【ISO27001】最新版の改訂内容・スケジュール・移行手順を徹底解説
【入場無料】TD SYNNEX主催のIT展示会「Inspire 2024」10/24(木)東京国際フォーラムにて開催!
情報セキュリティマネジメントシステム(ISMS)に関する国際規格が2022年10月25日に改訂され、「ISO/IEC27001:2022」となりました。本改訂ではクラウド技術やAIの進展、サイバー攻撃の脅威増大、プライバシー重視傾向など情報セキュリティを取り巻く環境の変化に対応した内容となっています。
本稿ではその改訂内容と対応内容・スケジュール・移行手順について解説します。
ISO27001(ISMS)とは?
ISO27001とは、情報セキュリティマネジメントシステム(ISMS)の国際規格であり、情報セキュリティ管理のための仕組みや手順を定めたものです。企業活動における情報セキュリティの確保や、情報が持つ価値を守ることを目的として、企業や国家機関で導入されます。
ISMSは、情報セキュリティの目的、方針、施策、活動、結果などを明確にし、セキュリティ脅威から情報資産を保護・管理するための枠組みです。
ISO27001は、そのISMSを適切に構築・運用するために必要な要件・手順などを具体的に定めています。
ISO27001認証取得のメリット
ISO27001認証取得のメリットは、顧客・取引先からの信頼向上や、情報セキュリティに沿った適切な情報管理体制を証明することができる点です。
なお、ISO27001そのものは認証プログラムではないため、ISO27001への準拠を証明する必要がない企業・組織である場合でも、情報セキュリティ強化のためにISO27001を導入することができます。
ISO27001を導入することで、情報セキュリティの観点から情報資産の価値を守り、情報の取扱いに対する信頼を高め、リスクを適切に管理・軽減することができます。
ISO27002・JIS Q 27001との違い
IS27001に関連する規格として「ISO27002」「JIS Q 27001」が存在し、それぞれ目的や対象範囲が異なります。
【ISO27002】
ISO27002は、情報セキュリティマネジメントにおける推奨実践ガイドラインを示した国際規格です。
ISO27001が情報セキュリティマネジメントシステム(ISMS)の要求事項を規定しているのに対し、ISO27002は、ISO27001が要求している管理策を、企業内でどのように実施するかなど、具体的な実践方法が示されています。
ISO27002は、企業や組織が情報セキュリティ管理を実践する際の指針となるため、情報セキュリティに努めている企業や組織にとっては非常に重要な規格の一つです。
ISO27001と合わせてISO27002を導入することで、情報セキュリティマネジメントをより体系的に取り組むことができます。
【JIS Q 27001】
JIS Q 27001(JIQ27001)は、日本工業規格(JIS)のひとつである「情報セキュリティマネジメントシステム-要求事項」を規定した国内規格です。
JIS Q 27001は、ISO27001と同等の内容が規定されており、ISO27001の日本語訳といった位置づけになります。
日本国内で事業を展開する企業や団体がISO27001認証を取得する際には、JIS Q 27001に準拠していることが必要条件となる場合があるため、JIS Q 27001を導入することで、ISO27001の審査の準備にも役立てることができます。
※JIS Q 27001とJIS27001は異なる認証制度であるため、JIS Q 27001の認証を取得しているからと言って自動的にJIS 27001の認証を取得することはできません。
以上、規格間の関係性を整理すると、ISO27001はISMSを定める規格であり認証の要件となるのに対し、ISO27002はその運用のための具体的な実践方法の指南書、JIS Q 27001は ISO27001の日本語訳と位置づけられます。
「要求事項」と「具体的な管理策」の2つから構成される
ISO27001は、「要求事項(本文)」と「具体的な管理策(附属書A)」の2つから構成されます。
要求事項は、情報セキュリティマネジメントシステム(ISMS)を構築するための基本的な要件で、93項目あります。要求事項はISO27001の中核をなすもので、組織が達成すべき情報セキュリティに関する目標や方針、達成基準などが定められています。
一方、具体的な管理策は、企業として「このくらいのセキュリティ対策を取る必要があります」と示しているもので、企業で採否が可能です。管理策には、要求事項を達成するための具体的な手段や運用手順が記載されており、政策の設定、セキュリティ管理枠組みの構築・運用、教育・トレーニング、物理的セキュリティ対策、ソフトウェア/サービスに関する管理、情報の分類と管理、アクセス制御、外部の委託事業者に関する管理などが含まれています。
「要求事項」を満たし「具体的な管理策」を実施することで、情報セキュリティリスクを管理し情報資産を適切に保護できるISMSを構築することができます。
ISO27001認証を取得する際には、審査機関による要求事項への適合性評価と、管理策の実施状況の評価が行われ、適合が認められれば認証が付与されます。
機密性、完全性、可用性を重視
ISO27001の特徴として、機密性、完全性、可用性を重視している点が挙げられます。ここでは各定義の詳細について解説します。
ISO規格における機密性・完全性・可用性
- 機密性…情報が適切な人にだけ知らされることを意味します。ISO27001では情報の分類と管理、アクセス制御などにより機密情報が適切に保護されることを要求しています。
- 完全性…情報が誤ったり改ざんされていないことを意味します。ISO27001ではセキュリティ管理策により、情報が誤ったり改ざんされるリスクから保護されることを要求しています。
- 可用性…情報へのアクセスと情報システムの利用可能性を意味します。ISO27001では物理的セキュリティ対策、ソフトウェア/サービス管理、IT資産管理などにより、情報と情報システムへの適切なアクセスが確保されることを要求しています。
ISO27001では、この3要素を適切に管理することで、情報資産は適切に保護され、情報セキュリティが確保されると定めています。
ISO27001の主な改訂内容
では次に、ISO27001:2022の具体的な改定内容について触れていきます。
約9年ぶりの改訂、改訂の背景と主な変更点
ISO27001は2005年に発行され、2013年に大幅に改訂されました。そして2022年に約9年ぶりの改訂が行われました。
改訂の背景としては、新たなリスク対象であるクラウドサービスの普及への対応や、各国の個人情報保護法制への対応が主になります。
過去の改訂では、2005年版は情報セキュリティの管理対象を情報システムに限定していましたが、2013年版では重要な文章などを含む情報資産全般を管理対象としました。また、リスクアセスメントやリスクマネジメントが強化されました。
2022年の改訂では主にISO27002(=ISO27001の具体的な管理策にあたる項目)の内容が見直され、今回のISO27001の改訂は、管理策の変更に合わせた改訂となっています。
主な変更部分を抜粋すると、
- 管理策の数が114から93に削減
- 管理策の分類方法が変更され、4つのカテゴリ(組織的対策、人的対策、物理的対策、技術的対策)に再編成。
- 新しい管理策が11個追加
などで、これまで総括的だった管理策の分類にカテゴリ分けがなされたことが大きな特徴です。
2013年の改訂と2022年の改訂の比較
ここでは、2013年の改訂と2022年の改訂内容を比較して表にしています。
改訂版 | ISO 27001:2013 | ISO 27001:2022 |
管理策の数 | 114 | 93 |
管理策の分類 | 14 個のコントロール領域 | 4 つのカテゴリ(組織的対策、人的対策、物理的対策、技術的対策) |
新しい管理策 | なし | 11 |
既存の管理策の更新 | なし | 多数 |
リスクベースの思考の強調 | 中程度 | 強化 |
リモートワークのサポート | なし | 強化 |
サステナビリティのサポート | なし | 強化 |
ポイントをまとめると、管理策の数は減りましたが、新しい11の管理策が追加され、分類方法が変更されています。また、概念としてリスクベースの思考とリモートワークのサポートが追加され、時代の変化に対応がなされています。
新しく追加された11の管理策
ISO27001:2022では、11の新しい管理策が追加されました。
これらの管理策は、組織の情報セキュリティを保護するための包括的なフレームワークを提供し、次のカテゴリに分類されます。
- 組織的管理策:3つ
- 5.7 脅威インテリジェンス
- 5.23 クラウドサービスを利用における情報セキュリティ
- 5.30 事業継続のためのICTの備え
- 物理的管理策:1つ
- 7.4:物理的セキュリティの監視
- 技術的管理策:7つ
- 8.9 構成管理
- 8.10 情報の削除
- 8.11 データマスキング
- 8.12 データ漏えい防止
- 8.16 監視活動
- 8.23 ウェブ・フィルタリング
- 8.28 セキュリティに配慮したコーディング
ISO27001:2022の要求事項を満たすISMSを構築・運用する組織は、これらの新しく追加された管理策を実施する必要があります。
クラウドサービスの普及に合わせた管理策も追加
ISO27001:2022ではクラウドサービスを強く意識した管理策が追加されており、新規にクラウドサービスを利用する際の情報セキュリティに関する管理策「 5.23:クラウドサービス利用時の情報セキュリティ」が新たに追加されました。
この管理策は、クラウド サービスの取得、使用、管理、および終了に必要なプロセスを概説する新しい管理策です。
具体的には、組織は以下のような項目を定義する必要がある旨が記載されています。
- クラウドサービスプロバイダーを選択する際の基準とサービスの使用方法
- クラウドプラットフォームの使用に関するセキュリティ要件または懸念事項
- 組織全体でのクラウドサービス使用における管理・役割・責任の所在
- どの情報セキュリティ領域がクラウドサービスプロバイダーによって制御され、どの領域が組織自体の権限に属するのか
- クラウドサービスのみに関連するインシデント管理手順
- 組織が広範な情報セキュリティ義務に沿って、クラウドプラットフォームの継続的な使用や大規模な導入を管理する方法
- クラウドサービスの利用終了に関するポリシーの導入
ISO27001改訂の移行スケジュール
移行スケジュールについては、大きく見ると下記のタイムラインになります。
時期 | 活動 |
---|---|
2022年10月25日 | ISO27001:2022が発行される |
2022年11月1日 | ISO27001:2022の認証が開始される |
2025年10月31日 | ISO27001:2013の認証が終了する |
ISO27001:2022への移行期間は、ISO27001:2022の発行日の月末(2022年10月31日)から3年間ですので、2025年10月31日までにISO27001:2022への移行を完了する必要があります。
つまり、2025年10月31日までにISO27001:2022の要求事項を満たすISMSを構築・運用し、審査を受ける必要があります。
審査を受けた機関へ相談を
改訂内容への対応は、ぜひ元の審査を受けた機関へ相談しましょう。審査を受けた審査機関へ相談することで、ISO27001:2022への移行計画を立てる際に多くのメリットがあります。
具体的には、次のようなメリットがあります。
- 審査機関の経験と専門知識を活用できる。
- 移行計画がISO27001:2022の要求事項に準拠していることを確認できる
- 移行計画のリスクを最小限に抑えることができる
- 移行計画のコストとスケジュールを最適化できる
ISO27001:2022への移行は、既存の認証を受けた会社にとって大きな負担となりますが、専門家のスキルを借りることで負担を必要最小限度に抑えることができ、またセキュリティ対策の見直しの一環にもなります。
移行手順
ここでは、ISO27001:2022への移行手順について解説します。
ISO27001:2022への移行手順
- (任意)ISO27001の日本語版である「JIS Q 27001」の改訂を待ちます ※2023年夏頃に予定されています
- 2013年版から2022年版への改訂において、各管理策の記述の変更点(追加・修正箇所)を把握します。
- 既存のISMSとのギャップ分析を行います。2022年版の新たな管理策や修正点を既存のISMSと比較し、満たされていない要素(=ギャップ)を抽出します。
- 抽出した各ギャップに対する対応方針を決定します。具体的には、抽出されたギャップについて、
- 管理策を新設/修正する
- リスクを受容する
- 代替管理策を実施する
の中から対応方針を選択の上、ロードマップを作成し、移行計画を策定します。
- 決定した対応方針に基づき、ISMSの移行に必要な活動とスケジュールを盛り込んだロードマップと移行計画を作成します。
- ISMS関連文書を見直します。具体的には、下記の文章です。
- ISMSマニュアル
- 情報セキュリティポリシー
- リスクアセスメント計画
- リスク対応計画
- 内部監査計画
- 改善計画
これらの文書を、ISO27001:2022の要求事項に準拠するように改訂する必要があります。また、作成されていない場合は新規に作成する必要があります。
- 「5」で作成した移行計画に基づき、2022年版に準拠した再認証審査を受審するために審査機関と調整を行います。
- 変更されたISMSの運用・評価
ISMSの運用・評価についても、ISO27001:2022の要求事項に準拠するように変更する必要があります。具体的には、下記の対応を実施します。
- 情報セキュリティリスクを継続的にモニタリングする
- 情報セキュリティリスクを効果的に管理する
- 情報セキュリティ対策を継続的に改善する
他のセキュリティ基準で代替可能かも確認する(ISO27001に対応しない判断もある)
ISO27001は情報セキュリティの国際規格であり、組織が情報セキュリティを管理するための包括的なフレームワークを提供しています。
しかし、すべての組織がISO27001の要求事項を満たす必要はありません。自社の状況やニーズを考慮して、ISO27001に対応するかどうか、他のセキュリティ基準や認証で代替可能か判断する必要があります。
主に下記のような理由で、ISO27001に対応しないという判断もあります。
- ISO27001の認証を受ける必要がない(顧客が必要としない、別の認証が必要)
- ISO27001の要求事項が複雑すぎて、自社で対応できない
- ISO27001の認証を受けるコストが高すぎる
現状、クラウドの認証やセキュリティの認証は多く存在するため(例として、政府機関向けのISMAPや医療機関向けの3省2ガイドラインなど)、自社にとって最適な認証を選ぶところから必要になってきます。
自社の取引先やビジネス状況を鑑み、取得・維持すべき認証や求められる対策を行うことが重要です。
AvePointならISO27001改訂にスムーズに対応可能
今回のISO27001の改訂は、主に2022年2月に改訂されたISO27002(=ISO27001の具体的な管理策にあたる項目)の変更に合わせた改訂となっていますが、ISO27002では以下の内容が記述されています。
- クラウドサービスにおいて(中略)セキュリティを保った方法でバックアップを管理する
- クラウドサービスの利用に関連する残留リスクは、組織の適切な経営陣が明確に特定する事が望ましい
- A.5.23<クラウドにおける情報セキュリティ>
- 自社の情報を守る為のクラウドセキュリティ要件を満たす必要がある
- A.5.30<ビジネス継続性の為のICTの備え>
- 適切なリスクアセスメントに基づいたデータバックアップ等のBCP対策が必要である
- A.8.12<データ漏洩の防止>
- データの漏えいを防止するために、漏えい経路を監視・検知できるようにする
上記の内容に対し、AvePointのソリューションを活用することでスムーズに対応することができます。
情報セキュリティ三大要素をカバー
ISO27001では、「機密性」・「完全性」・「可用性」を適切に管理することで、情報資産は適切に保護され、情報セキュリティが確保されると定めていますが、AvePointソリューションではこれらをカバーすることができます。
機密性に対応する機能例
- Policies…共有状況、設定変更を検知し、ポリシーに沿ってインシデント対応を自動化します。
- Insights…全ワークスペース内の重要データの機密度と共有状況を可視化します。
- Cloud Governance…申請管理、運用管理タスクを自動化します。また、ユーザーとワークスペースの管理を自動化します。
完全性・可用性に対応する機能例
・Cloud Backup…災害、ランサムウェア、誤操作、退職者対応の為のデータ保護を行います。ランサムウェア攻撃検知機能では、異常なアクティビティやランサムウェア攻撃の可能性のあるイベントを検出、さらにこのようなイベントが検出された場合、任意の管理者に通知することができます。
また、対象サービスから簡単にバックアップを取ることができ、バックアップデータのリストアに関しても簡単な操作で戻すことが可能です。
障害発生時には、復元に必要な時間について分かりやすいガイダンスを提供するため、バックアップデータからの迅速かつ正確な復元が可能です。
共同責任モデルへの対応
共同責任モデルとは、クラウドプロバイダーと組織が情報セキュリティの責任を共有するモデルです。
クラウドプロバイダーは、データセンターの物理的なセキュリティ、ネットワークのセキュリティ、オペレーティングシステムのセキュリティなどの責任を負いますが、クラウドデータ保護はユーザーの責任とされます。
AvePointのバックアップソリューション Cloud Backup を活用することで、ユーザー責任とされている領域である「仕様を超えるバックアップデータの取得」「ユーザー操作ミスによるデータ損失対策」にも対応することができます。
一般的なオンプレミスとクラウドサービス利用時の利用者の責任範囲の違い
情報セキュリティ要素の徹底
AvePointのコンプライアンス機能やセキュリティ遵守機能は、情報セキュリティの遵守にも貢献します。
例えば、セキュリティ管理機能であるInsightsで全ワークスペース内の重要データの機密度と共有状況を可視化し、Policiesでは基準から逸脱したアクションを検知して迅速な対応着手を可能とすることで、セキュリティ対策に貢献することができます。
ISO27001:2022への移行には、情報セキュリティ三大要素をカバーでき、共同責任モデルへの対応まで実現できるAvePointソリューションがおすすめです。