【シリーズ】ISMS新規格の管理策　変更点まとめ＜8.26〜8.30＞

管理策の変更点まとめシリーズ第19回！
今回も引き続き「8 技術的管理策」がテーマです。

引き続き「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼シリーズをまとめたマガジンページはこちら！

【シリーズ】ISMS新規格の管理策　変更点まとめ｜いしはまゆうき@LRMの情報セキュリティコンサルタント｜note

本編に入る前に

• 規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）

• JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります

• 規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

8.26 アプリケーションセキュリティの要求事項

1. 表現の平易化
   旧規格では「公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮」「アプリケーションサービスのトランザクションの保護」という2つの詳細な管理策で構成されていたものが、新規格ではこの管理策で「アプリの開発・取得時にはセキュリティ要求事項を特定・規定・承認しましょう」という大きな括りでの要求事項に変化しています。
   
   旧規格に対応して実施してきていることも新規格がカバーする一部ではあるかもしれませんが、それ以外にも考慮すべき事項がある可能性もありますので改めて確認しておくと良いかもしれません。
   

2. 「要求事項の特定、規定、承認」が要求事項に追加
   旧規格でこの管理策に対応しているとされている管理策ではあくまでも「保護」というのが実施事項として求められていたことであったのに対し、新規格では「要求事項の特定、規定、承認」が求められるようになりました。
   
   管理策自体を旧規格からの延長線にあると捉えるよりも、もっとアプリの開発・取得の序盤にあたる部分で考慮すべきものとして取り組み方を再生りしてみても良いかもしれません。

8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則

1. 対象が「開発活動」であることの明確化
   要求事項自体に大きな変更はないのですが、旧規格では「情報システムの”実装”」を対象とする記載だったのに対し、新規格では「情報システムの”開発活動”」を対象とする記載になっています。
   
   ここから先は少し個人的な解釈になりますが、これまでの実装という表現は取得をした場合というのも含まれていたように思います。これはもしかすると旧規格ができた当時はまだ取得する場合でもオンプレミスでシステムを構築していたので自社が構築についても考慮すべきという考え方のもとだったのではないかと思います。
   それに対し現在はクラウド化も進んでいることから、取得については他の管理策で考慮をした上で、この構築に関する部分は完全に開発活動にフォーカスしたと考えてみると腑に落ちる感じがしました。

8.28 セキュリティに配慮したコーディング

1. 新しく登場した管理策
   この管理策は旧規格には対応する管理策がない新規管理策です。
   そのためまずはゼロベースで対応を検討することをおすすめします。
   （今回は新旧規格の差分をメインのテーマとしているため、新規管理策の詳細解説は割愛します）

8.29 開発及び受入れにおけるセキュリティテスト

1. 表現の平易化
   旧規格では、「自組織内での試験」と「外部委託していた場合の受入れ試験」はそれぞれ独立した管理策として存在していたのに対し、新規格ではテストの種類は問わず「開発のライフサイクル内でテストのプロセスを定めて実装しましょう」という管理策に変更しています。
   
   ただ従来から取り組んできたことを引き続き行っていくことで充足できるものであると考えられます。

8.30 外部委託による開発

1. 活動の「監督」から「指揮」に要求が変更
   旧規格では外部委託したシステム開発に関する活動を「監督すること」が求められていたのに対し、新規格では活動を「指揮すること」が求められています。
   
   そこまで大きく取り組みを変える必要はないかもしれませんが、開発の委託元である自組織の責任がより明確化されたと捉えることもできるかもしれません。
   

2. 「レビューすること」の要求の追加
   新規格では新たに「レビューすること」の要求が追加されています。
   これまでも監視などは求められていましたが、新規格対応に際して、開発の外部委託がある場合には改めて適切な活動が行われているかレビューする営みがあるか確認しておいても良いかもしれません。

まとめ

今回は「8 技術的管理策」の5つの管理策を整理してみました。
今回の管理策は特にシステム開発や取得に関する管理策が多く、これらについても管理策によってカバーすべきこと、求められていることがより幅広くなっているように見受けられます。
幅広くなるということはできることが増えるということでもある一方、組織によって適切な取り組みが全く異なってくる可能性もあるので、しっかりと自組織のリスクを認識することが重要になってくるかもしれません。

参考資料

• 『ISO/IEC 27001:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項』 ISO

• 『ISO/IEC 27002:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策』ISO

• 『JIS Q 27001:2014情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項』日本規格協会