2022年2月の「ISMSの導入に必要な要件を規定する規格:ISO/IEC 27002」の改訂に合わせて、2022年10月に「ISMSの実施に必要な具体的なガイドラインを記載する規格:ISO/IEC 27001」が改訂されました。さらに2023年9月には、ISO/IEC27001の日本語版である「JISQ27001」が発行されました。
約9年ぶりとなった改訂の内容について、変更点とともに、既にISMS認証を取得している組織が実施すべき点を解説します。
今回の改訂には移行期間があり、2025年10月31日までに実施する必要があります。
ISMS認証を取得済の組織は、維持審査や更新審査のタイミングで改訂の内容に対応した文書の見直し、内部監査及び認証審査を実施する必要があります。また、これから認証を受けようとしている組織については、改訂内容を踏まえた対応が必要です。
ISO/IEC 27001の主要な変更点
最初にISMSとISO/IEC 27001との関係性を確認しておきましょう。
ISMSとは情報資産を守るための情報システム(IS)マネジメントシステム(MS)のことです。ISMSを構築するには、情報セキュリティにおいて重要な3要素をバランスよく高めていく必要があります。
・機密性:アクセス権限を付与された者だけが情報にアクセスできる状態
・完全性:情報が最新かつ正確な状態で管理されている状態
・可用性:アクセス権限を付与された者が利用したい時に利用できる状態
ISO/IEC 27001の要求事項に沿ってISMSを構築することで3要素を高められるようになっています。
つまりISMSの構築は、ISO/IEC 27001の要求事項に沿って情報資産を管理する体制を構築・運用することで実現可能と言えます。
次に、ISO/IEC 27001とISO/IEC 27002の関係性についても触れておきましょう。
ISO/IEC 27001には、附属書Aという項目があり、この附属書Aは情報セキュリティ上のリスクを軽減するための管理目的と、その目的を達成するための管理策で構成されています。そして、この管理策をより具体的な内容にしたものがISO/IEC 27002です。2022年に実施された改訂では、ISO/IEC 27001は大幅な改訂は行われておらず、ISO/IEC 27002は大きく改訂されています。認証を取得済の組織のご担当者様は、今後発行されるであろう「JISQ27002」の内容が気になるところだとは思われますが、今回は2023年9月に発行されたJISQ27001の改訂内容を確認しましょう。
管理策のカテゴリの変更
14カテゴリから4カテゴリへ集約(A5~A18 → A5~A8)
カテゴリが4つにまとまり、より分かりやすくなった印象です。
・A5:組織的管理策
・A6:人的管理策
・A7:物理的管理策
・A8:技術的管理策
管理策数の変更
管理策の総数が、114管理策から93管理策へと削減されています。内訳は、以下の通りです。
・新規:11(新たな管理策として追加されたもの)
・統合:24(複数の管理策を1つにまとめたもの(56⇒24))
・変更:58(管理策の内容が変更されたもの)
管理策の変更に伴い適用宣言書や規程の見直しが必要です。その影響により、ISMS自体の運用の見直しが必要となり、従って証跡の見直しも必要になります。特に、新規の管理策の11項目については新たな対応が必要となり得ますので、内容をよく確認しましょう。
| 箇条 | 項目名 | 内容 |
|---|---|---|
| 5.7 | 脅威インテリジェンス | 情報セキュリティの脅威に関連する情報を収集及び分析し、脅威インテリジェンスを構築しなければならない。 |
| 5.23 | クラウドサービスの利用における情報セキュリティ | クラウドサービスの調達、利用、管理及び利用終了のプロセスを組織の情報セキュリティ要求事項に従って確立しなければならない。 |
| 5.30 | 事業継続の為のICTの備え | 事業継続の目的及びICT 継続の要求事項に基づいて、ICT の備えを計画し、実施し、維持し、試験しなければならない。 |
| 7.4 | 物理的セキュリティの監視 | 施設は、認可していない物理的アクセスについて継続的に監視しなければならない。 |
| 8.9 | 構成管理 | ハードウェア、ソフトウェア、サービス及びネットワークのセキュリティ構成を含む構成を確立し、文書化し、実装し、監視し、レビューしなければならない。 |
| 8.10 | 情報の削除 | 情報システム、装置又はその他の記憶媒体に保存している情報は、必要でなくなった時点で削除しなければならない。 |
| 8.11 | データマスキング | データマスキングは、適用される法令を考慮して、組織のアクセス制御に関するトピック固有の方針及びその他の関連するトピック固有の方針、並びに事業上の要求事項に従って利用しなければならない。 |
| 8.12 | データ漏洩の防止 | データ漏えい防止対策を、取扱いに慎重を要する情報を処理、保存又は送信するシステム、ネットワーク及びその他の装置に適用しなければならない。 |
| 8.16 | 監視活動 | 情報セキュリティインシデントの可能性を評価するために、ネットワーク、システム及びアプリケーションについて異常な挙動がないか監視し、適切な処置を講じなければならない。 |
| 8.23 | ウェブフィルタリング | 悪意のあるコンテンツにさらされることを減らすために、外部ウェブサイトへのアクセスを管理しなければならない。 |
| 8.28 | セキュリティに配慮したコーディング | セキュリティに配慮したコーディングの原則をソフトウェア開発に適用しなければならない。 |
箇条の変更点
細かい追加や変更、削除が多数ありますが、以下が新規に追加されています。
「6.3 組織がISMSの変更の必要性を決定したとき、その変更は計画的な方法で行わなければならない」
組織がどの程度ISMSの変更を行うのかにもよりますが、計画的な方法という部分での実施を証跡に残していく必要があると言えそうです。
附属書Aの変更点
軽微な修正がいくつかありますが、その中で新規に追加された「5.7脅威インテリジェンス」について説明します。
文中に「情報セキュリティの脅威に関連する情報を収集及び分析し、脅威インテリジェンスを構築しなければならない。」と記載されていますが、脅威インテリジェンスとは、簡単に言うと、組織のサイバー攻撃等の脅威情報を収集、分析することです。今回の管理策では、この脅威情報の収集や分析したプロセス、結果を成果物としてまとめる必要があります。
これまでは、情報セキュリティを中心に記載されていましたが、ISO/IEC 27001もサイバー攻撃対策が重要になっている現在の状況に合わせてきたという印象です。ゼロデイ攻撃、マルウェア、フィッシング、中間者攻撃、サービス拒否(DoS)攻撃等、現在は様々なサイバー攻撃が増えています。これらの攻撃のメカニズムを把握するとともに、攻撃の識別方法、攻撃により受ける影響、攻撃防御の対策などを専門家による整理と分析実施する必要があります。
おわりに
組織にとってセキュリティ全般の認証と言えばISMS認証と言えると思います。最近のセキュリティ意識の高まりから、ISMS認証の重要性も高まってきており、企業価値を高め対外的にアピールするためにISMS認証を取得する企業も増えています。
今回の改訂ではISMS認証にもサイバーセキュリティに対する項目が追加され、より汎用的なセキュリティ規格となった印象です。どの業種の組織においてもセキュリティ対策が必須となってきている現状では、ISMS認証の必要性もより高まってくるのではないでしょうか。
筆者もこのISO/IEC 27001の改訂に合わせて、ISMS-CLS審査員の資格を新規格対応にて更新しました。
既にISMS認証を取得されている組織や、これからISMS認証を取得したいという組織のご担当者様で、今回の改訂内容に合わせたISMS認証をご検討されている方がおられましたら、お気軽にお問い合わせください。
まずは何から始めれば良いのかを含め、それぞれの組織に合った内容で検討していきましょう。
セキュリティソリューションについて、詳しくはこちら
セキュリティソリューション
