デジタル時代の急速な進化に伴い、情報セキュリティは組織にとって無視できない重要な問題となっています。国際標準化機構は、進化する脅威と課題に対応して、組織が継続的にリスクに対処できるように情報セキュリティ保護対策をさらに強化するために、ISO 27001:2022 に 11 の新しい管理策を追加しました。以下では、これらの新しい対策を一つずつ紹介し、実践的な事例や運用上の提案をしていきます。
1. 脅威インテリジェンス(5.7)
ISO 27001 の新バージョンでは、情報セキュリティ脅威インテリジェンスの収集と分析を重視し、組織に脅威のより正確な認識を提供し、適切な対応措置を講じられるようにしています。たとえば、Log4j などの主要な脆弱性や DDoS 攻撃に対応するために、組織は対応する保護対策を策定し、インシデント分析を実施して将来の脅威に関する洞察を蓄積する必要があります。さらに、組織は、脅威インテリジェンスに対する効果的な分析と対応をサポートするために、包括的な証拠記録を確立する必要があります。
2. クラウドサービス利用時の情報セキュリティ(5.23)
クラウド コンピューティングの普及に伴い、ISO 27001 の新しいバージョンでは、クラウド サービスを使用する際の情報セキュリティ要件が強調されています。組織は、クラウド サービスの取得、使用、管理、終了のプロセスなど、情報セキュリティのニーズに基づいてクラウド サービスに適用可能なプロセスを開発する必要があります。たとえば、組織はクラウド サービス プロバイダーと協力して、関連する情報セキュリティ条件を明確に定義し、クラウド サービスの使用によって情報漏洩やリスクの増大が発生しないようにする必要があります。
3. 事業継続のためのICTの準備(5.30)
ISO 27001 の新バージョンでは、事業継続における情報通信技術 (ICT) の重要な役割が強調されています。組織は、事業継続の目標に沿って ICT の準備を計画、実装、維持、テストする必要があります。サービスが中断した場合、組織は情報と関連資産の可用性を確保する必要があります。たとえば、組織は、サービス中断が発生した場合に業務を迅速に復旧できるように、オフサイト バックアップ ソリューションの信頼性を評価する必要があります。
4. 物理的セキュリティ監視(7.4)
ISO 27001 の新バージョンでは、権限のない組織によるアクセスを防ぐために、運用施設の物理的なセキュリティ監視に重点が置かれています。これには、不正なエンティティの侵入を検出して防止するための、運用施設の継続的な監視が含まれます。たとえば、組織は監視カメラ、侵入検知器などのデバイスを設置して、運用サイトのセキュリティ状態をリアルタイムで監視できます。
5. 構成管理(8.9)
ISO 27001 の新しいバージョンでは、ハードウェア、ソフトウェア、サービス、ネットワークのセキュリティ構成管理に重点が置かれています。組織は、構成が適切に機能し、安全であることを確認するために、構成を確立、文書化、実装、監視、およびレビューする必要があります。たとえば、組織は、パスワード管理や安全な構成などの要件を指定する標準構成テンプレートを確立し、これらの要件がライフサイクル全体にわたって実装されるようにすることができます。
6. 情報の削除(8.10)
ISO 27001 の新バージョンでは、不要な機密情報の漏洩を防ぐために情報削除の管理が重視されています。組織は、法律、規制、監督、契約上の要件に従って、情報が不要になった場合はその情報を削除する必要があります。運用上の提案には、削除方法の確立、証拠の保存、削除時間の記録が含まれます。
7. データマスキング(8.11)
ISO 27001 の新バージョンでは、個人識別情報 (PII) などの機密データを保護するためにデータ マスキングの必要性が強調されています。組織は、特定のサブジェクト アクセス ポリシーに基づいて機密データの公開を制限する必要があります。たとえば、機密情報を保護するために、匿名化や匿名化を実行できます。
8. データ漏洩防止(8.12)
ISO 27001 の新バージョンでは、データ漏洩防止対策を一元化し、不正な情報漏洩が効果的に防止されるようにします。これは、ファイアウォール、セキュリティ対策、ネットワーク セキュリティなどのさまざまな技術的対策を通じて実現でき、情報が許可なくアクセスされたり開示されたりしないようにすることができます。
9. モニタリング活動(8.16)
ISO 27001 の新バージョンでは、ネットワーク トラフィック、システム異常、ログイン ステータスなど、さまざまなアクティビティの監視が重視されています。組織は、異常な動作を検出し、迅速に対応するための効果的な監視メカニズムを確立する必要があります。たとえば、組織はモニターや検出器などのツールを使用して情報システムを監視できます。
10. Webセキュリティ保護(8.23)
ISO 27001 の新バージョンでは、悪意のあるコンテンツへの露出を減らすために、外部 Web サイトへのアクセスの管理に重点が置かれています。組織は、マルウェアによる被害を防ぎ、許可されていないネットワーク リソースへのアクセスを回避するために、外部 Web サイトへのアクセスを厳密に監視する必要があります。
11. セキュアコーディング(8.28)
ISO 27001 の新しいバージョンでは、プログラム作成のセキュリティ要件が強調されています。組織は安全なコーディング方法を開発し、開発プロセス中にセキュリティ要件やバージョン管理などを考慮する必要があります。さらに、オープンソースの脆弱性については、組織はプログラムのセキュリティを確保するために、開発プロセスの前、最中、後に効果的なセキュリティ管理を実施する必要があります。
要約すると、ISO 27001:2022 の新バージョンの 11 の新しい管理策により、デジタル環境における組織の情報セキュリティ保護がさらに強化されます。組織はこれらの対策を十分に理解し、情報セキュリティが完全に保護されるように、ビジネスニーズに基づいてそれらを実装および管理する必要があります。
結論として、デジタル時代の到来により、情報セキュリティはかつてないほど重要になっています。 ISO 27001:2022 の最新バージョンでは、進化する情報セキュリティの脅威に直面した組織の準備と対応能力をさらに強化する 11 の新しい管理策が導入されています。これらの対策は、脅威インテリジェンスの収集と分析から、クラウド サービスの利用、事業継続の準備、物理的なセキュリティ監視、データの削除、データのマスキングなど、多くの重要な領域をカバーしています。これらの制御を効果的に実装することで、組織は機密情報をより適切に保護し、潜在的なリスクを軽減し、ビジネスの持続可能性を確保し、さまざまなセキュリティ上の課題に対して柔軟性を維持できます。したがって、組織はこれらの追加対策に細心の注意を払い、それらを情報セキュリティ管理システムに組み込んで、現代のデジタル環境において強力な情報セキュリティ保護が維持されるようにする必要があります。
ワンストップ・ソリューション・プロバイダー