AI・クラウド・IT進化に対応するISO27001の改定
ISO/IEC27001:2022の発行
ISO/IEC27001:2013が改定され、2022年10月に2022年版が発行されました。ビューローベリタスでは、新規格での審査登録を開始しており、2023年5月以降、準備が完了した組織から順次改定審査を進めています。
現代情報セキュリティ事情
携帯電話における5G規格やスマートフォン決済の一般化などにより、「生活のIT化」は、5年前とは比較にならない速度で進行しています。これに伴い、これまで紙媒体で処理されていたあらゆる活動は電子媒体に置き換わり、莫大な電子情報が積み上がっています。電子情報が増加すれば盗難リスクや紛失リスクが拡大し、事故や犯罪のインシデントも拡大の一途です。また、国境をめぐる地域紛争、大国間の利害衝突なども、情報の安全性を脅かします。
「IoT(Internet of Things)」は、“すべてのものをインターネットで繋ぐ”という概念で使われていた言葉ですが、今ではすべてがインターネットに繋がっており、情報への攻撃が紛争解決の手段となるなど、その影響は大きくなっています。
こういったリスクに満ちた環境への対応は、ネットワークを通じた外敵からサイバー攻撃を受ける「外部脅威」、組織内での情報紛失・盗難などの「内部脅威」に分けて考える必要があります。
内部脅威に対応するISO/IEC27001規格
内部脅威とは、組織内部の脆弱性から発生するものですが、それらはいくつかの視点から考える必要があります。代表的なものにITシステムを利用するためのIDやパスワードの利用、在宅勤務などで社内からPCを持ち出す際の手順、共有情報のアクセス管理などがありますが、業務委託先等サプライチェーンの管理など、プロセス全般でIT管理を行なっていかなくてはなりません。ISO/IEC27001はこれらを全方向から管理するための指針として2005年に第1版が発行されました。
ISO/IEC27001の改定
IT機器やシステムは、年とともに大きく変化しています。前述の2005年には現在のスマートフォンといったツールはありませんでした。情報は人々の要求に従って、より小型で大量のものとなり、集積した個人情報やクレジットカード情報などは、利便性が高まる反面、集積そのものが脅威となります。情報の「使い方」や「持ち運び」も変わってきており、内部脅威への対応もこれに合わせて刷新する必要がありました。これまでISO/IEC27001は2013年に改定を行っており、今回(2022年)の改定は、2回目となります。
ISO/IEC27001:2022 どんな点が変更されたのか
現在、「マネジメントシステム」といわれる各種規格(ISO9001、ISO14001など)は、国際標準化機構ISO(International Organization for Standardization)が定めた基本ルールにより、基幹部分の要求事項が構成されています。これは組織がマネジメントシステムを運用するためのPDCA(plan-do-check-act cycle)基本部分であり、この部分に大きな変更はありません。しかしISO/IEC27001には、IT管理を行うための具体的管理策があり、これらは「詳細管理策」として規格の附属書Aにまとめられています。今回の改定ではこれらの管理策について変更がありました。
ISO/IEC27001:2022 詳細管理策の改定
新しい管理策について、いくつかの例をご紹介します。
- 脅威インテリジェンス(詳細管理策5.7)
情報への脅威にはさまざまな原因がありますが、その事実を把握して自組織に生かしていくことは重要です。ここでは、新たな脅威に対する戦略、戦術、運用などの視点から情報を把握し、組織での対抗策を立案するとともに周知していきます。 - クラウドサービス利用の情報セキュリティ(詳細管理策5.23)
すべてがスマートフォンで完結する時代となり、クラウドサービスの利用は当たり前の環境となりました。これらは便利な反面、クラウドとして委託先が見えないため、運用事業者のセキュリティ管理状況が問題となります。
この要求事項では、クラウドサービス使用に関する情報セキュリティ要件、選択と利用範囲、役割と責任などクラウドサービス利用に特異な事項を管理対象とすることになりました。 - 物理セキュリティの監視(詳細管理策7.4)
情報資産のセキュリティを維持するため、物理的な境界は重要な管理策です。人的起因のリスクは、閉鎖区画などにより安全性が高まるからです。この管理策では、機密エリアなどに対して、CCTV(監視カメラ/防犯カメラ:Closed-circuit Televisio)での監視、モーションディテクタなどでの連続検出など、これまで区間のみであった機密エリアを、さらに監視することにより安全性を高める要求となりました。
その他にも新規要求事項がありますが、ISO/IEC27002:2022には2013年版との要求事項比較がありますので、ご参照ください。
認証保有組織の対応
ビューローベリタスでISO/IEC27001認証を取得された組織は、2025年10月31日までに2022年版に移行していただく必要があります。これは2022年版認証書の発行までの期限ですので、適切な期間に移行審査の受審をお願いいたします。
また、特に注意する点として、再認証期限が2024年5月1日以降の組織では、再認証審査をISO/IEC27001:2022で受審していただく必要があります。細かい条件がありますので、詳しくはビューローベリタス担当営業にお問い合わせください。
ISO/IEC27001:2022への移行期限
システム認証事業本部 山口 大輔
【お問い合わせ】
ビューローベリタスジャパン(株) システム認証事業本部
TEL:045-651-4784 神奈川県横浜市中区日本大通18番地 KRCビル8F
ウェブサイト
お問い合わせフォーム