ISMS審査基準改訂に伴う中小企業の懸念事項と対策

2022年2月にISMSの規格であるISO/IEC27001の関連規格、ISO/IEC27002の改訂が行われました。

規格の変更点をまとめるとともに、中小企業が陥りがちなポイントと対策をサイバーセキュリティ専門の蔦 大輔先生にお伺いしました。

規格の変更点

規格構成の変更

従来の管理策では、14テーマ114個の管理策で構成されていましたが、4テーマ93管理策へと構成が変わります。

具体的には以下の4テーマに集約されます。

1. 組織的管理策
2. 人的管理策
3. 物理的管理策
4. 技術的管理策

管理策数は114から93へと減少していますが、統合されるなどしてすべての管理策が残っており、削除された項目はありません。

新規管理策の追加

新規格では11の新たな管理策が追加されました。

1. 7　脅威インテリジェンス
2. 23　クラウドサービス利用のための情報セキュリティ
3. 30　ビジネス継続のためのICTの備え
4. 4　物理的セキュリティ監視
5. 9　設定管理
6. 10　情報の削除
7. 11　データマスキング
8. 12　データ漏洩の防止
9. 16　監視活動
10. 23　ウェブフィルタリング
11. 28　セキュアコーディング

担当者は、この変更が組織にどのような影響を及ぼすのかを考え、管理策の具体的な要求に対して、場合によっては手順の追加や作業手順の変更を行う必要があるでしょう。

ここまでは改訂の概要をお届けしましたが、ここからは改訂に際し、中小企業が持っておくべき意識を蔦弁護士に教えていただきました。

蔦 大輔弁護士の解説

森・濱田松本法律事務所弁護士。

元内閣官房内閣サイバーセキュリティセンター（NISC）上席サイバーセキュリティ分析官。慶應義塾大学大学院政策・メディア研究科特任准教授。サイバーセキュリティ法制学会理事。

サイバーセキュリティ、個人情報保護・プライバシー、IT・ICTを主たる取扱分野としています。

サイバー攻撃の予防のための取組み及び攻撃を受けた後の対応・サポートはもちろん、従業員の内部不正についての事後対応や訴訟対応、企業向けの啓蒙セミナーなどを行っています。

森・濱田松本法律事務所公式サイトへ

「脅威インテリジェンス」をどう捉えるか

今回の改訂では、「脅威インテリジェンス」に関する記述が追加されたことに注目しています。

「脅威インテリジェンス」というと、安全保障的な側面も強調されがちですが、ハイレベルな脅威インテリジェンスサービスを導入するためには、相応のコストが必要となります。

ただ、インテリジェンスというのは、要は情報収集活動といってもよいです。

今日では、有益なセキュリティ情報の入手先として、公的なセキュリティ機関、セキュリティに関するニュースサイト、個人のブログなど、様々なものがあります。

そうした情報源からセキュリティに関する情報収集を行い、その情報を消化してセキュリティ対策を行う、といったような体制を整えることが重要だと思います。

例えば、近年だと、取引先になりすましてメールを送信してくる「Emotet」というマルウェアが流行した時期がありました。

Emotetが流行しているという情報を認識していれば、取引先から送られたメールであっても、本物かどうか身構えることができます。

しかし、そうした情報を認識していないと、油断につながり、Emotetに感染してしまう可能性が高まるおそれがあります。

情報収集と言っても、情報機関が行うような極めて綿密なものが常に必要というわけではなく、セキュリティに関する重要な情報をしっかりキャッチアップしておくことが肝要なのだと思います。

ここで挙げられた「脅威インテリジェンス」のように、セキュリティ業界では、その時々に様々なワードが注目を集めます。

大切なのは、流行ワードに飛びつくのではなく、それがどういった文脈で出てきたのかを理解し、自社のセキュリティ対策に必要かどうかを判断することだと思います。

その判断が自社で難しい場合は、信頼できる相談先に相談することも大切です。

その他の弁護士記事

• 中小企業・中堅企業がとるべきサイバーセキュリティ対策
• 「改正個人情報保護法」セキュリティ対策は大丈夫？
• テレワーク時代に起こりうるインシデントとそれを防止するために必要なセキュリティ対策