2023/12/06ガバナンス

「ISO/IEC 27001:2022」の 改訂概要と必要となる対応について

twitter

Linkedin

ISO/IEC 270012022」の改訂概要と必要となる対応について

執筆:CISO事業部 丹羽 佳苗
監修:CISO事業部 吉田 卓史

要旨

2022年1025日、ISMSの要求事項を定めた国際規格「ISO/IEC 27001」が約8年ぶりに改訂され、「ISO/IEC 270012022」となりました。2013年版からの変更点は、大まかに以下の3点です。

  1. 本文に要求事項1件が新たに追加された
  2. 附属書Aに管理策11件が新たに追加された
  3. 附属書Aの構成変更に伴い、管理策の項番が一新された

本記事では認証機関が公開する情報を基に「ISO/IEC 270012022」の概要と改訂に伴って各組織で必要となる対応についてご紹介します。

ISMSとISO/IEC 27001の概要

 昨今、情報漏洩や主要な情報システムの停止等の報道が多く見られます。サイバー攻撃等による業務停止や情報漏洩は、顧客からの信用損失に繋がりかねず、より情報セキュリティの必要性が高まっています。

 情報セキュリティ対策をする、というと具体的なイメージが掴みにくいですが、情報セキュリティマネジメントシステムの国際規格であるISO/IEC 27001では、情報セキュリティ対策とは「情報セキュリティ(=機密性、完全性、可用性)を維持すること」と定義しています。(*1)この機密性、完全性、可用性はまとめて「情報セキュリティの3要素」とも呼ばれ、リスクアセスメントの結果、守る対象として定めた情報資産の保護において、この3要素が十分に検討されているかどうかが、セキュリティ対策の不備を洗い出す際の確認観点になります。 

表1. 情報セキュリティの3要素の定義(*1)

 そして、ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、組織がPDCAサイクルを回しながら社内の情報セキュリティを継続的に維持、改善していく仕組みを指します。

 ISO(International Standard Organization:国際標準化機構)では、 方セキュリティマネジメントシステムの国際標準「ISO/IEC 27001」を発行しています。本規格は情報セキュリティマネジメントシステムを確立、実施、維持、改善するための要求事項が定められており、どのような組織にでも適用可能とされています。

 この国際標準に従い、日本では、JIS(Japanese Industrial Standard:日本工業規格)が「JIS Q 27001」を発行しています。一般的に"ISMSの認証取得をする"という場合、このJIS規格に従って、審査機関によるISMS認証審査を経て、認証を取得することとなります。(*3) 

 審査を経て、認証機関である ISMS-AC(一般社団法人情報マネジメントシステム認定センター) ISMS認証を構築、運用している組織であることを承認されれば、「ISO/IEC 27001」認証組織として同機関のWebサイトに組織名が公開されます。ISMS認証取得のメリットは、組織内のセキュリティ意識の向上や組織体制の強化が挙げられるほか、顧客や取引先に対して信頼性をアピールすることにも繋がります。JIPDEC(Japan Institute for Promotion of Digital Economy and Community:一般社団法人 日本情報経済社会推進協会)の情報マネジメント推進センターが公開している調査報告書では、「20143月時点でJIPDECが認定したISMS認証機関からISMS認証を取得した組織のうち、登録情報を公開している4,202組織」を対象に行ったアンケートで、ISMS認証取得の効果として「顧客からの信頼確保に貢献した」と回答した組織が92%を超えたと報告しています。(*4)

 また、2002年度に日本でISMSの認証制度が開始されてから、一貫して認証登録数は増加傾向にあります。20229月にはISMS-ACが認証機関によるISMSの認証登録組織数が7000組織を超えたと報告しています。(*5)今後も様々な組織でISMSの導入進められていくでしょう。

 「ISO/IEC 270012022」への改訂の背景

ISO/IEC 27001」は時代のニーズに応えるため、2005年に第1版が発行されてから、2013年、2022年と定期的に改訂されてきました。

2022年の改訂では、次の様な私たちを取り巻く環境の変化に対応するために規格の変更が行われました。(*6)

1.新たなセキュリティ脅威の発生

2013年以降、急速にクラウドサービス等のITサービスが発展したことに伴い、新たに生じたセキュリティ脅威に耐えられるようISMS規格を見直す必要があった

2.マネジメントシステム規格の上位文書改訂による影響

2021年5月にISOのマネジメントシステム規格全体に適用される上位文書が改訂されたため「ISO/IEC 27001」も準拠する必要があった

 

ISO/IEC 270012022」への改訂による変更点

ISO/IEC 270012022」への改訂で行われた変更は、以下の3点です。

1.要求事項「3変更の計画策定」の追加

1点目は、「本文」に「6.3 変更の計画策定」が追加されたことです。
ISO 9001
ISO 14001等、ISOが発行するマネジメントシステム規格は、全て附属書SLに定められたルールに準拠して策定されています。
2021
年5月にこの附属書SLが改訂され、適用されました。(*7)ISO/IEC 27001」もこの附属書SLに準ずる必要があったため、「ISO/IEC 270012022」では「本文」に「6.3 変更の計画策定」という要求事項が追加されました。

2.管理策の項番変更

2点目は、「附属書A」の管理策の項番が一新されたことです。
ISO/IEC 270012013」では、管理策にはAから始まる番号が振られ、整理されていましたが、「ISO/IEC 270012022」ではすべての管理策が①組織的管理策、②人的管理策、③物理的管理策、④技術的管理策の4分類のいずれかに分類、整理されました。その影響で、管理策の項番が全て変更されています。

3.管理策11件の追加

3点目は、「附属書A」に新しく管理策が11件追加されたことです。
該当する11の管理策は以下の表2の通りです。

 表2:新規に追加された管理策11点 概要

 新たに追加された管理策のうち、10件の管理策は、2013年以降に新しく出現したセキュリティ領域を補うために追加されました。特に5.23「クラウドサービス利用のための情報セキュリティ」はその代表例と言えます。
 総務省が公開する令和3年通信利用動向調査の結果報告書では、2017年から2021年にかけて、毎年公務を除く産業に属する常用雇用者規模100人以上の企業約2000社を選出して調査を続けた結果、クラウドサービスを一部の事業所で利用している、または全社的に利用している企業の割合は2017年から2021年までの4年間で56.9%から70.4%にまで上昇したと報告しています。(*8)2023年現在では、クラウドサービスはビジネスの必需品と感じるほど更に身近な存在となりました。クラウドサービスの急速な普及に伴い、クラウドサービスを対象とするサイバー攻撃自体も同じく発展を遂げたため、今回の改訂では新たな管理策として5.23「クラウドサービスのための情報セキュリティ」が追加されたと思われます。
 5.23「クラウドサービスのための情報セキュリティ」では、組織が定めるセキュリティ要求事項に則って、クラウドサービスの利用、管理、及び終了のプロセスを確立することを求めています。具体的には、クラウドサービスを利用する際のプロセスとして、不審なクラウドサービスの利用を防ぐため、クラウドサービスを利用開始する前に情報セキュリティ担当者が安全性を確認する仕組みを構築する等の取り組みを実施します。 

 「ISO/IEC 270012022」の改訂に伴って必要となる対応

ISO/IEC 270012022」の改訂に伴って、認証取得した組織、またはこれから認証取得を予定している組織ではどの様な対応が必要となるのでしょうか。

 1)ISO/IEC 270012013」に基づくISMS認証取得済み組織

ISMS認証取得済みの組織では、以下3点の対応が求められます。 

  1. 適用宣言書の改訂
     適用宣言書とは、「ISO/IEC 27001」の附属書Aの管理策のうち、組織が適用すると選択した管理策を一覧にした文書です。附属書Aと対応させるため、適用宣言書には管理策と併せて管理策の項番も記載します。
     「ISO/IEC 27001:2022」では管理策の項番が全て変更されたため、適用宣言書に掲載されている古い項番を更新する必要があります。また、新たに追加された11の管理策の適用要否も検討する必要があります。
     「ISO/IEC 27001:2022」の管理策について日本語版を確認したい場合は、「JIS Q 27001:2023」を参照しましょう。
  1. ISMSのPDCAサイクルの運用
     新たに追加された11の管理策のうち、適用宣言書で適用すると宣言した管理策については、管理策を確実に実施できるよう社内文書や社内ルールの見直しが必要となります。これらの文書整備ののち、必要に応じて管理策等の実行計画を立て(P、計画)、実行します(D、実行)。さらに内部監査とマネジメントレビューを行い、改善対応まで完了させ、C(確認)およびA(改善)のステップまでサイクルを回します。

  2. ISO/IEC 270012022」への移行審査の受審
     ここまでの対応を完了できれば、「ISO/IEC 270012022」に準拠したISMS体制の構築が完了したといえます。再認証審査または個別の審査で、「ISO/IEC 270012022」への移行審査を受審しましょう。

 

<コラム:「ISO/IEC 270012022」への更新対応について>

 

ISO/IEC 270012013」を取得した企業では、「ISO/IEC 270012022」への移行審査をしない場合、20251031日に認証が失効します。(*9)従って、審査後の更新期間を最短1か月と見積もり、少なくとも20259月頃には審査を受審した方が良いでしょう。

 また、認証機関が独自に「ISO/IEC 270012022」への移行審査の期限を設定している場合があるため、移行に向けた対応に着手する前に、認証機関に「ISO/IEC 270012022」への移行審査の期限を確認することをお勧めします。

 ISMS認証を取得済みの組織は年に一度、認証を継続するために再認証審査を受けますが、「ISO/IEC 270012022」への移行審査は、この再認証審査と合わせて行うか、再認証審査とは別に行う方法があります。十分に移行対応を完了できるよう審査日程を調整することが重要となります。

1 ISO/IEC 270012022」への更新対応スケジュール

 

)今後「ISO/IEC 270012022」の認証取得を予定する組織

これからISMS認証の取得を目指す組織では、「ISO/IEC 270012022」とこれに対応した「JIS Q 270012023」を参照して各種セキュリティ文書群の整備や管理策の実行を進めましょう。

ISO/IEC 270012013(または「JIS Q 270012014)でも2024430日までなら初回認証審査を受けることができますが(*9)、認証取得後すぐに「ISO/IEC 270012022」への移行対応を行う必要があるため、長期的な工数を考えると、今から「ISO/IEC 270012022」に基づいたISMS体制を整えることをお勧めします。

終わりに

本記事では、「ISO/IEC 27001」改訂の概要とISMS認証取得済みまたは取得予定の組織で実施すべき対応事項について説明しました。

特に、ISMS認証を取得しており、今後「ISO/IEC 270012022」への移行が必要な組織では、20251031日の認証失効期限までに移行審査を完了する必要があるため、計画的に社内文書や社内ルールの見直し等を確実に実施しましょう。まずは認証機関に対して移行審査の日付を確認したうえで、移行準備の計画を行います。

今後ISMS認証を取得する組織では、新旧どちらの規格で認証を取得するかを確認しておく必要があります。旧版にあたる「ISO/IEC 27001:2013」で認証を取得する場合は、初回審査期限は2024430日までとなりますので、期限までに時間に余裕を持たせた準備計画が重要になります。

こちらの記事が移行準備の一助になれば幸いです。

 

 

【プロフィール】

丹羽 佳苗(にわ かなえ)

2021年にデジタルアーツコンサルティング株式会社(DAC)に新卒で入社。
大手保険会社の業務改善プロジェクトに約1年携わったのち、国際展開する大手電子機器メーカーの情報セキュリティ体制構築支援に1年以上関わる。

監修:吉田 卓史(よしだ たくし)

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。DACにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

参考文献

 *1:日本工業規格. 日本工業規格 JIS Q270002019  情報技術セキュリティ技術情報セキュリティ マネジメントシステム用語. 20 Mar. 2019,

https://kikakurui.com/q/Q27000-2019-01.html.

*2:ISO. "ISO/IEC 27001 Information Security Management Systems," n.d.
https://www.iso.org/standard/27001.

*3:みやもとくにお, 大久保 隆夫 この一冊で全部わかるセキュリティの基本. SB Creative, 8 Sept. 2017.

*4:一般財団法人 日本情報経済社会推進協会(JIPDEC) 情報マネジメント推進センター. "ISMS適合性評価制度に関するアンケート調査報告書," Oct 2014. https://isms.jp/enquete/2014/report2014.pdf.

*5:一般社団法人情報マネジメントシステム認定センター. "ISMS認証登録数 7,000件突破のお知らせ," September 1, 2022.
 https://isms.jp/topics/news/20220901.html. 

*6:経済産業省. "情報セキュリティのマネジメントシステムに関するJIS改正," 20 Sept. 2023,
20230920001-2.pdf (meti.go.jp)

*7:IRCAジャパン. HLS (上位構造) からHA (整合のとれたアプローチ) へ: 附属書SL の新たな試み. 26 Apr. 2021,
 https://japan.irca.org/media/category02/high-level-structure-dead-long-life-harmonised-approach.

 *8:総務省. 令和3年通信利用動向調査の結果 報道資料.  27 May. 2022,
220527_1.pdf (soumu.go.jp)

*9:情報マネジメントシステム認定センター. ISMS適合性評価制度 ISO/IEC 270012022 への対応について(更新版). 25 Oct. 2022,
https://isms.jp/topics/news/20230227.html.

twitter

Linkedin

コラム一覧に戻る