル |
|---|---|
| 1 | 適用範囲 |
| 2 | 引用規格 |
| 3 | 用語及び定義 |
| 4 | 組織の状況 |
| 5 | リーダーシップ |
| 6 | 計画策定 |
| 7 | 支援 |
| 8 | 運用 |
| 9 | パフォーマンス評価 |
| 10 | 改善 |
HLS のおかげで、「1つのマネジメントシステムを学べば、ほかもほぼ同じ構造で読める」という大きな利点が生まれます。ISO 27001 の構成を理解すれば、ISO 9001 や ISO 14001 も同じ目次で追えるわけです。
代表的な3つは、まず覚えておくとよいです。
- ISO 9001: 品質マネジメントシステム
- ISO 14001: 環境マネジメントシステム
- ISO 27001: 情報セキュリティマネジメントシステム(=ISMS)
ここで一つ注意点があります。品質の規格には ISO 9000 と ISO 9001 がありますが、ISO 9000 は用語集であり、認証の対象になるのは ISO 9001 のほうです。番号が1つ違うだけで役割が異なるので、混同しないようにします。なお ISO 9001 は 2000年の改定で、それまでの「製品の品質保証」から「顧客満足の向上」へと重心が移りました。品質の定義が、モノ単体から顧客との関係へと広がったわけです。
認証はどう成り立っているか
認証という言葉が何度も出てきたので、その仕組みを整理します。登場するプレイヤーは3層あります。
- 認証を受けたい組織: 認証機関に申請し、審査に通れば認証を取得できます。取得後は名刺やウェブサイトに記載できます。
- 審査員: 登録制です。要員認証機関(教育機関)で試験を受けます。最初は補佐から始まり、経験を積んで審査員になり、さらに主任審査員(審査グループを統括する立場)へと進みます。
- 認定機関: 認証機関や要員認証機関を「認定」する立場です。日本の情報セキュリティ分野では ISMS-AC がこれにあたります。
つまり、「組織を審査するのが認証機関」「認証機関を認定するのが認定機関」という二段構えです。図にすると、上から信頼が降りてくる構造が見えます。
認定機関は各国に1〜2機関しかありません。
重要なのは、これらが国際的に相互承認されている点です。日本で JIS Q 27001(ISO 27001 の日本語版)に基づいて日本語で審査を受けても、その認証は国際規格として全世界で通用します。言語の壁を越えて信頼が運ばれるのは、この相互承認の仕組みがあるからです。
認証数で世界を眺める
数字で全体像をつかむと、規格の世界の地図が見えてきます。2022年時点の世界の主な認証数は次のとおりです(出典: The ISO Survey 2022)。
| 規格 | 分野 | 認証数(2022年・世界) |
|---|---|---|
| ISO 9001 | 品質 | 約 1,265,216 |
| ISO 14001 | 環境 | 約 529,853 |
| ISO 45001 | 労働安全衛生 | 約 397,339 |
| ISO/IEC 27001 | 情報セキュリティ | 約 71,549 |
| ISO 22000 | 食品安全 | 約 45,459 |
数の多い順に、おおむね「品質 → 環境 → 労働安全 → 情報セキュリティ → 食品」と並びます。品質の ISO 9001 が圧倒的ですが、情報セキュリティの ISO/IEC 27001 も、数ある規格のなかではかなり多い部類です。情報を守ることが、それだけ多くの組織にとって関心事になっている証拠でしょう。
国別に見ると、ISMS(ISO/IEC 27001)の認証数は次のような順です(出典: The ISO Survey 2022)。
| 国 | ISMS 認証数(2022年) |
|---|---|
| 中国 | 約 26,301 |
| 日本 | 約 6,987 |
| 英国 | 約 6,084 |
中国が圧倒的に多く、日本が2位です。これは ISO 9001 や ISO 14001 でも同じ傾向で、中国が突出し、日本が2位につけています。日本は工場の減少などで認証数が伸び悩んでいますが、これは必ずしも悪いことを意味しません。認証数は経済構造や産業の変化を映す鏡でもあるので、「減った=ダメ」と短絡しないほうがよいです。
統合認証という選択肢
複数のマネジメントシステムを別々に取得しようとすると、審査のたびに手間とコストがかかります。ここで効いてくるのが、前に触れた HLS です。構造が共通なので、重複する審査部分をまとめて受ける「統合認証」が可能になります。品質と環境と情報セキュリティを一度にまとめて審査すれば、コストを抑えられるわけです。HLS という共通の骨組みが、ここで実利として返ってきます。
標準化のデメリットも考える
ここまで標準化のよい面を中心に見てきましたが、復習ログとしては批判的な視点も残しておきます。標準化には次のようなデメリットもあります。
- 創造性・柔軟性の制限: 決まった枠に沿うため、新技術の導入が遅れることがあります。
- カスタマイズの困難: 個別の事情に合わせた最適化がしにくくなります。
- 市場競争力の低下: みんなが同じ基準に合わせると、製品が同質化し、価格競争に陥りやすくなります。
- 変化への適応力の低下: ルールが固まることで、環境の変化に追従しにくくなります。
- 初期投資コスト: 認証取得には費用がかかり、特に中小企業にとっては負担になります。
つまり、標準化しすぎると、かえって競争が難しくなる側面があるわけです。「どこまでを標準化し、どこからを自社の独自性として残すか」は、組織が自分で考えるべき経営判断です。標準化は万能の正解ではなく、便益とコストのバランスの上に成り立っていると理解しておくと、規格に振り回されずに済みます。
参考
本記事で挙げた数値や仕組みは、次の一次情報で確認できます。記事中の数値は学習時点のもので、最新値は各サイトで確認してください。
- ISO 公式: https://www.iso.org/
- ISO in figures(加盟数・規格数): https://www.iso.org/iso-in-figures.html
- The ISO Survey 2022(世界・国別の認証数): https://www.iso.org/the-iso-survey.html
- 日本産業標準調査会(JISC): https://www.jisc.go.jp/
- ISMS-AC(情報マネジメントシステム認定センター): https://isms.jp/
- ISO/IEC JTC 1/SC 27(情報セキュリティの専門委員会): https://www.iso.org/committee/45306.html
まとめ
この記事では、「なぜ情報セキュリティは標準化されるのか」を、ISO/IEC とマネジメントシステムの歴史からたどりました。最初に提示した物語をふり返ります。
標準化は「ネジ(部品)→ 品質管理 → マネジメントシステム → ガバナンス(経営者の責任)」へと進化してきた。
前編であるこの記事では、このうち次のところまでを立ち上げました。
- 標準化のメリットは7つに整理でき、電源プラグの例で「相互運用性」が体感できる。
- 国際規格は ISO と IEC が作り、IT 分野は 1987年から ISO/IEC JTC1 が合同で担当している。ISO 27001 はその SC27 由来である。
- 標準化はネジ(TC1)から始まり、サービス・先端技術・情報へと対象を広げてきた。
- 産業革命以降、標準は「製品 → 作り方 → 組織運営」へと登り、PDCA や MSS、そして第三者認証へとつながった。
- マネジメントシステム規格は HLS という共通の骨組みを持ち、ISO 9001・14001・27001 はその代表である。
- 認証は情報の非対称性を埋める仕組みであり、デメリットもふまえて「どこまで標準化するか」を考える必要がある。
ISO 27001 は、いきなり生まれた特別なルールではなく、100年以上続く標準化の歴史の延長線上にあります。この見取り図を持っておくと、これからセキュリティの規格を学ぶときの理解が一段速くなるはずです。
後編では、ISMS そのものの歴史と、その中核であるリスクマネジメントを扱います。「ネジ → 品質 → マネジメント」まで来たこの物語を、「ガバナンス(経営者の責任)」まで進める予定です。ここまで読んでいただき、ありがとうございました。
あわせて読みたい
- 後編(近日公開予定): ISMSの歴史と2022年大改定 ── BS7799からリスクマネジメント(ISO 31000)まで【CySec復習ログ#2】
- 同じ「復習ログ」シリーズ(セキュリティ資格の学習ログ):