パスワード管理が企業のISO 27001認証取得を支援する仕組み

更新：2025年3月時点で、Bitwardenはデータセキュリティに関するISO 27001管理策に準拠し、ISO 27001認証を取得しています。

国際規格であるISO 27001は、データ管理を含む情報セキュリティマネジメントシステム（ISMS）の構築、維持、発展の基盤を定めています。ISO 27001への準拠または認証取得を目指す企業は、ISO 27001のパスワード管理をツールセットに追加することを検討すべきです。

国際標準化機構（ISO）は、世界的な技術、産業、商業規格を策定・発行する国際団体です。2022年10月に最終更新されたISO 27001のISMS規格は、93の管理策からなるデータセキュリティのフレームワークを提供します。ISO 27001認証を取得するには、企業はそれらすべてへの準拠を示す必要があります。

ISO 27001認証企業となるには、93の管理策に準拠する必要があります。

ISO 27001の認証プロセスでは、独立した認証機関が企業のデータセキュリティポリシーや手順、およびその適用状況を審査する監査を行います。このプロセスは長期に及ぶ場合がありますが、ISO 27001認証監査に合格することは、企業が潜在的な脅威を特定するためのセキュリティリスク評価を実施し、データ侵害から保護するためのセキュリティ管理策を導入していることを示します。

ISO 27001認証は、堅牢な情報セキュリティ管理策を証明するため、顧客の獲得と維持において組織に競争優位性をもたらします。また、自社の情報がどのように管理・保護されるかを重視するサプライヤーやその他のステークホルダーの獲得・維持にもつながります。

監査プロセスへの準備だけでも、既存のISO 27001ポリシーを強化し、社内システム、組織体制、日々の業務プロセスを改善できます。リスク管理プロセスは、組織がCCPAやGDPRなどのデータ保護法により適切に準拠し、コンプライアンス違反による罰金や、回避可能なデータ侵害による評判の失墜を避けるうえでも役立ちます。

93の管理策は附属書Aに含まれ、4つの大きなテーマに分類されます。ISO 27001認証を取得するには、企業はこれらの管理策への準拠を示す必要があります。カテゴリは次のとおりです。

• 組織的管理策（37項目）

• 人的管理策（8項目）

• 物理的管理策（14項目）

• 技術的管理策（34項目）

ISOの前バージョンには、14カテゴリに分かれた114の管理策が含まれていました。そのバージョンには、安全なログオンとパスワード管理システムを規定する文言も含まれていました。

安全なログオンの管理策では、「アクセス制御ポリシーで必要とされる場合、システムおよびアプリケーションへのアクセスは安全なログオン手順によって制御されるべきである」と規定されていました。パスワードマネージャーを使用すると、ユーザーはログインにもう一層のセキュリティを追加でき、対応しているすべてのWebサイトで二要素認証を管理・統合するための場所を1つにまとめられます。

パスワード管理システムの管理策では、「パスワード管理システムは、パスワードの品質を確保するために協調的でなければならない」と述べられていました。ISOは、パスワードマネージャーを使用することを推奨しています。これにより、ユーザーは強力で一意のパスワードを作成でき、共同作業のための安全な共有機能も利用できます。

パスワードマネージャーは、パスワード強度の確保、2FAの適用、イベントログによるユーザーアクティビティの監視を実現します。これらはすべて、ISOのアクセス制御、PIIの保護、エンドポイント保護要件を満たすために企業が備えるべき機能です。

ISO 27001の最新版では、附属書A 5.17でパスワード管理に言及しています。パスワードマネージャーを導入することで満たす、または支援できる附属書Aの要件はほかにも多数あります。網羅的ではありませんが、例として次のようなものがあります。

• 附属書A 5.3、職務の分離：相反する職務および相反する責任範囲は分離しなければならない。

• 附属書A 5.14、情報転送：組織内、および組織と他者との間におけるあらゆる種類の転送設備について、情報転送の規則、手順、または合意を整備しなければならない。

• 附属書A 5.15、アクセス制御：情報およびその他の関連資産への物理的・論理的アクセスを制御する規則を、ビジネス要件および情報セキュリティ要件に基づいて確立し、実施しなければならない。

• 附属書A 5.16、ID管理：IDのライフサイクル全体を管理しなければならない。

• 附属書A 5.17、認証情報：認証情報の割り当てと管理は、認証情報の取り扱いに関するベストプラクティスを要員に助言することを含め、管理プロセスによって制御しなければならない。

  • この基準に関する詳しい入門記事では、セキュアなパスワードを作成する機能など、パスワードの管理に関する助言とともに、パスワードに関する推奨事項を説明しています。また、この目的では、組織に対して、弱い、広く使われている、または侵害された認証情報を避けることを推奨しています。

この基準を踏まえると、組織は、流出済み、再利用、弱い、または侵害の可能性があるパスワードについてレポートし、実行可能なインサイトを得られるパスワード管理システムを導入することが理想的です。

• 附属書A 5.34、プライバシーおよび個人識別情報（PII）の保護：組織は、適用される法規制および契約上の要件に従い、プライバシーの保持とPIIの保護に関する要件を特定し、満たさなければなりません。

• 附属書A 8.1、ユーザーエンドポイントデバイス：ユーザーエンドポイントデバイスに保存される、処理される、またはそれらを介してアクセス可能な情報は保護されなければなりません。

• 附属書A 8.4、ソースコードへのアクセス：ソースコード、開発ツール、ソフトウェアライブラリへの読み取りおよび書き込みアクセスは、適切に管理されなければなりません。

• 附属書A 8.5、安全な認証：安全な認証技術および手順は、情報アクセス制限とアクセス制御に関するトピック別ポリシーに基づいて実装されなければなりません。

  • この目的は、多要素認証を使用してシステムへ安全にログインすることに重点を置いています。パスワードマネージャーを使うことで、ユーザーはログインにもう一層のセキュリティを追加できるだけでなく、対応するすべてのウェブサイトで二要素認証（2FA）を管理・統合するための一元的な場所も得られます。この目的では、パスワードを常に機密として保つべきであることも強調しており、完全に暗号化されたパスワード保管庫の必要性を強く示しています。

パスワード管理システムにより、組織は保管庫内で2FAが無効なアイテムを特定できます。

• 附属書A 8.11、データマスキング：データマスキングは、適用される法令を考慮したうえで、アクセス制御に関する組織のトピック別ポリシー、その他の関連するトピック別ポリシー、およびビジネス要件に従って使用されなければなりません。

• 附属書A 8.12、データ漏えい：機密情報を処理、保存、または送信するシステム、ネットワーク、その他すべてのデバイスには、データ漏えい防止対策を適用しなければなりません。

パスワード管理システムは、上記の附属書Aに記載された多数の要件に加え、全体的な管理策群に含まれる多くの要件を支援します。

ユーザーは認証情報を秘密に保ち、パスワードのベストプラクティス（例：強力で一意のパスワードの生成など）を適用し、さらにパスワードを安全に共有できます。これは、機密情報をエンドツーエンド暗号化で保護するパスワードマネージャーによって実現されます。特定の機密情報や重要情報を閲覧できる人を制限することで、パスワードマネージャーは職務の分離や内部脅威の抑制にも役立ちます。

パスワードマネージャーを使用する組織は、パスワードの強度要件を定め、二要素認証（2FA）を適用し、イベントログを使ってユーザーアクティビティを監視します。これらはいずれも、ISOのアクセス制御、PIIの保護、エンドポイント保護の要件を満たすために企業が備えるべき機能です。信頼性の高いパスワードマネージャーの多くは、SSO連携も容易にし、管理者にアクセスと認証プロセスの管理に必要なツールを提供します。この機能は、ISOの安全な認証要件を満たすのに役立ちます。

ISO 27001認証の支援にパスワードマネージャーを評価する際、組織はそのソフトウェアがエンタープライズグレードのセキュリティおよびコンプライアンス標準（SOC2タイプ2準拠、GDPR準拠、Data Privacy Framework、HIPAAなど）に従っているかを評価する必要があります。企業は、エンドツーエンドのゼロ知識暗号化を提供するソリューションを選択するべきです。