【ISMS改訂】最新版ISO/IEC 27001:2022の変更点、対応ポイントとは? | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > セキュリティ認証取得 > 【ISMS改訂】最新版ISO/IEC 27001:2022の変更点、対応ポイントとは?

【ISMS改訂】最新版ISO/IEC 27001:2022の変更点、対応ポイントとは?

ISMS(ISO/IEC 27001)の最新版(ISO/IEC 27001:2022)が2022年10月に発行されました。この2022年版では、2月に発行されたISO/IEC 27002の最新版(ISO/IEC 27002:2022)を反映させたものへと内容が改訂されています。本記事では、両規格の主な改訂内容や新たに追加された11の管理策、最新版への移行スケジュールなどについて説明します。そもそもISMS認証とはどのような制度なのかや、ISO/IEC 27001とISO/IEC27002の違いなどについても解説するので、すでにISMS認証を取得済みの企業の方々だけでなく、これから新たに取得しようとしているという方々にも参考にしていただけると幸いです。

 

📢参加無料!「ISMS(ISO27001)規格改訂 徹底解説セミナー」開催決定!!

2023年2月14日(火)14時より、主にスタートアップ・中小企業を対象としたオンラインセキュリティセミナー「ISMS(ISO27001)規格改訂 徹底解説セミナー」を開催します!

規格改訂の概要から、新たに追加された管理策11項目具体的な対策ポイント対応スケジュールまで、徹底解説いたしますので、企業のISMS担当の方やセキュリティ担当の方、改訂対応に不安を覚える方はぜひご参加ください。

本セミナーの詳細についてはこちらのページをご覧ください:参加無料|ISMS(ISO27001)規格改訂 徹底解説セミナー

 

そもそもISMSとは?

ISMS(ISMS適合性評価制度)の概要

ISMSの改訂について

ISO/IEC 27001とISO/IEC27002の違いとは?

【ISO/IEC 27002改訂】主な変更点は?

タイトルの変更

管理策の数が114から93へ減少

分類の変更

5つの「属性」の導入

ISO/IEC 27001の改訂

新たな管理策一覧

新たな11管理策の詳細

A.5.7 脅威インテリジェンス(Threat intelligence)

A.5.23 クラウドサービス利用のための情報セキュリティ(Information Security for Use of Cloud Services)

A.5.30 事業継続のためのICTの準備(ICT Readiness for Business Continuity)

A.7.4 物理セキュリティモニタリング(Physical Security Monitoring)

A.8.9 構成管理/コンフィギュレーションマネージメント(Configuration Management)

A.8.10 情報削除(Information Deletion)

A.8.11 データマスキング(Data Masking)

A.8.12 データ漏洩防止(Data Leakage Prevention)

A.8.16 アクティビティのモニタリング(Monitoring Activities)

A.8.23 Webフィルタリング(Web Filtering)

A.8.28 セキュアコーディング(Secure Coding)

最新版ISO/IEC 27001への主な対応ポイント

いつから変更?最新版への移行スケジュール

移行の期限は2025年10月31日(すでにISMS認証を取得している企業)

これから認証取得を目指している企業は旧版・最新版のどちらに対応すべき?

マキナレコードの認証取得支援コンサルティング

・【2022年版にも対応!】ISMS取得支援コンサルティング

・その他の認証取得支援サービス

そもそもISMSとは?

ISMSの改訂について詳しく見ていく前に、まずはISMS認証の概要をおさらいしておきましょう。

ISMS(ISMS適合性評価制度)の概要

ISMS適合性評価制度とは、国際規格「ISO/IEC 27001(日本版はJIS Q 27001:2014)」で定められている要求事項(情報セキュリティを効果的かつ継続的に行うための具体的なルール)が満たされているかどうかを認証する制度のことを言います。なお、ISMSとは「Information Security Management System」の略で、日本語では「情報セキュリティマネジメントシステム」と呼ばれています。

 

ISMS認証を取得することで強固なセキュリティ体制の構築・維持を目指すことができるほか、顧客や取引先からの信頼が向上する、情報セキュリティに関する説明責任を果たすことができる、といった対外的なメリットも期待できます。

 

💡ISMSの詳しい解説については、こちらの記事をご覧ください:「ISMSとは:なぜ必要?ISOとの違いや認証制度について解説

ISO/IEC 27000 ファミリー規格

ISMSに関する規格は、前述のISO/IEC 27001以外にも複数存在しており、これらはまとめて「ISO/IEC 27000 ファミリー規格」と呼ばれています。各規格には、27000〜27040番台および27100〜27110番台の番号が付与されています。例として、代表的なものを以下に挙げました。

(参考:JIPDEC「ISO/IEC 27000 ファミリー規格について ~ ISO/IEC JTC 1/SC 27/WG 1 における検討状況 ~」)

 

<要求事項を規定した規格>

・ISO/IEC 27001

・ISO/IEC 27009(ISO/IEC 27001を各セクターに適用した規格を作成する際の、規格の記述方法や様式等を定めた規格) など

 

<ISMS 実施の様々な側面に関する手引を規定した規格(ガイダンス規格)>

ISO/IEC 27002今回のISMS改訂に関連する規格で、管理策の選定、実施および管理などに関するベストプラクティスがまとめられている)。

・ISO/IEC 27003(ISO/IEC 27001に規定されるISMSの要求事項に対するガイダンス規格) など

 

<セクター固有のガイドライン>

・ISO/IEC 27017(クラウドサービスのための情報セキュリティ管理策の実践の規範を提供する規格)

・ISO/IEC 27019(エネルギー業界のための情報セキュリティ管理策) など

 

関連記事:「ISMSクラウドセキュリティ認証とは?認証基準や要求事項について解説

ISMSの改訂について

今回のISMS改訂には、ISO/IEC 27002とISO/IEC 27001の2つの規格が関わっています。まず、2022年2月に前者の最新版「ISO/IEC 27002:2022」が公開され、その後、10月に後者の最新版「ISO/IEC 27001:2022」が公開されました。これにより、ISMS認証を取得する/している企業が実施せねばならない管理策に、いくつかの変更がなされています。

ISO/IEC 27001とISO/IEC27002の違いとは?

最新版における変更点を詳しく見ていく前に、ISO/IEC 27001とISO/IEC27002の違いを明確にしておきましょう。

 

まず第一に押さえておきたいポイントは、「ISO 27001の認証取得は可能だが、ISO 27002は認証の類ではない」ということです。企業は、ISO 27001で規定される要求事項を満たしていることを証明できれば、ISMS認証を取得することができます。一方でISO 27002に記載されているのは要求事項ではなく、主に、情報セキュリティマネジメント全般のためのベストプラクティスに関するガイドラインです。

 

具体的に言うと、ISO 27001の「附属書 A 管理目的及び管理策」には管理策の内容が詳しく記載されていますが、ISO 27002には、これらの管理策を組織内のシステムに取り入れる方法や、認定審査の準備をする方法等についてより詳しく理解できるような手引きが記載されています。

【ISO/IEC 27002改訂】主な変更点は?

ここまでで、ISO/IEC 27001とISO/IEC27002の違いはおわかりいただけたかと思います。ではさっそく、ISO/IEC 27002の最新版における主な変更点について見ていきましょう。

 

最新版であるISO/IEC 27002:2022は、旧版(ISO/IEC 27002:2013)よりも大幅にページ数が増えているほか、タイトルが変更されたり、管理策については順番が変わったり、統合されたりしています。また、新たな管理策も11個追加されました。

 

※なお、本記事はオリジナルである英語版の要点を弊社で翻訳した情報をもとに作成しています。このため、今後リリースが予定されているJIS版における正式な表記とは、文言や表記等が異なる場合がありますのでご了承ください。

タイトルの変更

まず、ISO 27002の最新版では、タイトルから「実践のための規範(code of practice)」というフレーズが削除されました。これにより、管理策の参照セットとしての同規格の目的が、より明確化されています。

管理策の数が114から93へ減少

次に、旧版と最新版では管理策の数が異なります。もともと114個あったものが、統合分・新規追加分を含めて93個へと減少しました。

 

<管理策93個の内訳>

・据え置き:35個

・名称変更:23個

・統合・分岐:24個

・新規追加:11個

分類の変更:「テーマ(theme)」の導入

これまで、管理策は14の「条(clause)」に分類されていましたが、最新版では以下の4つの「テーマ(theme)」へとグループ分けされるようになりました。

 

①Organisational:組織的(37管理策)

②People:人的(8管理策)

③Physical:物理的(14管理策)

④Technological:技術的(34管理策)

5つの「属性(attribute)」の導入

ISO 27002の最新版では、カテゴリー分類をしやすくするため、管理策に5種類の「属性」が追加されています。

 

①管理策のタイプ/Control type

 - 予防/preventive、検知/detective、是正/corrective

 

②情報セキュリティ資産/Information security properties

 - 機密性/confidentiality、完全性/integrity、可用性/availability

 

③サイバーセキュリティの概念/Cybersecurity concepts

 - アイデンティティ/identify、保護/protect、検知/detect、対応/respond、復旧/recover

 

④運用能力/Operational capabilities 

 - ガバナンス/governance、資産管理/アセットマネジメント/asset managementなど

 

⑤セキュリティドメイン/Security domains

 - ガバナンスとエコシステム/governance and ecosystem、保護/protection、防御/defence、レジリエンス/resilience

 

※「属性」を利用したカテゴリー分類の例(新たに追加された管理策「A.8.28 セキュアコーディング/Secure Coding」の場合)

管理策のタイプ/Control type情報セキュリティ資産/Information security propertiesサイバーセキュリティの概念/Cybersecurity concepts運用能力/Operational capabilitiesセキュリティドメイン/Security domains
#予防/preventive#機密性/confidentiality
#完全性/integrity
#可用性/availability
#保護/protect#アプリケーションセキュリティ/Application Security
#システムおよびネットワークセキュリティ/System and Network Security
#保護/protection

ISO/IEC 27001の改訂

ISO 27002の改訂後、これに沿う形でISO 27001の改訂も行われました。ISO 27001の最新版(ISO 27001:2022)では、情報マネジメントシステムに関する主要な条項に大きな変更はないものの、同規格の補足資料である附属書Aは、ISO 27002:2022に記載されている管理策を反映した内容へと修正されました。

 

最新版ISO/IEC 27002と同様に、改訂版のISO 27001においても、特に重要なポイントは、管理策におけるいくつかの変更(特に、新たな11管理策の追加)です。

新たな管理策一覧

□ A.5.7 脅威インテリジェンス(Threat intelligence)

□ A.5.23 クラウドサービス利用のための情報セキュリティ(Information Security for Use of Cloud Services)

□ A.5.30 事業継続のためのICTの準備(ICT Readiness for Business Continuity)

□ A.7.4 物理セキュリティモニタリング(Physical Security Monitoring)

□ A.8.9 構成管理/コンフィギュレーションマネージメント(Configuration Management)

□ A.8.10 情報削除(Information Deletion)

□ A.8.11 データマスキング(Data Masking)

□ A.8.12 データ漏洩対策/データ流出予防(Data Leakage Prevention)

□ A.8.16 アクティビティのモニタリング(Monitoring Activities)

□ A.8.23 Webフィルタリング(Web Filtering)

□ A.8.28 セキュアコーディング(Secure Coding)

新たな11管理策の詳細

以下が、新たに追加された11の管理策の概要です。

A.5.7 脅威インテリジェンス(Threat intelligence)

この管理策では、組織に対し、脅威に関する情報(例:特定のサイバー攻撃に関するデータや、攻撃者が用いる手法、攻撃タイプなど)を収集・分析し、脅威を適切に緩和することを求めています。

 

関連記事:「脅威インテリジェンスとは何か? その種類と重要性」

脅威インテリジェンスの活用方法、製品・ツールを比較する際のポイント

A.5.23 クラウドサービス利用のための情報セキュリティ(Information Security for Use of Cloud Services)

この管理策では、組織に対し、クラウドサービス内に存在する機微情報(慎重な扱いが必要な機密性の高い情報)の保護のため、クラウドサービスを対象とするセキュリティ要件を整備するよう求めています。また、クラウドサービスの購入・利用・管理、および使用の終了に関するポリシーの導入も要求されています。

A.5.30 事業継続のためのICTの準備(ICT Readiness for Business Continuity)

この管理策では、重要な情報や資産が必要な時に利用可能な状態になっているように、事業が止まるような事象が起きた際のための人員、プロセス、システムを用意しておくことが求められています。

A.7.4 物理セキュリティモニタリング(Physical Security Monitoring)

この管理策では、オフィス、製造施設、倉庫、およびその他の重要な物理的建造物など、第三者に立ち入られると情報セキュリティ上のリスクが生じかねないエリアに関して、「認可された人員しか立ち入ることができない」という状態を確保することが求められています。

A.8.9 構成管理/コンフィギュレーションマネージメント(Configuration Management)

この管理策では、すべてのテクノロジーおよびシステムにおけるセキュリティ確保のため、デバイス構成を管理することが求められています。この管理策の目的は、セキュリティレベルの一貫性を維持することと、不正な変更を制御することです。

A.8.10 情報削除(Information Deletion)

この管理策では、データが不要になった際または保存されている期間が規定の保存期間を超えた際に、該当データを削除することが求められています。削除対象のデータには、ITシステム内のデータ、リムーバブルメディア内のデータ、クラウドサービス内のデータなどが含まれます。

A.8.11 データマスキング(Data Masking)

この管理策では、機微情報が流出する可能性を下げるため、適切なアクセス制限と併せてデータマスキングを用いることが求められています。この管理策では特に、個人情報に重点が置かれていますが、これは、個人情報が、例えばEUなどの管轄区におけるプライバシー関連法等によって強力に規制されているためです。また、この管理策は、組織に関連するデータなど、個人情報以外の形態の機微情報にも適用されます。

A.8.12 データ漏洩防止(Data Leakage Prevention)

この管理策では、機微情報が不正に公表されるのを防ぐための対策である「データ漏洩防止(DLP)」の適用が求められています。また、インシデントをタイムリーに検知するための対策の導入についても規定されています。

A.8.16 アクティビティのモニタリング(Monitoring Activities)

この管理策では、異常な挙動の特定と、適切なインシデント対応の開始のため、システムの管理とモニタリングを行うことが求められています。

A.8.23 Webフィルタリング(Web Filtering)

この管理策では、ユーザー(従業員)がアクセスし得るすべてのWebサイトに対するセキュリティ対策を管理し、ITシステムが保護された状態を確保することが求められています。

A.8.28 セキュアコーディング(Secure Coding)

この管理策では、ソフトウェア開発におけるセキュリティの脆弱性を軽減するため、組織全体で安全なコーディング技術を確立することが求められています。この管理策は、外部から入手したソフトウェア製品とオープンソースのソフトウェアコンポーネントの両方に適用されます。

最新版ISO/IEC 27001への主な対応ポイント

以下は、ISMS改訂にあたり、企業(特に認証を取得済みの企業)が留意すべき主な対応ポイントです。

 

✔️関連文書の改訂

ISO/IEC 27001の附属書Aは全面的に改訂されているため、既にISMS認証を取得している企業は、リスクアセスメントの再実施などと併せて、関連する文書もすべて見直したり改訂したりする必要があります。

 

(例)適用宣言書、内部監査チェックシート、附属書Aを元にしたベースリスクアセスメント関連文書など

 

✔️基本的な対応は従来通り

リスクアセスメントを実施した結果を踏まえ、必要な範囲で対策を行っていくことになります。例えば、「開発を行っていない組織であれば、開発に関連する管理策は適用外とする」などの考え方はこれまでと同様です。

 

✔️JIS版は未リリース

ISO/IEC 27001:2022もISO/IEC 27002:2022も、現時点で正式なものはオリジナルである英語版しか発行されていません。日本国内向けの正式版はあくまでJIS版ですが、日本規格協会からも両規格の邦訳版が発売されているので、これを入手して準備を行うことは可能です。

 

なお、スケジュールが従来通りであれば、JIS版は2023年内に発行されることになります。ただ、審査機関の準備が整えば、JIS版のリリースには関係なく、最新版規格に対応した審査が受けられるようになります。

 

<現時点で入手可能な、日本規格協会による邦訳版>

・「ISO/IEC 27001:2022 情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項」(こちらのページから購入可能)

・「ISO/IEC 27002:2022 情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティ管理策」(こちらのページから購入可能)

いつから変更?最新版への移行スケジュール

移行の期限は2025年10月31日(すでにISMS認証を取得している企業)

最新版への移行猶予期間は、ISO/IEC 27001:2022が公開された月(2022年10月)の最終日から36か月後とされており、移行期間が過ぎれば、すべてのISO 27001:2013認証は無効となります。つまり、すでにISMS認証を取得済みの企業に関しては、2025年10月31日までに移行審査を受審し、これを通過する必要があるということです。移行審査は、サーベイランス審査や更新審査と併せて行われるか、個別に行われることになります。

これから認証取得を目指している企業は旧版・最新版のどちらに対応すべき?

新規のISMS認証取得の場合、2023年10月31日までは、旧版(ISO/IEC 27001:2013)での審査を受けることが可能です。ただし、現時点ですでにこの期限日までの期間は1年を切っているという点に留意する必要があります。認証取得に至るまでの準備〜運用開始、内部監査、マネジメントレビュー、審査といった長期的なプロセスを考慮すると、2022年版での取得を目指すのがお勧めです。

マキナレコードの認証取得支援コンサルティング

株式会社マキナレコードでは、ISMS(ISO/IEC27001)認証をはじめとして、プライバシーマーク(Pマーク/PMS)認証、PCI DSS認証など、情報セキュリティに関する各種認証を取得するための支援を行っています。

関連記事:「PCI DSSとは?要件や準拠までの流れをわかりやすく解説」、「Pマーク(PMS)とISMSの違い、取得のメリットとは

【2022年版にも対応!】ISMS取得支援コンサルティング

マキナレコードのISMS認証取得支援コンサルティングでは、認証取得までの体制構築・準備のサポートはもちろん、取得後の維持運用・更新の支援にも注力しています。最新版であるISO/IEC 27001:2022への移行/新規取得にも対応しています。

 

ISMS取得に関する弊社の支援事例については、こちらもご覧ください:「導入事例|クラウドサービス展開時にセキュリティ強化が必要に/A1A株式会社様

 

また、弊社では、上記以外にもセキュリティ体制構築支援、規程・ガイドライン策定支援、セキュリティ教育など、豊富なコンサルサービスを提供しています。各サービスの詳細については、弊社のホームページをご覧ください。

セキュリティ体制構築支援資料ダウンロードリンク

筆者プロフィール

山口あさ子

2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。