そもそもISO27001とは何か?

ISO27001は、情報セキュリティ管理システム(ISMS)の国際規格であり、組織が情報資産をどのように保護し管理すべきかに関するガイドラインを提供します。この規格は、リスク管理やセキュリティ対策の計画から実施、維持、改善までの一連のプロセスを定義しており、企業や団体が情報漏えいなどのリスクを軽減することを目的としています。ISO27001の認証を取得することで、情報セキュリティにおける国際的な信頼性を高めることができます。

ISO27001、ISO27002、JIS Q 27001の関係性

ISO27001とISO27002は密接に関連しており、ISO27001は情報セキュリティ管理システムの要件を規定する一方、ISO27002はその実施のための管理策ガイドラインを提供しています。
ISO27001(JIS Q 27001)の中には「附属書A」という項目があり、附属書Aは情報セキュリティ上のリスクを軽減するための管理目的とその目的を達成するための管理策で構成されているガイドラインです。
この附属書Aの管理策についての解説や具体例が記載されたものが「ISO27002」です。
また、JIS Q 27001は、日本におけるISO27001の国内規格にあたります。
つまり、ISO27001は国際規格であり、原文は英文となります。
ISO27001を日本企業向けに分かりやすいように日本語訳したものが、JIS Q 27001になります。
ISO27001とJIS Q 27001は書かれている言語やニュアンスが異なるだけで、内容自体ほぼ同じものになります。
このように、これらの規格は情報セキュリティの管理と実施をサポートするための補完的な役割を果たしています。

改訂の背景と変更点とは

ISO27001の改訂が行われる背景には、情報技術の急速な発展や新たなセキュリティ脅威の出現があります。これに応じて、規格も最新のシステムや環境に適合するようアップデートされました。
それに際して2022年7月28日に、FDIS(Final Draft International Standards)の投票が始まりました。FDISとは、最終国際規格案のことで、規格案を承認するか否かの最終投票が行われる段階にあることを意味しています。
最終投票は8週間の期間が設けられており、今回の改訂では、9月21日に投票が締め切られ投票での承認後、2022年10月25日に国際規格として発行されました。
具体的な変更点としては、セキュリティ管理策の見直しやリスク管理手法の改良、業界の新しいベストプラクティスの反映などが挙げられます。このような更新によって、組織が最新のセキュリティに対応しやすくなっています。
ISO/IEC27001:2013からISO/IEC27001:2022の改訂による主な変更点は、以下の3点です。
・管理目的が削除され、「管理策」が「情報セキュリティ管理策」へと変更
・潜在的曖昧さを取り除く修正
・附属書A

本文の表現が変更になった部分はあるものの、実質的な変更はなく、改訂内容の大半は「附属書A」の内容となります。
今回の改訂により、管理策の数が114個から93個に減少していますが、
内容の近い管理策が統合されるなどして減少したものの、行うべき管理策の数が単純に減少したというわけではありません。
また新たに11の管理策が追加されたため、実質的には内容が増えています。

追加された11の管理策についての詳細は以下の通りです。

5.7 脅威インテリジェンス
サイバー攻撃やフィッシング、ハッキングなど情報セキュリティの脅威に関連する情報を収集・分析し、対応することが望ましい
5.23 クラウドサービス利用のための情報セキュリティ
クラウドサービスの取得、利用、管理、および終了に関するプロセスは、組織の情報セキュリティ要求事項に基づいて確立することが望ましい
5.30 事業継続のためのICTの備え
有事の際に情報セキュリティを維持するだけでなく、情報通信技術の事業が継続できるように対策を設定し、それらを試験などで検証するのが望ましい
7.4 物理的セキュリティ監視
監視カメラや警備員を配置するなど敷地内を物理的に監視するのが望ましい
8.9 構成管理
ハードウェア、ソフトウェア、サービスおよびネットワークのセキュリティ構成を含む構成は、確立し、文書化し、実施し、監視し、レビューすることが望ましい
8.10 情報の削除
情報システムや機器、その他の記憶媒体に保存された情報は、必要がなくなった時点で削除されることが望ましい。データ消去の方針を定めて実施する
8.11 データマスキング
データマスキングは、適用される法律を考慮した上で、アクセス制御に関する組織のトピック固有の方針、およびその他の関連するトピック固有の要求事項、ならびにビジネス要求事項に従って使用することが望ましい
8.12 データ漏洩の防止
外部からの攻撃だけでなく、内部流出の脅威への対策を実施する
8.16 監視活動
ネットワーク、システム、およびアプリケーションの異常な挙動を監視するのが望ましい
8.23 ウェブフィルタリング
外部のウェブサイトへのアクセスは、悪意のあるコンテンツへさらされることを減らすために管理することが望ましい
8.28 セキュリティに配慮したコーディング
ソフトウェア開発には、セキュリティに配慮したコーディングの原則を適用することが望ましい

ISO27001の要求事項、現在の最新版とは?

ISO27001の要求事項は、情報セキュリティ管理システムの策定、実施、運用、監視、見直し、維持および改善を行うためのプロセスを定義しています。現在の最新版では、これらのプロセスにおける各段階での具体的な方法や方針、手順について細かく規定されています。最新版を参照することで、組織はより効果的な情報セキュリティマネジメントが可能となり、日々の業務を安全に遂行するための基盤を構築できます。
公式のものは、一般財団法人日本規格協会の書籍販売サイトから購入いただけますので、気になる方はチェックしてみてください。

最新の規格改訂はいつ行われたのか?

2022年10月にISO27001(ISMS)の規格改訂がありました。
今回の改訂では管理策が変更されるため、それに伴う適用宣言書の見直しやセキュリティ管理規程の見直しが必須です。
ISO27001の最新の規格改訂は、情報技術の進化や国際的なセキュリティ脅威の変化に対応するために適宜行われます。最新の改訂が行われる時期や内容はISOによって公表されるため、公式の更新情報を確認することが重要です。
また改訂審査の詳細な内容については、認証機関によって違いがあるため審査を受ける認証機関に必ず確認をとりましょう。

移行期間と対応策について

新規格であるISO/IEC27001:2022への移行期限は、2025年10月31日までです。
すでにISMS認証を取得し運用している企業は、移行審査を受ける必要があります。
規格が改訂された場合、組織は新しい基準に移行するための期間が設けられます。この移行期間中に、組織は既存のプロセスを見直し、必要に応じて変更を加える必要があります。具体的な対応策としては、内部監査の強化や従業員教育の実施、リスクアセスメントの再実施などがあります。適切な移行計画を立てることで、スムーズに新版への移行を行い、情報セキュリティの維持向上を図ることが求められます。
移行審査の開始時期や費用については認証機関によってころなるので事前に確認しておきましょう。

規格改訂のメリットと今後の展望

規格改訂の大きなメリットは、最新のセキュリティリスクや技術に対応できることです。これにより、組織は常に適切なレベルの情報保護を維持でき、顧客との信頼関係を強化することができます。今後、さらなる情報技術の進化が予測されており、規格もそれに伴って進化を続けるでしょう。それにより、組織は柔軟に変化するセキュリティ環境に迅速に対応し続けることが期待されます。

最新版の規格はどこで手に入れられるか?

最新版のISO27001規格は、ISOの公式ウェブサイトや各国の標準化機関のオンラインストアで購入できます。また、専門のセミナーや研修会などでもその内容が発表されることがあります。正規ルートからの取得が推奨されており、最新の情報を得ることで、組織の情報セキュリティ管理体制を適切に整備することが可能となります。常に最新の規格にアクセスすることで、セキュリティ対策を適切に強化できます。

まとめ

ISO27001は、情報セキュリティの管理を行う上で欠かせない国際規格です。ISO27002やJIS Q 27001との関連性を理解し、定期的な改訂に基づいてシステムを更新することが求められます。それにより、組織としてのセキュリティレベルを高め、さまざまな脅威から情報を守ることができるでしょう。最新の規格を常に確認し、適切な移行と対応策を講じることが、効果的な情報セキュリティ管理には欠かせません。