見出し画像

【シリーズ】ISMS新規格の管理策 変更点まとめ<8.11〜8.15>

いしはまゆうき@LRMの情報セキュリティコンサルタント

管理策の変更点まとめシリーズ第16回!
今回も引き続き「8 技術的管理策」がテーマです。

引き続き「ISMSの規格改訂統合された規格って何も変わってないの?」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください!

▼シリーズをまとめたマガジンページはこちら!

本編に入る前に

  • 規格の要求事項そのものについての言及は行なっていません(新旧での変更点にテーマを据えています)

  • JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります

  • 規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

8.11 データマスキング

  1. 新しく登場した管理策
    この管理策は旧規格には対応する管理策がない新規管理策です。
    そのためまずはゼロベースで対応を検討することをおすすめします。
    (今回は新旧規格の差分をメインのテーマとしているため、新規管理策の詳細解説は割愛します)

    ただ、組織内だけの問題でもなく、たとえば個人情報保護法における「匿名加工情報」や「仮名加工情報」など社会的な要求事項があることも考慮しておくとよいでしょう。

8.12 データ漏えい防止

  1. 新しく登場した管理策
    この管理策は旧規格には対応する管理策がない新規管理策です。
    そのためまずはゼロベースで対応を検討することをおすすめします。
    (今回は新旧規格の差分をメインのテーマとしているため、新規管理策の詳細解説は割愛します)

    また、「データ漏えい防止」の対策とそのまま読み取ってしまうと、他の管理策も全てそうと考えてしまいがちですが、技術的管理策に含まれていることからもわかるように、ツールや設定面などからの対策について考えることも望まれます。

8.13 情報のバックアップ

  1. 「定期的な取得」から「維持」に表現が変更
    旧規格では「バックアップを定期的に取得し、検査すること」が要求として記載されていたものが、新規格では「バックアップを維持すること」の記載に変更されています。

    バックアップが取られることは前提として、そのバックアップが利用できるものであるように適切に維持・守ることがより重視されるようになっていると考えるとよいかもしれません。

  2. 「検査」に対して、「定期的」が明確にかかるようになっている
    前述の通り、旧規格では「定期的に取得し、検査すること」と定期的が取得だけにかかっているようにも、検査を含む両方にかかっているようにも読み取れるような表現がなされていました。

    それが新規格では「定期的に検査しなければならない」と、検査に対して定期的という言葉がかかるようになっています。
    もし従来の取り組みにおいてバックアップが適切な状態で管理されているか検査する仕組みがない場合には考慮することが必要になってくるかもしれません。

8.14 情報処理施設・設備の冗長性

  1. 特筆すべき変更なし
    「情報処理施設の導入時には、必要な可用性を担保するのに十分な冗長性をもつようにしましょう」という要求事項に変化はありません。
    従来行ってきた取り組みを継続して行っていきましょう。

8.15 ログ取得

  1. ログに関する管理策がひとまとめに
    旧規格においては「イベントログの取得」「ログの保護」「管理者や運用担当者のログ取得」はそれぞれ分離した管理策として存在していました。
    それが新規格においては、取得・保存・保護・分析というログ管理に関する取り組みが「ログ取得」という一つの管理策にまとめられています。

    ただ要求自体が大きく変動したわけではないため、従来行ってきたログ管理の取り組みを継続して行っていきましょう。

  2. 「実務管理者・運用担当者」に関する言及の削除
    先述の通り、新規格ではログ取得に関する取り組みがひとまとめの管理策となっており、あえて実務管理者や運用担当者に対する言及はなくなっています。

  3. 「定期的なレビュー」に関する言及の削除
    旧規格では「取得したログの定期的なレビュー」が要求事項に含まれていたのですが、新規格ではこの文言が削除されています。

    ただ、取得するだけで放っておけばログ取得の意味は無くなってしまうので、レビューやアラート設定、監視など取得したログを活用できる取り組みは行うようにしましょう。

まとめ

今回は「8 技術的管理策」の5つの管理策を整理してみました。
たとえば「情報漏えい防止」の管理策などは「技術的」以外の観点からも考えることがあるかもしれませんが、これらの管理策があえて「技術的」というテーマにある意味・背景を考えると管理策が本質的に求めることなどがより詳細にイメージできるかもしれません。

参考資料


この記事が気に入ったらサポートをしてみませんか?