ISO/IEC 27001 の改訂について
2022年に改訂された ISO/IEC 27001:2022 は、現代の情報セキュリティの脅威と最新の技術に対応するために、いくつかの重要な変更を導入しました。この改訂には、脅威インテリジェンス、クラウドサービスの安全な利用、事業継続の計画、物理的セキュリティの監視、データの削除やマスキングなどの新しい管理策が含まれています。
これらの改訂は、組織が現在のデジタル環境でのセキュリティリスクに効果的に対応できるようにするためのものです。特にクラウドサービスやモバイルデバイスの普及、サイバー攻撃の増加など、情報セキュリティの環境が急速に変化している現在、これらは非常に重要な改訂です。
ISO/IEC 27001:2022の改訂に準拠することにより、組織が情報セキュリティの管理を現代のリスクと技術の進化に合わせて、情報セキュリティの脅威から組織を守るために必要な措置を講じることができます。
このブログ記事では、ISO/IEC 27001:2022 Annex A に追加された新規管理策に焦点を当て、それぞれの管理策の概要とその実施に伴うメリットについて整理します。
また、弊社アンカーテクノロジーズ株式会社では、VirusTotal Enterprise、Maltego、Shodan、Feedly Enterprise、Recorded Futureなど、脅威インテリジェンスを効率的に収集・分析するためのツール群を多数取り扱っております。
それぞれのツールをどのように運用して情報セキュリティを確保するのが望ましいか等についてのご相談も承っております。
お問い合わせはこちらから。
ISO/IEC 27001:2022 Annex Aの新規管理策の概要とその実施メリット
ISO/IEC 27001:2022 Annex Aの新規管理策の概要とその実施メリットは以下の通りです。
| 新規管理策 | 概要 | 実施メリット |
|---|---|---|
| 5.7 脅威インテリジェンス | 既存や新規の脅威に関する情報を収集及び分析し、脅威に対する対策を講じることで組織のISMSに影響を及ぼすリスクを低減するための活動 | 新規および既存の脅威に関する情報を収集・分析し、効果的なリスク管理と迅速な対応を実現。セキュリティインシデントの発生確率低減と組織全体のセキュリティ向上。 |
| 5.23 クラウドサービス利用における情報セキュリティ | クラウドサービスを利用する場合、契約形態によるクラウドコンピューティング環境の責任分界を明確にし、組織が必要とする情報セキュリティが実現できるかどうかを評価する | クラウドサービスの責任分界の明確化により、セキュリティ責任の正確な理解と適切な対策実施が可能。クラウド環境のリスク低減と信頼性の高いサービス利用。 |
| 5.30 事業継続のための ICT の備え | ICT継続の準備では、経営資源の投入を必要とするので、費用対効果を見極めるために事業影響度分析(BIA)によって復旧時間目標(RTO)を設定し、その目標達成を確実にするためのリソースを決定し準備する必要がある | 事業影響度分析(BIA)による重要ビジネスプロセスとICT資源の継続性確保計画。災害やシステム障害時の事業中断最小限化と迅速な復旧。 |
| 7.4 物理的セキュリティの監視 | 認可されていない活動を検知し、窃盗・盗難、破壊、干渉などを防ぐために継続的に物理的アクセスを監視する必要がある | 施設の物理的セキュリティ強化による不正アクセスや盗難リスクの減少。組織の資産と従業員の安全保護。 |
| 8.9 構成管理 | 組織が使用する情報システムについて、導入時及び運用中のハードウェア、ソフトウェア(ライセンス含む)、サービス(クラウド含む)、ネットワークの構成を管理し、情報セキュリティ方針及びトピック固有の方針に従ってセキュリティを設定し維持する必要がある | 情報システム構成の適切な管理によるセキュリティ侵害やデータ漏洩リスクの減少。システムの整合性とパフォーマンス向上。 |
| 8.10 情報の削除 | 個人情報などの機微な情報は、保有する期間が長いほど漏えいや流出のリスクが高くなり、漏えいすると組織に影響を与える可能性のある情報は、法令・規制要求事項と契約上の義務の順守及び業務上の必要性から保有期限を定め、期限を過ぎたものは適時に削除する必要がある | 機微情報の削除・廃棄期限設定によるデータ漏洩リスクの低減。プライバシー保護と規制遵守の強化。 |
| 8.11 データマスキング | 個人情報保護法における「匿名加工情報」対応を含め、個人情報及びその他の機微な情報を外部から解読できない状態にするために、特定の方針及びその他のデータ保護に関連する要求事項に従ってデータマスキングを実施する必要がある | 機微データの保護と外部からの解読困難化によるデータ機密性の向上。プライバシー保護の強化。 |
| 8.12 データ漏えいの防止 | 外部からの不正アクセスや盗聴及びマルウェア感染や個人による内部不正やシステムの設定ミス又は運用ミスによっても生じる情報漏えいについて、個人又はシステムによる情報の認可されていない開示及び抽出を検出し防止する必要がある | 組織のデータ機密性が高まり、クライアントや利害関係者の信頼維持 |
| 8.16 監視活動 | 情報システムの運用状況やシステムの処理又は動作について異常がないかを監視し、インシデントに繋がるかもしれない兆候を検出し対応する必要がある | システムの安定性とセキュリティ強化、事業運営リスクの低減 |
| 8.23 ウェブフィルタリング | 従業員が悪意のあるWebサイトにアクセスすることで、マルウェア感染、スパイウェアの侵入、情報及び認証情報の詐取などによる被害に遭わないように、悪意のあるWebサイトへのアクセスをブロック(フィルタリング)する必要がある | マルウェア感染やスパイウェアの侵入、情報及び認証情報の詐取リスクの低減 |
| 8.28 セキュリティに配慮したコーディング | ソフトウェア開発においてセキュリティに配慮することでリスク源となるぜい弱性を減少させるためにはソフトウェアの開発時に適用するセキュリティに配慮したコーディングのための原則を確立し適用する必要がある | ソフトウェアの脆弱性の減少、製品品質と信頼性の向上 |
※上の表は、JNSA「情報セキュリティマネジメントセミナー」における資料をもとに弊社にて作成したものです。
(参考)弊社が取り扱う脅威インテリジェンスの収集・分析ツール
VirusTotal Enterprise: ファイル・IP・ドメイン等の悪性判定情報を含む、詳細な脅威情報が得られるVirusTotalの有償版。無償版と比較すると、ファイルハッシュ以外による高度なクエリ検索、APIの商用利用、プライベート環境でのファイル解析などが可能で、脅威に関する膨大な量の詳細情報が得られます。
Maltego: 調査対象のIPやDNS名等をもとにインターネット上の各種データ群を収集し、それらの相関を1つのUIでグラフィカルに表示します。ユーザーが別途契約する商用サービスで提供されるデータや、組織内のログ等を取り込むことも可能です。これにより、犯罪行為、サイバー攻撃等の全容解明を手助けします。
Shodan: 世界中のデバイスをスキャンして収集・蓄積された情報を提供するサービスです。有償サービスでは、APIアクセス、高度な検索、ネットワークのセキュリティモニタリングといった追加機能が利用可能です。これにより、自組織のネットワークの監視や、外部の脅威についての調査が可能になります。
Feedly Enterprise: 脅威インテリジェンスを日々収集・分析し、効果的な対策を検討しているセキュリティチームのためのソリューションです。AIによって継続的に収集・構造化された情報の中から、目的の情報を効率的に得られます。また、チームメンバー間の効率的な情報共有も支援します。
Recorded Future: オープンソース、SNS、ダークウェブなど、多種多様な情報源から膨大な量のデータを収集・蓄積するプラットフォーム。人工知能(AI)と機械学習を活用して、大量のデータを迅速かつ効果的に分析し、セキュリティ上の脅威に関するリアルタイムの分析を提供します。