前回はISO27001の改訂について「改訂の背景・概要、スケジュール」などについて解説をしました。
大雑把な改訂概要は掴めたものの、以下のような具体的な変更内容がまだ分からない!
という方も多いのではないでしょうか。
・新しく追加された11の項目ってなに?
・管理策の内容は?
・どんな手順を踏まなければならない? などなど
そこで第2部の今回は、【新規追加管理策】の詳しい内容について解説していきます。
目次
規格改訂は、社会情勢や環境の変化に応じて、現状に合うようにルールの変更を行うことです。今回のISO/IEC27001の改訂も、オンプレ環境からクラウドサービスが普及した環境の変化や現在実際に起きているトラブルや想定されるリスクを踏まえての規格改定です。
この改訂でのメリットと今後の展望は、主に以下の2点が考えられます。
情報セキュリティの向上
規格改訂により、情報セキュリティの管理体制が更に強化されます。改訂された要件を適切に運用することで、より信頼性の高い情報セキュリティ体制の構築が可能となります。
国際的な信頼と競争力の向上
規格改訂により、情報セキュリティ管理体制が強化されることで、組織は信頼性の高い情報セキュリティ体制を築き、国際的な信頼を得ることができます。
改訂の背景や概要をまとめた詳しい記事は、こちらをご覧ください。
【2024年最新版】ISMS(ISO27001)改訂の背景と概要を解説!】
ISO27001:2013の附属書Aには、情報セキュリティリスクを軽減するための114の管理策が記載されていましたが、今回の改訂で【114→93】の管理策に変更となっています。
114→93と数が減ったように見えますが、実は【新たに11の管理策】が追加されているため、実質的には内容が増えています。
実際に追加された管理策は、以下の通りです。
| 管理策No&2022管理策 | 管理策 |
| 5.7 脅威インテリジェンス | 情報セキュリティの脅威に関連する情報を収集・分析し、脅威インテリジェンスを構築しなければならない |
| 5.23 クラウドセキュリティサービス利用のための情報セキュリティ | クラウドサービスの取得、利用、管理、および終了に関するプロセスは、組織の情報セキュリティ要求事項に基づいて確立しなければならない。 |
| 5.30 事業継続のためのICTの備え | ICTの備え(Readiness)は、事業継続の目的とICT継続の要求事項に基づいて確立しなければならない。 |
| 7.4 物理的セキュリティ監視 | 施設内では、認可されていない物理的アクセスに対し、継続的に監視しなければならない。 |
| 8.9 構成管理 | ハードウェア、ソフトウェア、サービスおよびネットワークのセキュリティ構成を含む構成は、確立し、実施し、監視し、レビューしなければならない。 |
| 8.10 情報の削除 | 情報システムや機器、その他の記憶媒体に保存された情報は、必要がなくなった時点で削除しなければならない。 |
| 8.11 データマスキング | データマスキングは、適用される法律を考慮した上で、アクセス制御に関する組織のトピック固有の方針、およびその他の関連するトピック固有の要求事項、ならびにビジネス要求事項に従って使用しなければならない。 |
| 8.12 データ漏洩の防止 | データ漏洩防止策は、システム、およびアプリケーションの異常な挙動を監視し、潜在的な情報セキュリティインシデントを評価するために適切な処置を講じなければならない。 |
| 8.16 監視活動 | ネットワーク、システム、およびアプリケーションの異常な挙動を監視し、潜在的な情報セキュリティインシデントを評価するために適切な処置を講じなければならない。 |
| 8.23 ウェブフィルタリング | 外部のウェブサイトへのアクセスは、悪意のあるコンテンツへさらされることを減らすために管理しなければならない。 |
| 8.28 セキュリティに配慮したコーディング | ソフトウェア開発には、セキュアコーディングの原則を適用しなければならない。 |
脅威情報については、「連絡先一覧表」に特定した専門組織やニュースなどより入手し、情報セキュリティ責任者はリスクアセスメントを実施する際に、必要に応じて入手した脅威情報を考慮する。
また、リスクアセスメントの結果から適切なリスク対応を決定し、実施すること。
クラウドサービスの利用に当たっては、サービス提供者の事業の継続性やサービスに関するセキュリティ事項を考慮して選定する必要があり、サービスの利用終了時には、データの削除が確実に実施されることを確認する必要がある。
事業継続のためのICT継続の要求事項に基づいて、計画・実施・維持・テストしなければならない。
情報資産の性質に応じて、入退を制限する場所に「衆人環視」「監視カメラの設置」「侵入者警報の設置」「警備員の配置」などの適切な監視を行う。
重要度の高いハードウェア、ソフトウェア、サービス、ネットワークを利用する際は、安全に利用するための設定が必要。
また、設定の変更をする際は「8.32 変更管理」の手順でおこない、設定の妥当性について定期的な確認をすること。
情報は関連する法律および規制、契約上の要求事項を考慮し、適切な削除を行う。
個人の特定が可能な情報や機密性の高い情報を取り扱う時は、必要に応じてマスキングが必要。
また、取り扱う情報が仮名加工情報や匿名加工情報の場合は、個人情報保護法令などに準拠する。
システム、ネットワーク、機器に対して、データ漏洩防止対策を行い、必要に応じてネットワーク監視、ネットワークや機器の暗号化などを行うこと。
情報セキュリティインシデントの可能性がある事象を評価するために、ウイルス対策ソフト、ネットワーク、情報システム、アプリケーションにおいて継続的な監視を行う。
アクセスすることが望ましくないウェブサイトを特定し、必要に応じてアクセス制限をすること。また、アクセス制限を実現するために、システム導入や教育を実施する。
ソフトウェアに潜在する脆弱性を減らすために、セキュアコーディングの原則を定める。
また、セキュアコーディングの原則には、「計画及びコーディング前」「コーディング中」「レビュー及び保守」のフェーズでの考慮をする。
今回は、新しく追加された管理策について解説してきました。
実際に管理策内容をみてみると、クラウドサービスが普及した現代に必要な内容になっていることがわかりますね。
ここまで第1部と2部にわけて、改訂の背景~改訂内容の詳細についてみてきました。
次回、ISO27001の改訂についてお届する最後となる第3部は、【改訂の流れ】を解説します。
どんな流れでの改訂作業になるのかをイメージし、スムーズに取得まで進めるための参考にしていただけたらと思います。
株式会社Runway labo.では、あらゆるITのお悩み・認証資格取得のサポートを行っております。
セキュリティツールなどの導入支援なども行っておりますので、セキュリティ面について不安を抱えている企業様や担当者様がいらっしゃいましたら、ぜひお気軽にご相談ください。
→お問い合わせはこちらから
この記事を書いたのは、株式会社Runway-labo.で情シスのアシスタントをしているAnya。趣味はピラティスで身体を動かした後に餃子とハイボール片手に昼飲み。そしてコナン君をこよなく愛する。