SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

約10年振りの改訂「ISMS 2022年版」の要諦──“インシデント前提思考”の情報セキュリティマネジメントとは

全国約7,000社に影響する「ISMS」改訂、つかむべきポイントとは──迫る移行審査の期限

情報セキュリティ管理におけるアプローチの方向転換、時世を反映した要件に

 2022年10月25日、情報セキュリティ管理のための標準であり、ISMS適合性評価制度における認証基準でもある「ISO/IEC27001(以下、ISMS規格)」の改訂が行われました。今回のISMS規格改訂は、一言で表すと「情報セキュリティ管理におけるアプローチの方向転換」です。これは既に認証取得している組織7,315社(2023年4月末現在)のみならず、認証取得していない、する予定がない組織にとっても今必要とされる考え方であり、また今後の情報セキュリティリスク管理の方向性を示唆する判断基準としても有用であると言えます。

そもそも「ISMS規格」とは何か、改訂の変更箇所は

 ISMS規格は、マネジメントシステムのPDCAサイクルに関連する要求事項(一般的には本文と呼ばれる)と、様々な情報セキュリティリスクを低減するための対応(管理策)がまとめられた附属書A(ISO9001〔品質マネジメントシステム〕箇条8における具体的な要求事項に近い)により構成されています。

画像クリックで拡大

 そして、今回のISMS規格改訂ではPDCAにあたる本文部分の改訂は小規模であり、附属書Aの再構築、つまり“情報セキュリティリスクの低減”に関する考え方の変更が中心となっています。

 附属書Aでは、2013年版の管理策統合などにより管理策数自体は93個に減少しているのですが、統合に際して表現の変更が行われていたり、新規管理策が11個追加されていたりなど、附属書Aの内容そのものにも変化が生じていることを理解しておく必要があります。

メインフレームからオープン化……社会環境と情報セキュリティリスクの変化

 1990年代、業務システムはそれまで一般的であったメインフレームから、ミニコンピューター、オフィスコンピューターの登場にともなう、オープンシステム化、ダウンサイジングとクライアントサーバー型による分散処理化へと変化していきました。

 その中で、1995年にWindows95が登場して以降、徐々にメインフレームでのダム端末のような極めて限定された接続から、社内LANへとネットワークの概念が一般化していきました。

 さらに2000年代に入ると、業務システムは社内ネットワークから外部ネットワーク(インターネット)に出ていき、現在のクラウドサービス利用の急拡大へと時代は変化し、現代社会におけるコンピュータへの業務依存は1990年代と比較にならないほどの状態になりました。

画像クリックで拡大

 このような業務システムの変化は、情報セキュリティリスクの変化にも直結しています。

 メインフレーム全盛の時代は、ハードウェアの保護やデータバックアップ、入退室管理、アクセス管理といった、現在でも基本とされる情報セキュリティリスク管理が中心でした。

 その後、社内LANが拡大してくるとネットワークセキュリティが重要になり、インターネット接続の増加とともに、外部からの不正アクセスが重要視されるようになりました。

 そして現在、情報セキュリティリスクの主要なリスクの一つであるコンピューターウイルスは1987年に登場した“Brain”が最初とされていますが、日本の業務現場では1995年頃から拡大したファイルに感染するマクロウィルスから広く“実害が生じるリスク”と認識され、アンチウイルスソフト導入も拡大しました。特に、ネットワークを介して社内に感染を拡大するウイルスが出現してから被害は深刻さを増しました。

 現在猛威を振るっているランサムウェアについては、実質的には2013年に登場した“CryptoLocker”が原型となって、2017年に“Wanna Cry”というランサムウェアが生まれたことで、世界中で推定40億ドル以上の被害が発生するという、本当の意味での脅威となりました。加えて、標的型メール攻撃の手法と相まったことで完全に防御することが難しくなってきていることはご存じの通りです。

 また、コンピューターウイルス以外による不正アクセスの手口も巧妙化しており、イタチごっこの様相を呈しています。

 機密情報に関するインシデントの被害額も年々増加し、2022年のインシデント平均被害額は約3億2850万円と、2015年の約1億3105万円から倍増しており、一旦インシデントが発生すると非常に大きな損害を被ってしまう現実があるなど、決して対岸の火事とは考えられない状況です。

次のページ
改訂では「検知」が重要視される内容に、方向性を転換か

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
約10年振りの改訂「ISMS 2022年版」の要諦──“インシデント前提思考”の情報セキュリティマネジメントとは連載記事一覧

もっと読む

この記事の著者

村田 一彦(ムラタ カズヒコ)

情報セキュリティコンサルティング事業やB2B向けSaaS事業を展開するLRM株式会社のコンサルティング事業部副部長。情報セキュリティコンサルティングに20年以上携わっており、ISMS/ISO27001、ISMSクラウドセキュリティ/ISO27017、プライバシーマークなどの認証取得やQMS/ISO9...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17739 2023/05/29 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング