Written by ねこずきのねこ。
広報・販売企画・販売パートナー様支援を経て、現在プロダクトPRに携わる。
目 次
そもそもISO27001とは
ISO27001とISMS(JIS Q 27001)の違い
ISO27001改訂の移行スケジュールと執行期限
ISO27001改訂2022を解説
ISO27001改訂で監査のために何をすべきか
ISO27001改訂から読み解くこれからのセキュリティ
【新旧対応表付】認証未取得企業も必見!
ISO27001改訂ポイントを解説
ISO27001改版ポイントを解説すると共に、未取得企業にも役立つ複雑化するセキュリティ対策のポイントをご紹介します。
この記事のチェックポイント
- ISO27001(2022版)が2022年10月25日に5年ぶりに改訂された
- 管理策が大きく4つに再分類された
- 項目は114個から93個に絞り込まれ、11の新管理策が追加された
- 2013版は、2025年10月31日で失効してしまう
2022年10月に情報セキュリティの国際規格ISO27001:2022が改訂されました。
今回の改訂は5年ぶりの大幅改訂となり、ISO27001やISMS認証を取得している多くの企業がその対応を検討することとなります。
今回は、そんなISO27001改訂を解説すると共に、改訂内容から企業が行っておきたいこれからのセキュリティ対策を紐解きます。ISO27001やISMS認証を取得してない企業様にとっても、巧妙化するサイバー攻撃や、変化の激しい市場動向に対して、「何を・どこまで」対策すべきかの対策指針として是非参考にしていただきたいと思います。
そもそもISO27001とは
そもそもISO27001とは何なのか・・・ISOとは品質の基準を国際化した規格で、27001は「情報セキュリティ」に対する規格です。スイスのジュネーブに本部を置く非政府機関が管轄しており、様々な国際規格を制定しています。ISOには様々な規格が存在しており、ISO認証を取得することで、自社が提供している製品やサービス、マネジメントシステムが国際基準を満たしていると証明することができます。その中で、情報セキュリティに対する規格がISO27001です。
さらにISO27001にはアドオン規格として、最近注目を浴びているクラウドのセキュリティに特化したISO27017、個人情報保護に特化したISO27701などがあります。そのほかにも品質、食品、医療など業種特化型の規格もあり、様々な企業様が業界や業務体系、取り扱う情報などに合わせて選択して取得されています。
ISO27001(ISMS)を取得するメリット
このようにセキュリティ対策の指標となる様々な法人向けセキュリティ認証がありますが、ISO27001(ISMS)をはじめとする法人向けセキュリティ認証を取得するメリットは様々あります。
1.体制強化・セキュリティの不安解消
組織の情報セキュリティ水準が向上し、漠然とした不安の解消や、情報漏洩などのリスクに備えることができます。どのようなセキュリティ対策をどこまで行えばいいかの指針にできます。
2.セキュリティの客観的な証明
可視化することが難しいセキュリティ対策レベルや網羅性を、認証取得により客観的に証明することができます。特にISOは国際規格のため、海外でもセキュリティを証明するための一助になると考えられます。
3.ビジネスチャンス
官公庁や大企業などと取引を行う場合、セキュリティ要件対応が必須のケースが多いため、認証取得でビジネスチャンスに繋がります。上記「2.セキュリティの客観的な証明」と同様、国際規格のため、海外のビジネスシーンにおいても、PRとなると考えられます。
弊社が、法人向けセキュリティ認証取得者(取得予定者)に「セキュリティ認証取得(予定)に至った理由」についてアンケートを取ったところ、「セキュリティ体制の構築」や「対外PRのため」に次いで、「親会社・取引先からの要求」が取得の背景となっており、上記の3つのメリットともマッチしていることが分かります。
ISO27001とISMS(JIS Q 27001)の違い
有名な法人向けセキュリティ認証として、ISMS認証があります。こちらも情報セキュリティには欠かせない認証となっており、日本でも約7,400社以上(2023年6月現在)が取得、現在も右肩上がりで増えている状況です。その背景には、脅威の増加や巧妙化に対抗するための体制構築、改正個人情報保護法施行に伴う情報漏洩時の報告義務化など、情報セキュリティに対する意識の向上が考えられます。ここで気になるのがISO27001とISMSの違いです。
結論から申し上げると、ISO27001とISMSの対策における違いは殆どありません。ISO27001は情報セキュリティの国際規格ですが、ISMSは、そのISO27001に基づいたの国内規格(JIS Q 27001)です。そのためISO27001は英語で、JIS Q 27001は日本語で表記されています。関係性としては、ISOには情報セキュリティを構築するための「管理策」が示されており、ISMSはその「管理策」を維持するための仕組みづくりが盛り込まれています。そのため、今回のISO27001改訂により、ISMS認証取得企業も改訂の対応が求められることになります。
ISO27001改訂の移行スケジュールと移行期限
ISO27001の2013版は、2025年10月31日で失効してしまうため、順次対応が必要です。移行期間はISO27001:2022が出てから3年とされていますが、様々な条件があるため、早い企業で1年強、完全移行までに実質2年程度となります。ISMS認証の対応は、JIS Q 27001(日本語版)を待って対策していただくこととなりますが、ISO27001の対訳版(日本語訳)が提供されていますので、そちらを利用して対策を進めることもできます。そこで気になるのが、ISO27001の対訳版とJIS Q 27001の違いですが、全く違うものに変わることはないと考えられます。余裕を持った対策をされたい企業様は対訳版にて、今からギャップ分析・管理策対応を始めていただければと思います。エムオーテックスではギャップ分析に役立つ簡易の差分表をホワイトペーパーに掲載していますので、参考にしてください。
<2023年9月追記>
2023年9月20日に日本語JIS Q 27001が発表されました。既に発表されていたISO27001対訳版(日本語版)と内容は変わっていません。すでにISO27001:2022で進めていただいた企業も安心頂いて結構です。
ISO27001改訂2022を解説
今回のISO27001改訂は5年振りとなり大幅に改版されています。ISO27001は、本文(PDCAサイクル)と附属書A(管理策一覧)の2つで成り立っていますが、今回の大幅改版の対象は主に附属書Aとなっています。今回のISO27001改訂のポイントは大きく3つです。
1.11の新管理策が追加
2.項目を再整理し、114個から93個に絞り込み
3.新たに管理策を4つに分類
1.11の新管理策が追加
最新のセキュリティ動向に対応するために、新たな管理策が11個登場しました。
サイバー攻撃の増加と攻撃の巧妙化に「5.7脅威インテリジェンス」、クラウドサービスの利用時の情報漏洩事故の増加に「5.23クラウドサービスの利用における情報セキュリティ」など、最新のトレンドとして企業が対策を行うべき内容が追加されています。また、監視をしてインシデントの兆候をいち早くキャッチアップする「8.16監視活動」の追加は、情報セキュリティに対する取り組み方が変わった管理策でもあります。
| 5.7 | 脅威インテリジェンス |
|---|---|
| 5.23 | クラウドサービスの利用における情報セキュリティ |
| 5.30 | 事業継続のための ICTの備え |
| 7.4 | 物理的セキュリティの監視 |
| 8.9 | 構成管理 |
| 8.10 | 情報の削除 |
| 8.11 | データマスキング |
| 8.12 | データ漏えい防止 |
| 8.16 | 監視活動 |
| 8.23 | ウェブフィルタリング |
| 8.28 | セキュリティに配慮したコーディング |
2.管理策を再整理、114から93に絞り込み
ISO27001:2013(改版前)では管理策が114ありましたが、今回のISO27001改訂で93に絞り込みされました。この93の管理策は、全てが新しいものというわけでなく改版前にあった複数の管理策を1つに集約されているものも複数あります。この93の管理策は主に3つの対応が想定されます。
本記事では、一部の「本格的に対応すべき管理策」をピックアップしていますが、93全てを知りたい方は、ホワイトペーパーをご用意していますので、是非ご参照ください。
| 現在の規程のままで対応できる管理策 | 71 |
|---|---|
| 多少の準備が必要な管理策 | 11 |
| 本格的に対応すべき管理策 | 11 |
3.新たに管理策を4つに分類
ISO27001:2013(改版前)ではA5~A18の14カテゴリで構成されていました。今回のISO27001:2022改訂で、「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」の4カテゴリへ再分類されました。この改訂により、対策時の分かりやすさはもちろんのこと、他の情報セキュリティガイドラインや法令との親和性が高まります。例えば個人情報保護委員会が定義しているガイドラインでは、具体的な対策として4つの安全管理措置が設けられており、これと似たカテゴリ分けとなっています。今回の改定に伴い、情報セキュリティの取り組み・施策の実施がしやすくなっています。
| カテゴリ名 | 管理策数 |
|---|---|
| A.5 情報セキュリティのための方針群 | 2 |
| A.6 情報セキュリティのための組織 | 7 |
| A.7 人的資源のセキュリティ | 6 |
| A.8 資産の管理 | 10 |
| A.9 アクセス制御 | 14 |
| A.10 暗号 | 2 |
| A.11 物理的および環境的セキュリティ | 15 |
| A.12 運用のセキュリティ | 14 |
| A.13 通信のセキュリティ | 7 |
| A.14 システムの取得、開発及び保守 | 13 |
| A.15 供給者関係 | 5 |
| A.16 情報セキュリティインシデント管理 | 7 |
| A.17 事業継続マネジメントにおける情報セキュリティの側面 | 4 |
| A.18 順守 | 8 |
| カテゴリ名 | 管理策数 |
|---|---|
| 組織的管理策 | 37 |
| 人的管理策 | 8 |
| 物理的管理策 | 14 |
| 技術的管理策 | 34 |
【新旧対応表付】認証未取得企業も必見!
ISO27001改訂ポイントを解説
ISO27001改版ポイントを解説すると共に、未取得企業にも役立つ複雑化するセキュリティ対策のポイントをご紹介します。
ISO27001改訂で監査のために何をすべきか
ISO27001改版を受け、監査に向けてやるべきことは4つです。
1.ギャップ分析
2.管理策の更新対応
3.関連文書の見直し
4.変更した体制で運用・評価
1.ギャップ分析
まずはISO27001:2013(改版前)とISO27001:2022(改版後)の本文の違いを洗いだしましょう。その上で統合・入れ替えられた変更点に対して、対応を検討します。追加された要求事項はどれか、修正は必要か、自社でどう対応すべきか対策方針を立てましょう。
2.管理策の更新対応
今回は、附属書Aが大きく改訂されているため、新規で追加された管理策を中心に求められている内容理解が重要です。前章で「現在の規程のままで対応できる管理策」としましたが、対策対象が広がっていたり、範囲が広がっていたりするので注意が必要です。自社の対応の必要性と、どのように対応していくかを検討しましょう。
3.関連文書の見直し
規格本文のプロセスを記載しているマニュアル(関連文書)があれば、見直しします。今回は附属書Aが大幅改版しているため、適応宣言書と管理策を参照している文書の更新は必須です。対象管理策に追加や実施手順等の更新をかけましょう。
4.変更した体制で運用・評価
更新したISMSで運用しましょう。変更した管理策や体制に関して、内部監査を行いマネジメントレビュー実施後、見直しが必要な場合は対応しましょう。
エムオーテックスでは、ギャップ分析に役立つ簡易の新旧対比表付きホワイトペーパーをご用意しています。ギャップ分析や管理策の見直し時にお役立てください。
ISO27001改訂から読み解くこれからのセキュリティ
前段でお話ししたとおりISO27001改訂で新たに追加された管理策は、昨今のトレンドや脅威を加味して策定されています。これらはISO27001(ISMS)認証を取得していない企業様にとっても、取り組んでおきたいセキュリティ対策と言えます。認証取得を目的にしなくとも、対策方針としてぜひ参考にしていただきたいと思います。
今回のISO27001(ISMS)改訂から読み説ける「企業が行っておきたいセキュリティ」としては、新たに追加された11の管理策と言えます。ざっくりグルーピングするとサイバー攻撃対策に関連した対策やクラウドサービス利用時のセキュリティ、改正個人情報保護法対策などが想定され、多くの企業で対策をされている項目もあると思います。
一方でその対策範囲は広範囲に渡り、自力での対策にも限界があります。そんな時に頼りになるのが、認証取得コンサルタントへの相談や、セキュリティ対策ツールです。
エムオーテックスでは、ISO27001の新管理策に対応できる様々な対策ソリューションをご用意しています。新管理策に対するエムオーテックスソリューションの対応表は、ホワイトペーパーにも記載していますのでご参照ください。また認証未取得の企業様もISO27001やISMSでどんなセキュリティが求められているかを知ることができますので、是非ご一読ください。
| 5.7 | 脅威インテリジェンス |
|---|---|
| 5.23 | クラウドサービスの利用における情報セキュリティ |
| 8.16 | 監視活動 |
| 8.23 | ウェブフィルタリング |
| 8.28 | セキュリティに配慮したコーディング |
時代の進化と共にICT技術も進歩しています。一方でセキュリティリスクや脅威も多様化しており、企業が安心・安全に企業活動を行うために必要な対策は広がり続けるでしょう。そんな「何を・どこまで対策すべきか」困った時には、是非法人向けセキュリティ認証を参考にしてみてはいかがでしょうか。エムオーテックスは情報セキュリティという経営課題を支援します。
【新旧対応表付】認証未取得企業も必見!
ISO27001改訂ポイントを解説
ISO27001改版ポイントを解説すると共に、未取得企業にも役立つ複雑化するセキュリティ対策のポイントをご紹介します。
関連する記事
