そもそも「ISMS規格」とは何か、改訂の変更箇所は
ISMS規格は、マネジメントシステムのPDCAサイクルに関連する要求事項(一般的には本文と呼ばれる)と、様々な情報セキュリティリスクを低減するための対応(管理策)がまとめられた附属書A(ISO9001〔品質マネジメントシステム〕箇条8における具体的な要求事項に近い)により構成されています。
そして、今回のISMS規格改訂ではPDCAにあたる本文部分の改訂は小規模であり、附属書Aの再構築、つまり“情報セキュリティリスクの低減”に関する考え方の変更が中心となっています。
附属書Aでは、2013年版の管理策統合などにより管理策数自体は93個に減少しているのですが、統合に際して表現の変更が行われていたり、新規管理策が11個追加されていたりなど、附属書Aの内容そのものにも変化が生じていることを理解しておく必要があります。
メインフレームからオープン化……社会環境と情報セキュリティリスクの変化
1990年代、業務システムはそれまで一般的であったメインフレームから、ミニコンピューター、オフィスコンピューターの登場にともなう、オープンシステム化、ダウンサイジングとクライアントサーバー型による分散処理化へと変化していきました。
その中で、1995年にWindows95が登場して以降、徐々にメインフレームでのダム端末のような極めて限定された接続から、社内LANへとネットワークの概念が一般化していきました。
さらに2000年代に入ると、業務システムは社内ネットワークから外部ネットワーク(インターネット)に出ていき、現在のクラウドサービス利用の急拡大へと時代は変化し、現代社会におけるコンピュータへの業務依存は1990年代と比較にならないほどの状態になりました。
このような業務システムの変化は、情報セキュリティリスクの変化にも直結しています。
メインフレーム全盛の時代は、ハードウェアの保護やデータバックアップ、入退室管理、アクセス管理といった、現在でも基本とされる情報セキュリティリスク管理が中心でした。
その後、社内LANが拡大してくるとネットワークセキュリティが重要になり、インターネット接続の増加とともに、外部からの不正アクセスが重要視されるようになりました。
そして現在、情報セキュリティリスクの主要なリスクの一つであるコンピューターウイルスは1987年に登場した“Brain”が最初とされていますが、日本の業務現場では1995年頃から拡大したファイルに感染するマクロウィルスから広く“実害が生じるリスク”と認識され、アンチウイルスソフト導入も拡大しました。特に、ネットワークを介して社内に感染を拡大するウイルスが出現してから被害は深刻さを増しました。
現在猛威を振るっているランサムウェアについては、実質的には2013年に登場した“CryptoLocker”が原型となって、2017年に“Wanna Cry”というランサムウェアが生まれたことで、世界中で推定40億ドル以上の被害が発生するという、本当の意味での脅威となりました。加えて、標的型メール攻撃の手法と相まったことで完全に防御することが難しくなってきていることはご存じの通りです。
また、コンピューターウイルス以外による不正アクセスの手口も巧妙化しており、イタチごっこの様相を呈しています。
機密情報に関するインシデントの被害額も年々増加し、2022年のインシデント平均被害額は約3億2850万円と、2015年の約1億3105万円から倍増しており、一旦インシデントが発生すると非常に大きな損害を被ってしまう現実があるなど、決して対岸の火事とは考えられない状況です。
