2023/12/06ガバナンス
「ISO/IEC 27001:2022」の改訂概要と必要となる対応について
執筆:CISO事業部 丹羽 佳苗
監修:CISO事業部 吉田 卓史
2022年10月25日、ISMSの要求事項を定めた国際規格「ISO/IEC 27001」が約8年ぶりに改訂され、「ISO/IEC 27001:2022」となりました。2013年版からの変更点は、大まかに以下の3点です。
本記事では認証機関が公開する情報を基に「ISO/IEC 27001:2022」の概要と改訂に伴って各組織で必要となる対応についてご紹介します。
昨今、情報漏洩や主要な情報システムの停止等の報道が多く見られます。サイバー攻撃等による業務停止や情報漏洩は、顧客からの信用損失に繋がりかねず、より情報セキュリティの必要性が高まっています。
情報セキュリティ対策をする、というと具体的なイメージが掴みにくいですが、情報セキュリティマネジメントシステムの国際規格であるISO/IEC 27001では、情報セキュリティ対策とは「情報セキュリティ(=機密性、完全性、可用性)を維持すること」と定義しています。(*1)この機密性、完全性、可用性はまとめて「情報セキュリティの3要素」とも呼ばれ、リスクアセスメントの結果、守る対象として定めた情報資産の保護において、この3要素が十分に検討されているかどうかが、セキュリティ対策の不備を洗い出す際の確認観点になります。
表1. 情報セキュリティの3要素の定義(*1)
そして、ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、組織がPDCAサイクルを回しながら社内の情報セキュリティを継続的に維持、改善していく仕組みを指します。
ISO(International Standard Organization:国際標準化機構)では、 方セキュリティマネジメントシステムの国際標準「ISO/IEC 27001」を発行しています。本規格は情報セキュリティマネジメントシステムを確立、実施、維持、改善するための要求事項が定められており、どのような組織にでも適用可能とされています。
この国際標準に従い、日本では、JIS(Japanese Industrial Standard:日本工業規格)が「JIS Q 27001」を発行しています。一般的に"ISMSの認証取得をする"という場合、このJIS規格に従って、審査機関によるISMS認証審査を経て、認証を取得することとなります。(*3)
審査を経て、認証機関である ISMS-AC(一般社団法人情報マネジメントシステム認定センター) にISMS認証を構築、運用している組織であることを承認されれば、「ISO/IEC 27001」認証組織として同機関のWebサイトに組織名が公開されます。ISMS認証取得のメリットは、組織内のセキュリティ意識の向上や組織体制の強化が挙げられるほか、顧客や取引先に対して信頼性をアピールすることにも繋がります。JIPDEC(Japan Institute for Promotion of Digital Economy and Community:一般社団法人 日本情報経済社会推進協会)の情報マネジメント推進センターが公開している調査報告書では、「2014年3月時点でJIPDECが認定したISMS認証機関からISMS認証を取得した組織のうち、登録情報を公開している4,202組織」を対象に行ったアンケートで、ISMS認証取得の効果として「顧客からの信頼確保に貢献した」と回答した組織が92%を超えたと報告しています。(*4)
また、2002年度に日本でISMSの認証制度が開始されてから、一貫して認証登録数は増加傾向にあります。2022年9月にはISMS-ACが認証機関によるISMSの認証登録組織数が7000組織を超えたと報告しています。(*5)今後も様々な組織でISMSの導入進められていくでしょう。
「ISO/IEC 27001」は時代のニーズに応えるため、2005年に第1版が発行されてから、2013年、2022年と定期的に改訂されてきました。
2022年の改訂では、次の様な私たちを取り巻く環境の変化に対応するために規格の変更が行われました。(*6)
2013年以降、急速にクラウドサービス等のITサービスが発展したことに伴い、新たに生じたセキュリティ脅威に耐えられるようISMS規格を見直す必要があった
2021年5月にISOのマネジメントシステム規格全体に適用される上位文書が改訂されたため「ISO/IEC 27001」も準拠する必要があった
「ISO/IEC 27001:2022」への改訂で行われた変更は、以下の3点です。
1点目は、「本文」に「6.3 変更の計画策定」が追加されたことです。
ISO 9001やISO 14001等、ISOが発行するマネジメントシステム規格は、全て附属書SLに定められたルールに準拠して策定されています。
2021年5月にこの附属書SLが改訂され、適用されました。(*7)「ISO/IEC 27001」もこの附属書SLに準ずる必要があったため、「ISO/IEC 27001:2022」では「本文」に「6.3 変更の計画策定」という要求事項が追加されました。
2点目は、「附属書A」の管理策の項番が一新されたことです。
「ISO/IEC 27001:2013」では、管理策にはAから始まる番号が振られ、整理されていましたが、「ISO/IEC 27001:2022」ではすべての管理策が①組織的管理策、②人的管理策、③物理的管理策、④技術的管理策の4分類のいずれかに分類、整理されました。その影響で、管理策の項番が全て変更されています。
3点目は、「附属書A」に新しく管理策が11件追加されたことです。
該当する11の管理策は以下の表2の通りです。
表2:新規に追加された管理策11点 概要
新たに追加された管理策のうち、10件の管理策は、2013年以降に新しく出現したセキュリティ領域を補うために追加されました。特に5.23「クラウドサービス利用のための情報セキュリティ」はその代表例と言えます。
総務省が公開する令和3年通信利用動向調査の結果報告書では、2017年から2021年にかけて、毎年公務を除く産業に属する常用雇用者規模100人以上の企業約2000社を選出して調査を続けた結果、クラウドサービスを一部の事業所で利用している、または全社的に利用している企業の割合は2017年から2021年までの4年間で56.9%から70.4%にまで上昇したと報告しています。(*8)2023年現在では、クラウドサービスはビジネスの必需品と感じるほど更に身近な存在となりました。クラウドサービスの急速な普及に伴い、クラウドサービスを対象とするサイバー攻撃自体も同じく発展を遂げたため、今回の改訂では新たな管理策として5.23「クラウドサービスのための情報セキュリティ」が追加されたと思われます。
5.23「クラウドサービスのための情報セキュリティ」では、組織が定めるセキュリティ要求事項に則って、クラウドサービスの利用、管理、及び終了のプロセスを確立することを求めています。具体的には、クラウドサービスを利用する際のプロセスとして、不審なクラウドサービスの利用を防ぐため、クラウドサービスを利用開始する前に情報セキュリティ担当者が安全性を確認する仕組みを構築する等の取り組みを実施します。
「ISO/IEC 27001:2022」の改訂に伴って、認証取得した組織、またはこれから認証取得を予定している組織ではどの様な対応が必要となるのでしょうか。
ISMS認証取得済みの組織では、以下3点の対応が求められます。
<コラム:「ISO/IEC 27001:2022」への更新対応について>
「ISO/IEC 27001:2013」を取得した企業では、「ISO/IEC 27001:2022」への移行審査をしない場合、2025年10月31日に認証が失効します。(*9)従って、審査後の更新期間を最短1か月と見積もり、少なくとも2025年9月頃には審査を受審した方が良いでしょう。 また、認証機関が独自に「ISO/IEC 27001:2022」への移行審査の期限を設定している場合があるため、移行に向けた対応に着手する前に、認証機関に「ISO/IEC 27001:2022」への移行審査の期限を確認することをお勧めします。 ISMS認証を取得済みの組織は年に一度、認証を継続するために再認証審査を受けますが、「ISO/IEC 27001:2022」への移行審査は、この再認証審査と合わせて行うか、再認証審査とは別に行う方法があります。十分に移行対応を完了できるよう審査日程を調整することが重要となります。
図1 「ISO/IEC 27001:2022」への更新対応スケジュール
|
これからISMS認証の取得を目指す組織では、「ISO/IEC 27001:2022」とこれに対応した「JIS Q 27001:2023」を参照して各種セキュリティ文書群の整備や管理策の実行を進めましょう。
「ISO/IEC 27001:2013」(または「JIS Q 27001:2014」)でも2024年4月30日までなら初回認証審査を受けることができますが(*9)、認証取得後すぐに「ISO/IEC 27001:2022」への移行対応を行う必要があるため、長期的な工数を考えると、今から「ISO/IEC 27001:2022」に基づいたISMS体制を整えることをお勧めします。
本記事では、「ISO/IEC 27001」改訂の概要とISMS認証取得済みまたは取得予定の組織で実施すべき対応事項について説明しました。
特に、ISMS認証を取得しており、今後「ISO/IEC 27001:2022」への移行が必要な組織では、2025年10月31日の認証失効期限までに移行審査を完了する必要があるため、計画的に社内文書や社内ルールの見直し等を確実に実施しましょう。まずは認証機関に対して移行審査の日付を確認したうえで、移行準備の計画を行います。
今後ISMS認証を取得する組織では、新旧どちらの規格で認証を取得するかを確認しておく必要があります。旧版にあたる「ISO/IEC 27001:2013」で認証を取得する場合は、初回審査期限は2024年4月30日までとなりますので、期限までに時間に余裕を持たせた準備計画が重要になります。
こちらの記事が移行準備の一助になれば幸いです。
丹羽 佳苗(にわ かなえ)
2021年にアイディルートコンサルティング株式会社(IDR)の前身であるデジタルアーツコンサルティング株式会社に新卒で入社。
大手保険会社の業務改善プロジェクトに約1年携わったのち、国際展開する大手電子機器メーカーの情報セキュリティ体制構築支援に1年以上関わる。
監修:吉田 卓史(よしだ たくし)
20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。
*1:日本工業規格. 日本工業規格 JIS Q27000:2019 情報技術−セキュリティ技術−情報セキュリティ マネジメントシステム−用語. 20 Mar. 2019,
https://kikakurui.com/q/Q27000-2019-01.html.
*2:ISO. "ISO/IEC 27001 Information Security Management Systems," n.d.
https://www.iso.org/standard/27001.
*3:みやもとくにお, 大久保 隆夫 この一冊で全部わかるセキュリティの基本. SB Creative, 8 Sept. 2017.
*4:一般財団法人 日本情報経済社会推進協会(JIPDEC) 情報マネジメント推進センター. "ISMS適合性評価制度に関するアンケート調査報告書," Oct 2014. https://isms.jp/enquete/2014/report2014.pdf.
*5:一般社団法人情報マネジメントシステム認定センター. "ISMS認証登録数 7,000件突破のお知らせ," September 1, 2022.
https://isms.jp/topics/news/20220901.html.
*6:経済産業省. "情報セキュリティのマネジメントシステムに関するJIS改正," 20 Sept. 2023,
20230920001-2.pdf (meti.go.jp)
*7:IRCAジャパン. HLS (上位構造) からHA (整合のとれたアプローチ) へ: 附属書SL の新たな試み. 26 Apr. 2021,
https://japan.irca.org/media/category02/high-level-structure-dead-long-life-harmonised-approach.
*8:総務省. 令和3年通信利用動向調査の結果 報道資料. 27 May. 2022,
220527_1.pdf (soumu.go.jp)
*9:情報マネジメントシステム認定センター. ISMS適合性評価制度 ISO/IEC 27001:2022 への対応について(更新版). 25 Oct. 2022,
https://isms.jp/topics/news/20230227.html.
2024/02/05
ガバナンス
NIST SP800-50に基づいたセキュリティ研修の実...
2023/12/06
ガバナンス
「ISO/IEC 27001:2022」の改訂概要と必要...
2023/10/05
ガバナンス
ISMAPって本当にコンサルが必要?
CISO...
2023/10/05
ガバナンス
NIST SP800-53とISO27001の違いを踏ま...
