ISO/IEC27002:2022
ISO/IEC27002:2022が、2022年2月に国際標準化機構(ISO)から発行されました。情報セキュリティやサイバーセキュリティの観点から導入が望ましい管理策などをまとめた規格で、2013年に発行されたISO27002:2013(JIS Q 27002:2014)の後継にあたります。本稿では、ISO/IEC27002:2022はそもそもどんな規格なのか、この規格が更新された狙いは何か、またその特徴はどんなものか、ISMS認証取得済み/認証を目指す組織はどう対策すべきかについて解説していきます。
ISO/IEC27002:2022とは
ISO/IEC27002:2022は「情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティ管理策」※と呼ばれる国際規格で、2022年2月にISOから発行されました。ISO/IEC27000ファミリー(情報セキュリティに関する規格群)を構成する主要規格の1つであり、「情報セキュリティやサイバーセキュリティ等のリスクに対して導入検討が望ましい管理策(コントロール)と管理策導入にあたっての勘どころ」をまとめたものになります。
※原文(英語)のタイトルは”Information security, cybersecurity and privacy protection - Information security controls”
なお、ISO/IEC27000ファミリーの各規格は相互にサポートし合う関係性で、組み合わせることで組織の情報セキュリティマネジメントの有効性や効率の向上に役立てることができます。
| 規格名称 | 概要 |
|---|---|
| ISO/IEC27000 | ISMSの概要と用語 |
| ISO/IEC27001 | ISMSの要求事項 |
| ISO/IEC27002 | ISMSの管理策 |
| ISO/IEC27003 | ISMSのガイダンス |
| ISO/IEC27004 | 監視、測定、分析及び評価 |
| ISO/IEC27005 | 情報セキュリティリスクマネジメント |
これら規格群の中でも、ISO/IEC27002と特に関係が深いのがISO/IEC27001です。ISO/IEC27001は「組織が効果的・効率的な情報セキュリティマネジメントを行うための必須要件を示した規格」という意味において、ISO/IEC27000ファミリーの中でも最も重要な規格の1つであり、ISO/IEC27002とはセットで利用されることが少なくありません。ISO/IEC27001は言わば「ISMSの効果的・効率的な運用を行うための法律であり、ISMS認証取得にあたって満たすべき要求事項」です。一方、ISO27002:2022は「情報セキュリティリスク管理策の参考書」と言えます。
規格更新の狙い
ISO/IEC27002:2022は約8年ぶりに更新されたわけですが、その狙いは「時代の変化に合ったものにするため」です。ここでいう変化とは、特に法規制の変化やサイバーリスクの増大、リモートワークの拡大が挙げられます。
法規制の変化
近年、経済安全保障問題も絡んで、各国で個人情報保護に関係する法整備が進んでいます。具体的には、GDPR(EU一般データ保護規則)、CCPA(カリフォルニア州消費者プライバシー法)、中国個人情報保護法が新たに制定されました。日本やオーストラリアの個人情報保護法(オーストラリアプライバシー原則)も頻繁な改正が行われています。
| 施行年月 | 施行された法 |
|---|---|
| 2018年5月 | GDPR(EU一般データ保護規則) |
| 2020年1月 | CCPA(カリフォルニア州消費者プライバシー法) |
| 2021年11月 | 中国個人情報保護法 |
| 2022年4月 | 改正個人情報保護法(日本) |
サイバーリスクの増大
サイバーリスクについては、言わずもがなです。米国では、2020年にセキュリティ企業のソーラーウィンズ社、2021年にはITソリューションプロバイダーのKASEYA、さらにはインフラ企業とも言える石油パイプライン企業のコロニアル・パイプライン社が大規模なサイバー攻撃を受けました。国内でも、2022年に入ってからだけでも、デンソー、トヨタの取引先である小島プレス、ブリヂストン、森永製菓など、様々な業種業態の企業が次々に攻撃にさらされています。加えて、各種のレポートでもサイバーリスクが指摘されています。「グローバルリスクレポート2022」では2年内の重大リスクの第7位にサイバーセキュリティ対策失敗(リスク)が挙げられ、IIA(内部監査人協会)の「リスクの理解、調整、最適化ガイド2022」の第1位リスクとしても、やはりサイバーセキュリティ(リスク)が挙がっています。
さらに、リモートワークも、2020年から蔓延した新型コロナ感染症(COVID-19)を契機として、世界中で一気に導入が進んだことは周知の事実です。ISO/IEC27002:2022は、こうした様々な環境変化に対応するために更新されたと言うことができます。
ISO/IEC27002:2013との違いに見るISO/IEC27002:2022の特徴
ISO/IEC27002:2022は、旧版に比べて大きく4つの観点で違いがあります。
①スコープ
1つ目は、スコープです。これは当該規格のタイトルからもわかります。2013年版のタイトル(和訳)は「情報技術 -セキュリティ技術- 情報セキュリティ管理策の実践ガイド(2013)」でしたが、2022年版は「情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティ管理策」です。「情報セキュリティ」に加えて、「サイバーセキュリティ」や「プライバシー保護」という言葉が追加されており、明らかに想定する対象範囲が広がっていることがわかります。最近のトレンドを押さえるという観点では、リモートワークやクラウドサービスに関する管理策も充実化が図られています。
②管理策の数とカテゴリの変更および「属性」の追加
2つ目は、管理策(コントロール)の数とカテゴリ(ドメイン)です。旧来は114の管理策が14のカテゴリに分類される形で解説されていました。2022年版では、管理策の統廃合や追加がなされ、トータル93の管理策が4つのカテゴリに分類される形で解説されています。なお、4つのカテゴリとは「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」です。
【ISO27002:2013とISO/IEC27002:2022の管理策のカテゴリ】
また、「属性」(下表参照)という考え方が新たに追加され、各管理策を、より柔軟かつ様々な場面に採用することができるようになりました。「属性」とは「コントロールの観点」と捉えていただくとわかりやすいでしょう。この「属性」という考え方は、他の組織や団体が発行するガイドライン等との親和性を高める効果も期待できます。具体的には例えば、「属性」の1つである「サイバーセキュリティ概念」では「特定、防御、検知、対応、復旧」という観点が示されていますが、これは、米国国立標準研究所(NIST)が発行しているCSF(サイバーセキュリティフレームワーク)でも採用されているものです。
| 属性の種類 | 属性の中身 |
|---|---|
| コントロール種別 | 予防的;発見的;是正的 |
| 情報セキュリティ特性 | 機密性;完全性;可用性 |
| サイバーセキュリティ概念 | 特定;防御;検知;対応;復旧 |
| 運用能力 | ガバナンス;資産管理;情報保護;人的資源セキュリティ;物理セキュリティ;システムとネットワークセキュリティ;アプリケーションセキュリティ;セキュア設定;識別とアクセス管理;脅威と脆弱性管理;継続性;供給者関係セキュリティ;法務・コンプライアンス;情報セキュリティ事象管理と情報セキュリティ保証 |
| セキュリティドメイン | ガバナンスとエコシステム;保護;防御;レジリエンス;属性 |
出典:ISO/IEC27002:2022 「4.2 テーマと属性」を元に筆者が翻訳・編集
③管理策
3つ目は、管理策そのものです。管理策が114から93にまでスリム化された中で、新たに追加された/統合された/更新された管理策があります。新たに追加された管理策では、主としてサイバーセキュリティやクラウドサービスの観点で追加されたものが多くあります。また、統合された管理策が24、更新された管理策は58あります。
| # | 管理策 |
|---|---|
| 5.7 | Threat intelligence(脅威インテリジェンス) |
| 5.23 | Information security for use of cloud services (クラウドサービス利用のための情報セキュリティ) |
| 5.30 | ICT readiness for business continuity(事業継続のためのICTの備え) |
| 7.4 | Physical security monitoring(物理的セキュリティの監視) |
| 8.9 | Configuration management(構成管理) |
| 8.10 | Information deletion(情報削除) |
| 8.11 | Data masking(データマスキング) |
| 8.12 | Data leakage prevention(データ漏洩防止) |
| 8.16 | Monitoring activities(監視活動) |
| 8.23 | Web filtering(Webフィルタリング) |
| 8.28 | Secure coding(セキュアコーディング) |
出典:ISO/IEC27002:2022「付属書B. 当該規格とISO/IEC27002:2013の管理策の比較表」を基に筆者が翻訳・作成
④管理策導入の目的
4つ目は、93の管理策一つひとつにその管理策導入の「目的」が明記されたことです。ISO/IEC27002:2013にも「管理策の目的」の記述はありましたが、一つひとつに対してではなく、ある程度まとめられたもの(全部で35)に対する記述にとどまっていました。これは非常に意義のある変更点です。なぜなら、旧版では、管理策によっては意図がわかりやすいとは言えず、規格の利用者が意図を推察する必要があったからです。一つひとつの管理策に対して「目的」が明記されたことで、「自組織が抱えるリスクに対して、その管理策が本当に妥当かどうか」を正しく議論できるようになったと言えるでしょう。
【ISO27002:2013とISO/IEC27002:2022の「管理策の目的」】
ISO/IEC27002:2022の管理策解説の構成
前述の通り、ISO/IEC27002:2022は旧版から管理策の構成が変更され、「属性」や「目的」が追加されています。この変更によって非常に読みやすく、理解しやすく、使いやすい規格となりました。どのような構成になったかについて、具体例を用いて触れておきます。
以下は、「5.1 情報セキュリティ方針」という管理策の記述例です。ご覧の通り、「属性」一覧が提示され、管理策の目的が記載されています。その上で、管理策の具体例や導入時の勘どころが記載されています。
5.1 情報セキュリティ方針
- 属性
-
管理策種別 情報セキュリティ特性 サイバーセキュリティ概念 運用能力 セキュリティ
ドメイン#予防的 #機密性; #完全性; #可用性 (省略) (省略) (省略)
- 管理策
- 情報セキュリティ方針及びテーマ別方針は、定義され、経営陣の承認を受けなければならない。公表し、関係者及び関係する利害関係者に伝達し、承認されなければならない。また、・・・以下、省略・・・
- 目的
- 業務上の法令、規制及び契約に従って、情報セキュリティに関する経営上の指示及び支援の適切性、妥当性及び有効性を継続的に確保すること。・・・以下、省略・・・。
- ガイダンス
- 最高レベルでは、トップマネジメントによって承認された、組織の情報セキュリティの管理方法を示した「情報セキュリティ方針」を定義する必要がある。情報セキュリティポリシーは、次の事項から派生する要件を考慮することが望ましい。
- a) 事業戦略及び要求事項
- b) …以下、省略...
【ISO/IEC27002:2022における管理策の解説例】
出典:ISO/IEC27002:2022「5.1 情報セキュリティ方針」から筆者が抜粋・翻訳
ISMS認証取得済み/取得を検討する組織への影響と対策
最後に、ISO/IEC27002:2022の発行に際して、ISMS認証取得済みの組織や取得を目指す組織が取るべき対策について解説します。いずれの組織も、取るべき対策はほぼ同じです。ISMS認証取得に当たっては、ISO/IEC27001に従ってリスクアセスメント等を実施し、特定されたリスクに対する管理策をISO/IEC27002を基に検討することになりますが、ISO/IEC27002:2021とISO/IEC27002:2022をセットで活用するよう心がけてください。
ちなみに、ISO/IEC27002:2022には、その巻末に付属書Bと呼ばれる「ISO/IEC27002:2022とISO/IEC27002:2013の比較表」が掲載されています。導入する管理策をISO/IEC27002:2022の93の管理策から選択したとしても、「それが旧版のどの管理策にあたるものか」がすぐに突き合わせできるようになっています。
