(パート 1) ISO/IEC 27001:2022 変更点は？ 情報セキュリティと管理策の重要性

情報セキュリティマネジメントの目的

情報セキュリティマネジメントの3つの主たる目的は、組織の情報資産の機密性 (confidentiality)、完全性 (integrity)、可用性 (availability) を維持することです。

• 機密性は、会社や顧客の機密情報が、それを利用して損害を与えようとする者に漏洩することや、商業的に価値のある情報が競合他社やその他の好ましくない第三者に開示されることを防ぐものです。
  
  
• 完全性は、重要な判断や決定を行う際に信頼できる情報であるように、情報が意図的に改ざんされたり、意図せずに変更されたりすることを防ぐものです。
  
  
• 情報の可用性は必要なときに必要な場所で、情報の受け手にとって適切な形式で情報を入手できることで、プロセスや手順が滞りなく、効率的に運用できるようになります。

情報資産の種類に関係なく、上記を保護することにはメリットがあります。

情報資産の例

情報資産とは、「組織にとって "価値ある "と認識されている、さまざま方法で保管されている定義可能な情報の一部」と見なすことができます。情報資産には、事業戦略やマーケティングプラン、顧客リストや特許、業務手順書やプロジェクト管理記録など、さまざまな形態があり、その目録は何ページにも及ぶことがあります。

情報資産に関してまず注意すべき重要なことは、情報資産はすべてIT部門が所有しているわけではなく、実際にはその大部分は組織の他の部門が所有しているということです。

第 2 に、情報資産の多くは紙の記録として保持されており、ここでは電子記録だけを対象としているわけではないということがあります。

最後に、組織が保有する情報資産は、新しい種類の文書が導入されたり、古い種類の文書が廃止されたりすることで、時間の経過とともに定期的に変化するということです。

そのため、インフラや設備などの資産のマネジメントと同様の方法で、情報資産も先回りしてマネジメント、監視、維持をする必要があります。

情報資産を守る

情報資産の保護は、保有する情報資産のリストを作成することから始まります。

組織が保有する情報資産の目録を作成したら、次に、それぞれの資産の機密性、完全性、及び/または可用性を損なう脅威を検討することができます。これらの脅威を特定すれば、それぞれの脅威を緩和する (理想的には完全に取り除く) ための管理策 (リスクを修正する手段) を検討することができます。

その後、組織は特定した管理策を適用し、脅威にどのように影響を与えたかを判断します。管理策の効果はあったのか、それとも何も違いはなかったのか？管理策の適用により、実は事態を悪化させたということはありますか？一見うまくいったように見える管理策も、時間の経過とともに脅威が進化し、新たな脅威が発生するため、定期的に見直す必要があります。

この保護プロセスは、新たな情報資産が特定されるたびに、最初から再度実行する必要があります。

ISO/IEC 27002の管理策

ISO/IEC 27001:2022に基づく情報セキュリティマネジメントシステム (ISMS) を導入しようとする組織には、管理策を規定するためのヘルプが用意されています。ISO/IEC 27002:2022には、以下の4つのテーマに分類された管理策があります。

• 組織の管理策 (organizational contorls)
• 人々の管理策 (people controls)
• 物理的管理策 (physical controls)
• 技術的管理策 (technological controls)

この4つのテーマの下に、個別の管理策93個が分類されています。組織は、提供する製品やサービス、使用する生産/サービス提供方法に基づいて、これらの管理策のうちどれを業務に適用できるかを決定しなければなりません。

組織がISO/IEC 27002:2022の管理策を採用しないことを選択した場合、その適用除外の正当な理由を提示する必要があります。採用された管理策と除外された管理策は、適用宣言書に組み込まれます。適用宣言書は、ISO/IEC 27001:2022の組織が維持することが義務付けられている、最も重要な文書化した情報の1つです。

なお、ISO/IEC 27002:2022に規定されている必須の管理策だけでなく、組織は必要に応じて、独自の追加管理策を策定することもできます。

また、ISO/IEC 27002:2022には、クラウドサービスの顧客に関する管理策は含まれていますが、クラウドサービスの提供者に課される管理策は含まれていません。そのため、クラウドサービス事業者は、ISO/IEC 27017の一連の管理策を27002の管理策に追加する必要があります。

管理策を実装する

適用すべき管理策を決定したら、組織は次に、それぞれの管理策を実施するために何が必要かを決定する必要があります。新しい機材が必要なのか、手順を見直す必要があるのか、それとも新しい従業員を雇えば解決するのか。これらは重要な (そして時には費用のかかる) 決定であるため、この作業を完了するために、組織が多くの時間を要することは驚くにはあたりません。

そして、ISO/IEC 27001 の2013年版から2022年版への移行において、もっとも労力を要するのが、この現行の管理策から新しい管理策への移行と、その実施に必要な改訂版の導入です。

今までの管理策はどこへ行った？

2013年版にあった114個の管理策は、2022年版ではわずか93個に減少しています。これは、いくつかの古い管理策を1つの新しい管理策に統合するという手法で実現されています。このような場合、管理策は引き継がれたものの、新しい管理策は文言が変更されている可能性があるため、組織がその管理策を継続して満たしていることを確認するために少なくともレビューが必要となり、注意を要します。

ISO/IEC 27002:2022の附属書Bには、非常に役立つ2つの表があります。1つ目の表は、2022年版で、2013年の管理策がどこに移動したかを説明しています。2つ目の表は、逆に、2013年のどの管理策からどの2022年の管理策が構築されたかを詳細に示しています。自社の適用宣言書を更新しようとする人にとって、これらの表は不可欠なものです。

そして、11個の新しい管理策があります。ほとんどの組織では、これらに対応する計画をゼロから立てる必要があります。

2013年版から2022年版の管理策の移行

幸いなことに、認証された組織には、2022年版に移行するまでに3年間 (2025年10月まで) の猶予が与えられています。これは十分な時間ではありますが、移行を期限ギリギリまで放置しないようにしてください。認証機関があなたの組織の移行審査を実施する時間が必要だからです。