ISMS(ISO27001)認証の規格改定
JIS Q 27001:2023サイバーセキュリティ及びプライバシー保護—情報セキュリティマネジメントシステム—要求事項
JIS Q 27001:2023は、情報セキュリティマネジメントシステム(ISMS)に関する日本の規格です。この規格は、国際規格であるISO/IEC 27001:2022をベースにしており、日本国内の情報セキュリティに関する要件を取り入れたものです。
ISO/IEC 27001:2022ベース
JIS Q 27001:2023は、ISO/IEC 27001:2022をベースにしており、この国際規格の要件に準拠しています。これにより、国際的な情報セキュリティ基準に適合することができます。
日本国内の要件の取り入れ
JIS Q 27001:2023は、ISO/IEC 27001に加えて、日本国内の法的要件や習慣に合致するための追加要件を含んでいます。これにより、日本の組織が国内外の要求事項を満たすことができます。
JSA(日本規格協会)による制定
この規格は、JSAによって制定されており、日本国内での情報セキュリティマネジメントに関する標準として利用されます。
具体的な要件や変更点についての詳細な情報は、提供いただいたリンクからJIS Q 27001:2023の規格文書を確認することで入手できます。組織がこの規格を採用する際には、規格文書を詳細に検討し、要件に適合するための対策を講じることが重要です。また、情報セキュリティに関連する専門家やコンサルタントの協力も役立つ場合があります。
ISMS(ISO/IEC 27001)の最新版(ISO/IEC 27001:2022)が2022年10月に発行されました。この改訂版は、同年2月に発行されたISO/IEC 27002の最新版(ISO/IEC 27002:2022)を反映したものです。本記事では、これら規格の主要な変更点、新たに追加された11の管理策、および移行スケジュールについて解説します。ISMS認証の基本や、ISO/IEC 27001とISO/IEC 27002の違いについても説明していますので、ISMS認証取得済みの企業だけでなく、これから取得を検討している企業にも参考にしていただければ幸いです。
ISMSとは何か?
ISMS(Information Security Management System、情報セキュリティマネジメントシステム)とは、情報セキュリティを効果的かつ継続的に維持するための国際規格「ISO/IEC 27001」に基づく管理システムです。ISMS適合性評価制度は、この規格に基づく要求事項が満たされているかどうかを認証する制度です。ISMS認証を取得することで、強固なセキュリティ体制を構築・維持することができ、顧客や取引先からの信頼を向上させるといったメリットがあります。
ISO/IEC 27000 ファミリー規格
ISMSに関連する規格は「ISO/IEC 27000 ファミリー規格」として複数存在し、27001を含むこれらの規格は、情報セキュリティ管理のさまざまな側面をカバーしています。主要な規格には、以下のものがあります。
- ISO/IEC 27001 - ISMS適合性評価制度の基盤となる規格
- ISO/IEC 27002 - 情報セキュリティ管理策のベストプラクティスを提供するガイドライン
- ISO/IEC 27017 - クラウドサービスの情報セキュリティ管理策
- ISO/IEC 27019 - エネルギー業界向けの情報セキュリティ管理策
ISMSの改訂内容
2022年に発行されたISO/IEC 27001とISO/IEC 27002の改訂版では、企業がISMS認証を維持・取得するために実施すべき管理策にいくつかの変更が加えられました。まず、ISO/IEC 27002の改訂内容が2月に公開され、続いて10月にISO/IEC 27001の改訂版が公開されました。
ISO/IEC 27001とISO/IEC 27002の違い
ISO/IEC 27001とISO/IEC 27002の違いを理解しておくことが重要です。ISO/IEC 27001は認証可能な規格であり、企業がその要求事項を満たすことでISMS認証を取得することができます。一方、ISO/IEC 27002は、情報セキュリティ管理のためのベストプラクティスを提供するガイドラインであり、認証対象ではありません。
ISO/IEC 27002改訂の主な変更点
ISO/IEC 27002:2022は、前版に比べてページ数が増加し、タイトルの変更や管理策の数が114から93に減少しました。また、管理策の分類方法も大きく変更され、新たな管理策が11個追加されました。
- タイトルから「実践のための規範(code of practice)」のフレーズが削除
- 管理策の数が114から93へ減少
- 管理策が4つの「テーマ(theme)」に分類されるように変更
- 管理策に5種類の「属性(attribute)」が追加
ISO/IEC 27001の改訂
ISO/IEC 27002の改訂を受け、ISO/IEC 27001も改訂されました。主な変更点は、附属書Aの管理策がISO/IEC 27002:2022に合わせて修正されたことです。
新たな11の管理策
以下は、ISO/IEC 27002:2022に新たに追加された11の管理策です。
- A.5.7 脅威インテリジェンス(Threat intelligence)
- A.5.23 クラウドサービスの利用における情報セキュリティ(Information Security for Use of Cloud Services)
- A.5.30 事業継続のためのICTの備え(ICT Readiness for Business Continuity)
- A.7.4 物理的セキュリティの監視(Physical Security Monitoring)
- A.8.9 構成管理(Configuration Management)
- A.8.10 情報の削除(Information Deletion)
- A.8.11 データマスキング(Data Masking)
- A.8.12 データ漏えい防止(Data Leakage Prevention)
- A.8.16 監視活動(Monitoring Activities)
- A.8.23 ウェブフィルタリング(Web Filtering)
- A.8.28 セキュリティに配慮したコーディング(Secure Coding)
新たな11管理策の詳細
以下は、ISO/IEC 27002:2022に新たに追加された11の管理策について、各項目を要約したものです。
-
脅威インテリジェンス
脅威インテリジェンスは、サイバー攻撃や脆弱性に関する最新情報を収集・分析し、これをもとに適切な対策を講じることを求める管理策です。この情報を活用することで、組織は潜在的なリスクを事前に特定し、セキュリティ対策を強化することができます。
-
クラウドサービスの利用における情報セキュリティ
クラウドサービスの利用における情報セキュリティでは、クラウド環境におけるデータ保護の重要性が強調されています。特に、機密情報の保護やデータの暗号化、クラウドサービスプロバイダとの契約内容の適切な管理が求められます。
-
事業継続のためのICTの備え
事業継続のためのICTの備えは、システム障害や災害時に事業を継続するために、ICTインフラの準備と保守を確実に行うことを目的としています。これには、データのバックアップ、災害復旧計画、冗長性の確保が含まれます。
-
物理的セキュリティの監視
物理的セキュリティの監視では、施設やデータセンターなどの物理的な環境におけるセキュリティ対策の強化が求められます。監視カメラの設置、入退室管理システムの導入、定期的な監査が含まれます。
-
構成管理
構成管理は、組織内のすべてのシステムやデバイスの設定を一貫して管理し、未承認の変更や設定ミスを防ぐことを目的としています。これにより、セキュリティの一貫性を保ち、潜在的な脆弱性を回避します。
-
情報の削除
情報の削除では、不要となったデータや保存期間を過ぎた情報を適切に削除することが求められます。これにより、不要なデータが誤って露出するリスクを最小限に抑えることができます。
-
データマスキング
データマスキングは、機密データの保護を目的とし、データが誤って露出した際でも実際の値が漏れないようにする技術です。主に、テスト環境や開発環境でのデータ保護に用いられます。
-
データ漏えい防止
データ漏えい防止では、機密情報の不正な流出を防ぐための対策を強化することが求められます。これには、データの暗号化やアクセス制御、データの移動に関するポリシーの導入が含まれます。
-
監視活動
監視活動では、システムやネットワークの異常を早期に検知し、迅速な対応を行うためのモニタリング体制の整備が求められます。これにより、潜在的なセキュリティインシデントを未然に防ぐことが可能です。
-
ウェブフィルタリング
ウェブフィルタリングは、インターネットの利用に伴うリスクを低減するため、従業員がアクセスできるウェブサイトを管理することを目的としています。悪意のあるサイトへのアクセスを防止することで、セキュリティを強化します。
-
セキュリティに配慮したコーディング
セキュリティに配慮したコーディングは、ソフトウェア開発の過程でセキュリティ上の脆弱性を最小限に抑えることを目的としています。これには、安全なコーディングガイドラインの導入や、コードレビューの実施が含まれます。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。