ISMS（ISO27001）認証の規格改定

JIS Q 27001:2023サイバーセキュリティ及びプライバシー保護—情報セキュリティマネジメントシステム—要求事項

JIS Q 27001:2023は、情報セキュリティマネジメントシステム（ISMS）に関する日本の規格です。この規格は、国際規格であるISO/IEC 27001:2022をベースにしており、日本国内の情報セキュリティに関する要件を取り入れたものです。

ISO/IEC 27001:2022ベース

JIS Q 27001:2023は、ISO/IEC 27001:2022をベースにしており、この国際規格の要件に準拠しています。これにより、国際的な情報セキュリティ基準に適合することができます。

日本国内の要件の取り入れ

JIS Q 27001:2023は、ISO/IEC 27001に加えて、日本国内の法的要件や習慣に合致するための追加要件を含んでいます。これにより、日本の組織が国内外の要求事項を満たすことができます。

JSA（日本規格協会）による制定

この規格は、JSAによって制定されており、日本国内での情報セキュリティマネジメントに関する標準として利用されます。

具体的な要件や変更点についての詳細な情報は、提供いただいたリンクからJIS Q 27001:2023の規格文書を確認することで入手できます。組織がこの規格を採用する際には、規格文書を詳細に検討し、要件に適合するための対策を講じることが重要です。また、情報セキュリティに関連する専門家やコンサルタントの協力も役立つ場合があります。

ISMS（ISO/IEC 27001）の最新版（ISO/IEC 27001:2022）が2022年10月に発行されました。この改訂版は、同年2月に発行されたISO/IEC 27002の最新版（ISO/IEC 27002:2022）を反映したものです。本記事では、これら規格の主要な変更点、新たに追加された11の管理策、および移行スケジュールについて解説します。ISMS認証の基本や、ISO/IEC 27001とISO/IEC 27002の違いについても説明していますので、ISMS認証取得済みの企業だけでなく、これから取得を検討している企業にも参考にしていただければ幸いです。

ISMSとは何か？

ISMS（Information Security Management System、情報セキュリティマネジメントシステム）とは、情報セキュリティを効果的かつ継続的に維持するための国際規格「ISO/IEC 27001」に基づく管理システムです。ISMS適合性評価制度は、この規格に基づく要求事項が満たされているかどうかを認証する制度です。ISMS認証を取得することで、強固なセキュリティ体制を構築・維持することができ、顧客や取引先からの信頼を向上させるといったメリットがあります。

ISO/IEC 27000 ファミリー規格

ISMSに関連する規格は「ISO/IEC 27000 ファミリー規格」として複数存在し、27001を含むこれらの規格は、情報セキュリティ管理のさまざまな側面をカバーしています。主要な規格には、以下のものがあります。

• ISO/IEC 27001 - ISMS適合性評価制度の基盤となる規格
• ISO/IEC 27002 - 情報セキュリティ管理策のベストプラクティスを提供するガイドライン
• ISO/IEC 27017 - クラウドサービスの情報セキュリティ管理策
• ISO/IEC 27019 - エネルギー業界向けの情報セキュリティ管理策

ISMSの改訂内容

2022年に発行されたISO/IEC 27001とISO/IEC 27002の改訂版では、企業がISMS認証を維持・取得するために実施すべき管理策にいくつかの変更が加えられました。まず、ISO/IEC 27002の改訂内容が2月に公開され、続いて10月にISO/IEC 27001の改訂版が公開されました。

ISO/IEC 27001とISO/IEC 27002の違い

ISO/IEC 27001とISO/IEC 27002の違いを理解しておくことが重要です。ISO/IEC 27001は認証可能な規格であり、企業がその要求事項を満たすことでISMS認証を取得することができます。一方、ISO/IEC 27002は、情報セキュリティ管理のためのベストプラクティスを提供するガイドラインであり、認証対象ではありません。

ISO/IEC 27002改訂の主な変更点

ISO/IEC 27002:2022は、前版に比べてページ数が増加し、タイトルの変更や管理策の数が114から93に減少しました。また、管理策の分類方法も大きく変更され、新たな管理策が11個追加されました。

• タイトルから「実践のための規範（code of practice）」のフレーズが削除
• 管理策の数が114から93へ減少
• 管理策が4つの「テーマ（theme）」に分類されるように変更
• 管理策に5種類の「属性（attribute）」が追加

ISO/IEC 27001の改訂

ISO/IEC 27002の改訂を受け、ISO/IEC 27001も改訂されました。主な変更点は、附属書Aの管理策がISO/IEC 27002:2022に合わせて修正されたことです。

新たな11の管理策

以下は、ISO/IEC 27002:2022に新たに追加された11の管理策です。

• A.5.7 脅威インテリジェンス（Threat intelligence）
• A.5.23 クラウドサービスの利用における情報セキュリティ（Information Security for Use of Cloud Services）
• A.5.30 事業継続のためのICTの備え（ICT Readiness for Business Continuity）
• A.7.4 物理的セキュリティの監視（Physical Security Monitoring）
• A.8.9 構成管理（Configuration Management）
• A.8.10 情報の削除（Information Deletion）
• A.8.11 データマスキング（Data Masking）
• A.8.12 データ漏えい防止（Data Leakage Prevention）
• A.8.16 監視活動（Monitoring Activities）
• A.8.23 ウェブフィルタリング（Web Filtering）
• A.8.28 セキュリティに配慮したコーディング（Secure Coding）

新たな11管理策の詳細

以下は、ISO/IEC 27002:2022に新たに追加された11の管理策について、各項目を要約したものです。

• 脅威インテリジェンス

  脅威インテリジェンスは、サイバー攻撃や脆弱性に関する最新情報を収集・分析し、これをもとに適切な対策を講じることを求める管理策です。この情報を活用することで、組織は潜在的なリスクを事前に特定し、セキュリティ対策を強化することができます。

• クラウドサービスの利用における情報セキュリティ

  クラウドサービスの利用における情報セキュリティでは、クラウド環境におけるデータ保護の重要性が強調されています。特に、機密情報の保護やデータの暗号化、クラウドサービスプロバイダとの契約内容の適切な管理が求められます。

• 事業継続のためのICTの備え

  事業継続のためのICTの備えは、システム障害や災害時に事業を継続するために、ICTインフラの準備と保守を確実に行うことを目的としています。これには、データのバックアップ、災害復旧計画、冗長性の確保が含まれます。

• 物理的セキュリティの監視

  物理的セキュリティの監視では、施設やデータセンターなどの物理的な環境におけるセキュリティ対策の強化が求められます。監視カメラの設置、入退室管理システムの導入、定期的な監査が含まれます。

• 構成管理

  構成管理は、組織内のすべてのシステムやデバイスの設定を一貫して管理し、未承認の変更や設定ミスを防ぐことを目的としています。これにより、セキュリティの一貫性を保ち、潜在的な脆弱性を回避します。

• 情報の削除

  情報の削除では、不要となったデータや保存期間を過ぎた情報を適切に削除することが求められます。これにより、不要なデータが誤って露出するリスクを最小限に抑えることができます。

• データマスキング

  データマスキングは、機密データの保護を目的とし、データが誤って露出した際でも実際の値が漏れないようにする技術です。主に、テスト環境や開発環境でのデータ保護に用いられます。

• データ漏えい防止

  データ漏えい防止では、機密情報の不正な流出を防ぐための対策を強化することが求められます。これには、データの暗号化やアクセス制御、データの移動に関するポリシーの導入が含まれます。

• 監視活動

  監視活動では、システムやネットワークの異常を早期に検知し、迅速な対応を行うためのモニタリング体制の整備が求められます。これにより、潜在的なセキュリティインシデントを未然に防ぐことが可能です。

• ウェブフィルタリング

  ウェブフィルタリングは、インターネットの利用に伴うリスクを低減するため、従業員がアクセスできるウェブサイトを管理することを目的としています。悪意のあるサイトへのアクセスを防止することで、セキュリティを強化します。

• セキュリティに配慮したコーディング

  セキュリティに配慮したコーディングは、ソフトウェア開発の過程でセキュリティ上の脆弱性を最小限に抑えることを目的としています。これには、安全なコーディングガイドラインの導入や、コードレビューの実施が含まれます。

目的別に選べる！
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】

ISMS（ISO27001）認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。

コストを抑えて手間なく
「まず取得したい」
なら

ISOサポート

※引用元：ISOサポート公式HP（引用元：https://www.iso-sp.co.jp/2700.html ）

特徴

• 専任不要＆月額3.3万円の低コスト
  情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。
• 中小企業向けフルアウトソーシング支援
  書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。
• 維持運用しやすい実務重視の設計
  最小限の設計で、取得後も1名体制で継続しやすい。

公式サイトで
サービスの詳細を確認

電話で問い合わせる

複雑な組織や業種にも
柔軟に対応
してほしいなら

ISOプロ

※引用元：ISOプロ公式HP（https://activation-service.jp/iso/lp/）

特徴

• 現役審査員が直接サポート＆訪問無制限
  複雑な多拠点対応も、現場に即した導入設計が可能。
• 業種特化・6か月以内の取得も相談可
  業界特有の運用にも対応し、スピード重視の企業にもおすすめ。
• ISO事務局も代行し全工程を一括支援
  社内対応の手間を減らし、効率・品質を向上。

公式サイトで
サービスの詳細を確認

電話で問い合わせる

中小企業で
運用負担を削減
したいなら

ワークストラスト

※引用元：ワークストラスト公式HP（https://www.workstrust.com/）

特徴

• 書類作成の負担が少ない
  提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。
• 取得時も取得後も運用の負担が少ない
  負担の少ない運用を行うためには、管理すべき（作成すべき）書類は最小限に留めることが重要。
•                          取得後は自社で維持、運用が可能
  必要最小限な運用が可能なため、自社だけでも準備が容易。

公式サイトで
サービスの詳細を確認

電話で問い合わせる