ISO/IEC27002:2022は「情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティ管理策」※と呼ばれる国際規格で、2022年2月にISOから発行されました。ISO/IEC27000ファミリー（情報セキュリティに関する規格群）を構成する主要規格の１つであり、「情報セキュリティやサイバーセキュリティ等のリスクに対して導入検討が望ましい管理策（コントロール）と管理策導入にあたっての勘どころ」をまとめたものになります。

※原文（英語）のタイトルは”Information security, cybersecurity and privacy protection - Information security controls”

なお、ISO/IEC27000ファミリーの各規格は相互にサポートし合う関係性で、組み合わせることで組織の情報セキュリティマネジメントの有効性や効率の向上に役立てることができます。

これら規格群の中でも、ISO/IEC27002と特に関係が深いのがISO/IEC27001です。ISO/IEC27001は「組織が効果的・効率的な情報セキュリティマネジメントを行うための必須要件を示した規格」という意味において、ISO/IEC27000ファミリーの中でも最も重要な規格の1つであり、ISO/IEC27002とはセットで利用されることが少なくありません。ISO/IEC27001は言わば「ISMSの効果的・効率的な運用を行うための法律であり、ISMS認証取得にあたって満たすべき要求事項」です。一方、ISO27002:2022は「情報セキュリティリスク管理策の参考書」と言えます。

ISO/IEC27002:2022は約8年ぶりに更新されたわけですが、その狙いは「時代の変化に合ったものにするため」です。ここでいう変化とは、特に法規制の変化やサイバーリスクの増大、リモートワークの拡大が挙げられます。

法規制の変化

近年、経済安全保障問題も絡んで、各国で個人情報保護に関係する法整備が進んでいます。具体的には、GDPR（EU一般データ保護規則）、CCPA（カリフォルニア州消費者プライバシー法）、中国個人情報保護法が新たに制定されました。日本やオーストラリアの個人情報保護法（オーストラリアプライバシー原則）も頻繁な改正が行われています。

サイバーリスクの増大

サイバーリスクについては、言わずもがなです。米国では、2020年にセキュリティ企業のソーラーウィンズ社、2021年にはITソリューションプロバイダーのKASEYA、さらにはインフラ企業とも言える石油パイプライン企業のコロニアル・パイプライン社が大規模なサイバー攻撃を受けました。国内でも、2022年に入ってからだけでも、デンソー、トヨタの取引先である小島プレス、ブリヂストン、森永製菓など、様々な業種業態の企業が次々に攻撃にさらされています。加えて、各種のレポートでもサイバーリスクが指摘されています。「グローバルリスクレポート2022」では2年内の重大リスクの第7位にサイバーセキュリティ対策失敗（リスク）が挙げられ、IIA（内部監査人協会）の「リスクの理解、調整、最適化ガイド2022」の第1位リスクとしても、やはりサイバーセキュリティ（リスク）が挙がっています。

さらに、リモートワークも、2020年から蔓延した新型コロナ感染症（COVID-19）を契機として、世界中で一気に導入が進んだことは周知の事実です。ISO/IEC27002:2022は、こうした様々な環境変化に対応するために更新されたと言うことができます。

ISO/IEC27002:2022は、旧版に比べて大きく4つの観点で違いがあります。

①スコープ

１つ目は、スコープです。これは当該規格のタイトルからもわかります。2013年版のタイトル（和訳）は「情報技術 -セキュリティ技術- 情報セキュリティ管理策の実践ガイド（2013）」でしたが、2022年版は「情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティ管理策」です。「情報セキュリティ」に加えて、「サイバーセキュリティ」や「プライバシー保護」という言葉が追加されており、明らかに想定する対象範囲が広がっていることがわかります。最近のトレンドを押さえるという観点では、リモートワークやクラウドサービスに関する管理策も充実化が図られています。

②管理策の数とカテゴリの変更および「属性」の追加

２つ目は、管理策（コントロール）の数とカテゴリ（ドメイン）です。旧来は114の管理策が14のカテゴリに分類される形で解説されていました。2022年版では、管理策の統廃合や追加がなされ、トータル93の管理策が４つのカテゴリに分類される形で解説されています。なお、４つのカテゴリとは「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」です。

【ISO27002:2013とISO/IEC27002:2022の管理策のカテゴリ】

また、「属性」（下表参照）という考え方が新たに追加され、各管理策を、より柔軟かつ様々な場面に採用することができるようになりました。「属性」とは「コントロールの観点」と捉えていただくとわかりやすいでしょう。この「属性」という考え方は、他の組織や団体が発行するガイドライン等との親和性を高める効果も期待できます。具体的には例えば、「属性」の1つである「サイバーセキュリティ概念」では「特定、防御、検知、対応、復旧」という観点が示されていますが、これは、米国国立標準研究所（NIST）が発行しているCSF（サイバーセキュリティフレームワーク）でも採用されているものです。

出典：ISO/IEC27002:2022 「4.2 テーマと属性」を元に筆者が翻訳・編集

③管理策

3つ目は、管理策そのものです。管理策が114から93にまでスリム化された中で、新たに追加された／統合された／更新された管理策があります。新たに追加された管理策では、主としてサイバーセキュリティやクラウドサービスの観点で追加されたものが多くあります。また、統合された管理策が24、更新された管理策は58あります。

出典：ISO/IEC27002:2022「付属書B. 当該規格とISO/IEC27002:2013の管理策の比較表」を基に筆者が翻訳・作成

④管理策導入の目的

4つ目は、93の管理策一つひとつにその管理策導入の「目的」が明記されたことです。ISO/IEC27002:2013にも「管理策の目的」の記述はありましたが、一つひとつに対してではなく、ある程度まとめられたもの（全部で35）に対する記述にとどまっていました。これは非常に意義のある変更点です。なぜなら、旧版では、管理策によっては意図がわかりやすいとは言えず、規格の利用者が意図を推察する必要があったからです。一つひとつの管理策に対して「目的」が明記されたことで、「自組織が抱えるリスクに対して、その管理策が本当に妥当かどうか」を正しく議論できるようになったと言えるでしょう。

【ISO27002:2013とISO/IEC27002:2022の「管理策の目的」】

前述の通り、ISO/IEC27002:2022は旧版から管理策の構成が変更され、「属性」や「目的」が追加されています。この変更によって非常に読みやすく、理解しやすく、使いやすい規格となりました。どのような構成になったかについて、具体例を用いて触れておきます。

以下は、「5.1 情報セキュリティ方針」という管理策の記述例です。ご覧の通り、「属性」一覧が提示され、管理策の目的が記載されています。その上で、管理策の具体例や導入時の勘どころが記載されています。

【ISO/IEC27002:2022における管理策の解説例】

出典：ISO/IEC27002:2022「5.1 情報セキュリティ方針」から筆者が抜粋・翻訳

最後に、ISO/IEC27002:2022の発行に際して、ISMS認証取得済みの組織や取得を目指す組織が取るべき対策について解説します。いずれの組織も、取るべき対策はほぼ同じです。ISMS認証取得に当たっては、ISO/IEC27001に従ってリスクアセスメント等を実施し、特定されたリスクに対する管理策をISO/IEC27002を基に検討することになりますが、ISO/IEC27002:2021とISO/IEC27002:2022をセットで活用するよう心がけてください。

ちなみに、ISO/IEC27002:2022には、その巻末に付属書Bと呼ばれる「ISO/IEC27002:2022とISO/IEC27002:2013の比較表」が掲載されています。導入する管理策をISO/IEC27002:2022の93の管理策から選択したとしても、「それが旧版のどの管理策にあたるものか」がすぐに突き合わせできるようになっています。