ISO27001本体の要求事項が「何を管理すべきか」という枠組みを示しているのに対し、附属書Aは「どのような対策が考えられるか」を選択可能な管理策を網羅的に示した基準として位置付けられています。この附属書Aに記載されている管理策は必ずしもすべてを適用する必要はなく、リスクアセスメントの結果に基づき、自社・自組織に適した対策を選択することが求められます。

ISO27001とは？

ISO27001とは、ISO(国際標準化機構)が定めた、情報セキュリティマネジメントシステム（ISMS）に関する国際規格です。企業・組織が保有する情報資産について、情報セキュリティの3要素であるCIA（機密性・完全性・可用性）を保護するための仕組みを構築・運用・継続的な改善を目的とした、国際的に認められたマネジメントシステム規格です。

情報漏えい、改ざん、紛失、サイバー攻撃などのリスクを洗い出し、それらに対応する管理策を計画・運用・評価・改善するPDCAサイクルを回しながら、情報セキュリティ水準の向上を図ります。ISO27001は第三者認証の対象規格であり、認証を取得すれば、企業・組織の情報セキュリティ管理体制が国際規格に基づいて整備・運用されている旨を対外的に示せます。

附属書Aの役割

附属書Aの役割は、情報セキュリティリスクへの対応策を検討する際の「選択対象となる管理策」を提示する点です。附属書Aには、組織的・人的・物理的・技術的な観点から整理された管理策が体系的に整理されており、リスク対応計画を策定する際の基準として活用されます。

企業・組織は、リスクアセスメントの結果を踏まえ、どの管理策を採用するか、あるいは採用しないかを判断し、その理由と併せて実施しているか、否かを適用宣言書（SoA）として明確化します。これにより、リスクに基づいた体系的で説明可能な情報セキュリティ対策・管理体制の構築が可能となる仕組みです。

ISO27001の附属書AとISO27002の関係性

ISO27001の附属書AとISO27002は、情報セキュリティ管理策を実務に落とし込む際に相互に関係する規格です。附属書Aは、情報セキュリティマネジメントシステムにおいてリスク対応のために選択・適用する管理策の一覧を示しており、適用宣言書（SoA）を作成する際の基準となる枠組みを提供します。一方、ISO27002は、附属書Aに対応する各管理策について、目的、具体的な実施例、運用上のポイントなどを解説したガイドラインであり、管理策をどのように実装・運用するかを理解するための手引きとなります。

一般的に、認証取得の場面ではISO27001を基準に適合性を確認し、管理策の設計・運用を行う際にISO27002を参照する形で活用されます。

ISO27001の附属書Aの管理策における4つのテーマ

ISO27001の附属書Aでは、情報セキュリティ対策を体系的に整理するため、管理策を4つのテーマ「Organizational, People, Physical, Technological」に分類しています。

この分類により、企業・組織は「どの領域で、どのような対策が必要か」を俯瞰的に把握できるため、抜け漏れのない情報セキュリティ管理体制が構築される仕組みです。以下では、それぞれのテーマの考え方と役割について解説します。

組織的管理策（Organizational）

組織的管理策（Organizational）は、情報セキュリティを組織全体で統制するためのポリシー・ルール・体制に関する管理策です。情報セキュリティ方針の策定、役割・責任の明確化、リスクアセスメントの結果を踏まえた管理策の整備、外部委託先の管理などが含まれます。

ここでは、技術的な対策以前に、経営層を含めた企業・組織としての意思決定および統制が適切に機能しているかが重視されます。組織的管理策が不十分な場合、個々の対策が場当たり的になり、情報セキュリティ対策全体の実効性が低下するため、情報セキュリティマネジメントシステム（ISMS）の土台となる重要なテーマです。

人的管理策（People）

人的管理策（People）は、従業員および関係者の行動・意識に起因する、情報セキュリティリスクを低減するための管理策です。募集・採用～在職～退職及び退職後のルール整備、情報セキュリティ教育・訓練、守秘義務の明確化、不正行為への対応などが該当します。

情報漏えいは人為的ミス、内部不正に起因することが多いため、人的管理策は実務上不可欠な要素です。従業員一人ひとりが情報セキュリティの重要性を理解し、適切に行動できる状態の維持が、企業・組織全体の情報セキュリティ水準の向上に寄与します。

関連記事：ISMS教育を効果的に実施する方法とは？目的や手順・頻度について解説

物理的管理策（Physical）

物理的管理策（Physical）は、建物・設備・機器などの物理的な環境を対象とした情報セキュリティ対策です。入退室管理、執務エリアの区分、機器の盗難・紛失防止、災害対策などが含まれます。

情報はデジタルデータだけでなく、紙媒体および端末そのものからも漏えいする可能性があるため、物理的な管理策の実施は不可欠です。物理的管理策の適切な整備により、不正アクセス、情報資産の破壊・紛失といったリスクを低減し、情報を安全に取り扱う環境を確保できます。

技術的管理策（Technological）

技術的管理策（Technological）は、システム・ネットワークを通じた情報セキュリティリスクに対応するための管理策です。アクセス制御、認証・認可、暗号化、ログ管理、マルウェア対策、脆弱性管理などが該当します。

近年のサイバー攻撃の高度化に伴い、技術的管理策の重要性はますます高まっています。ただし、技術的対策だけで万全とは言い切れないため、組織的・人的・物理的管理策と組み合わせた運用が必要です。

附属書Aの要素をセキュリティ管理規程に盛り込むポイント

附属書Aの管理策をセキュリティ管理規程に反映する際のポイントは、以下の3点です。

管理策は基本方針・原則レベルで定める
適用宣言書（SoA）と整合した内容にする
リスクアセスメント結果との関係性を明確にする

以下では、各項目について留意すべき理由も踏まえ、詳しく解説します。

管理策は基本方針・原則レベルで定める

附属書Aの管理策をセキュリティ管理規程へ盛り込む際は、具体的な手順や細則まで書き込み過ぎず、基本方針・原則レベルで定める必要があります。管理規程は、企業・組織全体に共通する情報セキュリティ統制の基本方針を示す文書であり、詳細な運用方法は個別規程および手順書類で補完する方法が適切です。

管理策を原則レベルで整理すれば、技術変更、業務内容の変化が生じた場合でも柔軟に対応でき、管理規程自体の形骸化も抑止できます。規程・手順・記録の役割を明確に区分すれば、現場運用との乖離を防ぎ、実効性の高いセキュリティ統制の維持にも寄与します。

適用宣言書（SoA）と整合した内容にする

セキュリティ管理規程は、適用宣言書（SoA）に記載した管理策の採否および適用理由との整合性の維持が不可欠です。適用宣言書（SoA）で「適用」とした管理策が規程に反映されていない、不採用とした管理策が規程に含まれているなどの場合、審査で不整合箇所として指摘を受ける可能性があります。

管理規程の制定、改訂時には、適用宣言書（SoA）との対応関係を確認し、各管理策の目的および適用範囲が一致しているか確認する必要があります。管理策の適用範囲・前提条件が異ならないよう整理し、文書間の一貫性の確保が肝要です。

リスクアセスメント結果との関係性を明確にする

附属書Aの管理策は、リスクアセスメントの結果に基づいて選択・適用されるため、セキュリティ管理規程においても両者の関係性を明確にしておく必要があります。どのような情報資産リスクに対し、どの管理策を講じるのか対応関係が整理されていない場合、規程が実態と結び付いていない形式的なものと判断される可能性が高くなるためです。

管理規程では、リスク対応方針とのつながりを示し、実務と一体化した管理体制である旨を説明できる状態が求められます。その結果、管理策の選定根拠が明確になり、審査時における説明の明確化、審査対応力の向上にも寄与します。

総括

本記事では、ISO27001の附属書Aとはなにか、記載されている管理策の内容、およびセキュリティ管理規定に盛り込む際のポイントについて解説しました。ISO27001の附属書Aは、情報セキュリティリスクに対してリスク対応のために管理策を選択する際の重要な基準です。

管理策の目的と適用範囲を正しく理解し、リスクアセスメント・適用宣言書（SoA）と整合した形で運用すれば、形式にとどまらない実効性の高い情報セキュリティマネジメントシステム（ISMS）を構築できます。附属書Aを単なるチェックリストとして扱うのではなく、自社・自組織の業務内容やリスクの実態に即して管理体制へ具体化することが、情報セキュリティ対策の実効性を高めるうえで不可欠です。