見出し画像
Photo by 4hintaro

ISMS改訂規格(ISO/IEC27001:2022)で新たに登場した4つのテーマ📘

いしはまゆうき@LRMの情報セキュリティコンサルタント

先日10月25日にISMSの規格改訂が行われました!
新規格にはさまざまな変更点がありますが、やはり最も大きなポイントとしては附属書Aのテーマ(区分)が14つから4つに再構成されたことです。

そこで今回は、新しく設定された4つのテーマについて、どのような内容なのか整理してみようと思います📝

基本用語の整理

今回のテーマを整理する上では「附属書A」やら「管理策」やら、初見では何のこっちゃという言葉がちょこちょこ出てきます。
そこでまずは、話を進めていく上で把握しておきたい言葉について簡単にまとめてみましょう。

【管理策】

管理策についてISMSの用語集でもあるJIS Q 27000:2019では、以下の通り定義されています。

リスク(3.61)を修正(modifying)する対策。

JIS Q 27000:2019

つまりざっくりまとめると、例えば「不正アクセスされてしまうかもしれない」「情報漏洩してしまうかもしれない」といった”リスク”を、ちょっとでも起きづらくしたり起きた際の影響を小さくするための対策です。

【附属書A】

前述の管理策の中でも特に一般的に最低限抑えておくべき管理策をリスト化したものが附属書Aです。
そしてこの附属書Aに記載の管理策は、リスク対応を行っていくにあたって採用の要否を確認する必要があります。(つまり必須でチェックする項目!)
今回の規格改訂ではこの附属書Aの構成に大幅な変更が発生したということです。

規格改訂で登場する4つのキーワード

これまでの附属書Aでは「資産」や「アクセス権」「開発」など、14のテーマに分かれて管理策を分類していたのですが、新規格では「組織」「人」「物理」「技術」と大幅なテーマ再編が行われました!

一見、「いろんなものが丸められるとわかりにくいのでは…」と思いますが、よくよく見てみるとすごくわかりやすく整理されていたりもするので、それぞれのテーマがどのような内容なのかご紹介します。

まず附属書Aの手引きでもあるISO/IEC27002:2022での定義についてご紹介します。

組織的管理策:後述の3テーマ以外
人的管理策:個人に関係する場合
物理的管理策:物理的対象に関係する場合
技術的管理策:技術に関係する場合

何となく「わかるようなわからないような…」という感じですね😓

組織的管理策

組織的管理策では、対象自体は非常に幅広く「これ」と詳細に説明することが難しいのですが、共通して言えることは「ルール・仕組みづくり」に関する管理策を集めたテーマです。
セキュリティルール全般に関するさまざまな管理策の設定はもちろんのこと、情報資産台帳の作成などもこの管理策内で言及されています。

人的管理策

人的管理策では、採用選考〜雇用時のルールや、雇用期間中の教育・懲戒手続き、雇用終了後の責任など従業者・契約社員の方などにしっかりとセキュリティの取り組みを行ってもらうための管理策が含まれています。
また、最近の情勢に合わせ、リモートワークの管理策なども人的管理策の一部として含まれています。

物理的管理策

物理的管理策では、オフィスのセキュリティ区画の定義や入退室管理、クリアデスク(机上の整理整頓)といったオフィス・勤務場所に関する管理策と、装置(PCやネットワーク機器、複合機など)の設置やメンテナンス廃棄といった装置を適切に管理するための管理策が含まれています。
つまりテーマ名の通り、物理的な場所やものを対象にしているのです。

技術的管理策

技術的管理策にはいくつかの要素が含まれています。
まず一つは特権管理やアクセス制御、認証管理など、組織的管理策でルール化したことを実際システム面で対応していくための管理策です。

二つめは、PCなどの設定やウイルス対策、ソフトウェアの利用などに関する管理策です。つまり、物理的管理策ではPCを自然・人的災害等から防ぐためのルールが設定されていて、技術的管理策ではPCをシステム面で不正アクセスなどから守るためのルールと分けられていると考えると良いでしょう!

三つめは、ログの取得や異常監視・検知、ウェブフィルタリングなどのシステムを活用したセキュリティ対策に関する管理策です。

最後四つめは、開発プロセスやコーディング、テストなど開発業務に関する管理策です。

旧規格を知っている方はピンときているかもしれませんが、技術的管理策は特に、旧規格でさまざまなテーマに分類されていたものが、「技術・システム」という観点でまとめられたということになります!

まとめ

今回はISMS改訂規格で登場した4つの管理策テーマについてご紹介しました。
一見「14つもあったはずのテーマを4つにまとめることなんて可能なの?」という印象を持ちますが、実は対象も整理されてわかりやすくなっています!
そしてこの「組織的」「人的」「物理的」「技術的」というテーマは、ISMSが関係ない組織でも、情報セキュリティの基本であり、役立つ考え方だったりするので、ぜひ覚えておいていただくと良いと思います😄

この記事が参加している募集

#仕事について話そう

110,250件

この記事が気に入ったらサポートをしてみませんか?