ISO/IEC27001とは
組織の情報セキュリティにおけるリスクを低減するために定められた認証制度に情報セキュリティマネジメントシステム(ISMS)があります。ISO/IEC 27001とは、ISMS認証の要求事項を満たしているか判断する為の情報セキュリティに関する国際規格です。
ISO/IEC27001が2022年10月、9年ぶりに改訂されました。その後、ISO/IEC 27001:2022の日本語版ともいえるJISQ 27001:2023が2023年9月20日に発行されています。
今回の改訂による組織への影響について、以下に詳細を記載します。
今回の改訂における最新版への移行猶予期間
最新版への移行猶予期間は、ISO/IEC 27001:2022が公開された2022年10月最終日から36か月後とされています。そのため、現在ISMS認証を取得している場合は、2025年10月31日までにISO/IEC 27001:2022への移行を完了する必要があります。移行期間が過ぎてしまった場合に、すべてのISO 27001:2013認証は無効となる可能性があります。
そのため、既に認証を取得している組織はスケジュールにおいて注意が必要です。
参考:一般社団法人情報マネジメントシステム認定センター(ISMS-AC) 「ISO/IEC 27001:2022 発行のお知らせ」https://isms.jp/doc/isoiec27001_2022.pdf
今回の改訂(ISO/IEC 27001:2022)における変更点
ISO/IEC 27001の項目に本文に記載された実施すべき情報セキュリティ対策の内容を補完する「付属書A」があります。 「付属書A」には、本文に記載の情報セキュリティ対策に実施漏れがないかのリスク管理を行うものとして管理目的及び、管理策が記載されています。 この「付属書A」において、これまでのISO/IEC 27001:2013からいくつか変更点があります。変更点ISO/IEC 27001:2022(付属書A)
1)管理策を14の分類から4つの分類に集約
旧版のISO/IEC 27001:2013ではA5~A18の14の分類に構成されておりました。
今回の改訂で、14項目で構成されていたものを集約し、4構成に分類されています。
|
旧版(ISO/IEC27002:2013)付属書A |
最新(ISO/IEC27002:2022)付属書A |
|
5.情報セキュリティの為の方針群(2項目) |
5.組織的管理策(37項目) |
|
6.情報セキュリティのための組織(7項目) |
6.人的管理策(8項目) |
|
7.人的資源のセキュリティ(6項目) |
7.物理的管理策(14項目) |
|
8.資産の管理(10項目) |
8.技術的管理策(34項目) |
|
9.アクセス制御(14項目) |
|
|
10.暗号(2項目) |
|
|
11.物理的及び環境的セキュリティ(15項目) |
|
|
12.運用のセキュリティ(14項目) |
|
|
13.通信のセキュリティ(7項目) |
|
|
14.システムの取得、開発及び保守(13項目) |
|
|
15供給者関係(5項目) |
|
|
16.情報セキュリティインシデント管理(7項目) |
|
|
17.事業継続マネジメントにおける情報セキュリティの側面(4項目) |
|
|
18.順守(8項目) |
参考元:日本規格協会グループ「JIS Q 27001(ISO/IEC 27001), JIS Q 15001 特集」
https://www.jsa.or.jp/ms-sp-1/jisq27001/
2)管理策の項目を114件から新規11件を含む93件に見直し
今回の改訂により、4つの管理策の項目の数が114あったものから93に削減されました。
また、93件の項目の中に、脅威インテリジェンスの利用や、Webフィルタリング、組織がクラウドサービスを利用する場合におけるセキュリティ対策など、11件対応が必要なセキュリティ項目が新たに追加されています。以下が管理策に追加された項目になります。
・追加された項目
今回は、新たに追加された項目の1つである「Webフィルタリング」についてご紹介したいと思います。
追加されたWebフィルタリングの規格要件について
今回の改訂により、ISO/IEC 27001の規格要件として、悪意のあるコンテンツにさらされることを減らすために、外部Webサイトへのアクセス管理をすることが必要であることとなっています。
この要件を満たすためのツールとしてWebフィルタリングがありますが、ひとくちにWebフィルタリングと言っても複数の種類が存在します。例えば、ドメイン単位でインターネットアクセスを管理するDNSフィルタリング、URL単位でアクセス管理を行うURLフィルタリングがあります。
また、価格も無償から有償まで幅広くあります。
Webフィルタリングを行うメリット、効果
組織において、これらのWebフィルタリングを導入した場合の主な効果は以下となります。
・外部からのセキュリティ対策:
フィッシンングサイトや悪意のあるサイトからのマルウェア被害を防止します。
・内部からのセキュリティ対策:
フィルタリング製品によっては、特定のクラウドサービス制御などを行うことで、内部情報漏洩リスクを低減します。
・社内のインターネット利用管理:
インターネットアクセスにルールを設けることで社内統制を強化できます。
また、業務に不要なサイト閲覧を防止することで業務効率化につなげることができます。
ALSIではURL単位でWebフィルタリングを行っており、オンプレミス版とクラウド版をご提供しています。
・【オンプレミス版】InterSafe WebFilter
・【クラウド版】InterSafe GatewayConnection
先程ご紹介したWebフィルタリングの効果に加えて、ALSIのWebフィルタリング製品をご利用いただくメリットを3つご紹介します。
①手軽なフィルタリングルールの運用管理
URL単位でのWebフィルタリングは、細かなルール設定ができることがメリットの1つです。その反面、フィルタリングルールの設定が大変になってしまうこともあります。
InterSafeシリーズのWebフィルタリングでは、企業・学校別でのルールテンプレートも用意していますので、フィルタリングルールの運用管理も手軽にできます。
その他、内部不正対策としてシャドーIT対策、SNSなどへの書き込み規制、書き込みキーワード規制や、ログを可視化した上でのアクセス管理・分析などもできます。
社員の安全なインターネット利用を実現するだけでなく、組織におけるセキュリティ対策のアピール要素の1つになります。
②幅広い環境への対応
オンプレミス版では、Windows版/Linux版に対応しています。ブラウザもEdge, Firefox, Google Chrome, Safariなど幅広くフィルタリング適用ができます。また、クラウド版では、Chrome OS/Windows/iOS/AndroidのマルチOSに対応しており、場所を問わず安全なインターネットアクセスを実現できるため、組織の管理統制強化につなげることができます。
③手厚い導入支援
ISMSの移行期間が決まっており、Webフィルタリング以外のセキュリティ対策も行う必要があるため、導入・展開に手間がかかると、他の対応に手が回らなくなる等の懸念が発生してくると考えられます。
InterSafeシリーズでは、導入支援も手厚く行っており、お客様のご要望に沿った設定を実施します。また、クラウド版の「InterSafe GatewayConnection」では無償での支援も可能です。
まとめ
2022年10月に情報マネジメントシステム(ISO/IEC 27001)が改訂され、現在ISMS認証を取得している場合、移行審査を受ける期間が定められています。
今回の改訂による付属書Aにおける変更点と新たに追加されたWebフィルタリングについてご紹介しました。
Webフィルタリングについては、ALSIにてご提案が可能です。セキュリティ対策についてお悩みの方はもちろん、Webフィルタリング製品について詳しい情報をお知りになりたい場合も、ぜひALSIまでご相談ください。
