【シリーズ】ISMS新規格の管理策　変更点まとめ＜7.1〜7.5＞

管理策の変更点まとめシリーズ第11回！
今回からは「7 物理的管理策」がテーマです。

引き続き「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼シリーズをまとめたマガジンページはこちら！

【シリーズ】ISMS新規格の管理策　変更点まとめ｜いしはまゆうき@LRMの情報セキュリティコンサルタント｜note

本編に入る前に

• 規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）

• JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります

• 規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

7.1 物理的セキュリティ境界

1. 「取扱いに慎重を要する又は重要な情報」に関わらず、情報などのある領域全般を対象とする記載に変更
   「情報がある場所を守るためにセキュリティ境界を定めて運用する」という要求に変更はありません。
   
   一点押さえておくべきポイントとして、旧規格では「取扱いに慎重を要する又は重要な情報・情報処理施設」がある場所に対して適用することを求められていたのに対して、新規格ではこの「取扱いに慎重を要する又は重要な」という記載が削除されています。
   
   ただ情報があるにも関わらずセキュリティエリアを定めていないということはあまりないと思いますので、あえて新たな施策を行うことはあまりないと考えられます。

7.2 物理的入退

1. 入退管理の背景の記載の削除
   旧規格では当該管理策は「認可された者だけにアクセスを許すことを確実にするために」行うということが記載されていたのですが、新規格ではこの文言が削除されています。
   
   ただ、新規格の27002においては当該管理策の目的として同じことが記載されていますのであえて考え方や取り組み内容を変える必要はないでしょう。
   

2. 「受渡場所」に関する言及の削除
   旧規格では荷物の受渡場所について単独で管理策が存在していましたが、新規格では当該管理策に統合されています。
   今までの取り組みを変える必要はないですが、立て付けとしてはさまざまな入退管理の一環として荷物の受渡業者等の管理も含まれると考えておくとよいでしょう。

7.3 オフィス、部屋及び施設のセキュリティ

1. 大幅な変更なし
   当該管理策は新旧で大きな変更が発生していません。
   従来通りの取り組みを継続して確実に実施していきましょう。

7.4 物理的セキュリティの監視

1. 新しく登場した管理策
   この管理策は旧規格には対応する管理策がない新規管理策です。
   そのためまずはゼロベースで対応を検討することをおすすめします。
   （今回は新旧規格の差分をメインのテーマとしているため、新規管理策の詳細解説は割愛します）

7.5 物理的及び環境的脅威からの保護

1. 脅威の対象として「インフラストラクチャ」に言及
   「物理的・環境的脅威から保護しましょう」という要求に変更はありません。ただ新規格においては「インフラストラクチャ」に対する脅威への保護であるという記載になっています。
   
   実施事項自体は従来と変更ないかもしれませんが、今後は施設や設備を運営する上で重要なインフラ要素により重点を置くことで効果的な管理策になるかもしれません。

まとめ

今回は「7 物理的管理策」の5つの管理策を整理してみました。
この10年間でオフィスに関するリスクが大幅に変更したわけではないので管理策自体も大部分は旧企画を踏襲しています。
ただ監視の管理策のように、これまで考慮されていなかった要素も新たに登場していたりはするので、規格改訂に合わせ今一度オフィスのセキュリティを見直してみるとよいかもしれません。

参考資料

• 『ISO/IEC 27001:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項』 ISO

• 『ISO/IEC 27002:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策』ISO

• 『JIS Q 27001:2014情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項』日本規格協会