ISO/IEC27002とは?
ISO/IEC27002は、ISMS(情報セキュリティマネジメント)の管理策を示した国際規格です。管理策とは、ISMSの要求に基づいて設計された脅威から情報資産を守るための対策のことを指します。例えば、イベント記録と証拠作成に関する管理策である「12.4ログ取得及び監視」では、以下のような指針を提示しています。- イベントログには、利用者IDを含める
- イベントログには、特権の利用を含める
- 認可されていないログファイルの編集又は削除から保護する 等々
| 構成 | 内容 |
|---|---|
| Control title | 管理策のタイトル |
| Attribute table | 管理策に付帯する属性表 |
| Control | 管理策の説明 |
| Purpose | 管理策の目的 |
| Guidance | 管理先の手引き |
| Other information | 説明文または他の関連文章への参照 |
ISO/IEC27002改訂の影響
ISO/IEC27002は定期的に改訂されており、2022年には約9年ぶりとなる改訂が行われました。その影響として、以下2点が挙げられます。- 現代に即した情報セキュリティ体制の構築
- 新しい審査基準への対応
現代に即した情報セキュリティ体制の構築
ISO/IEC27002が改訂されたことにより、組織は現代に即した情報セキュリティ対策を構築しやすくなります。前回の改訂が行われた2013年と比べて、近年は情報セキュリティを取り巻く環境は大きく変わりました。例えば、クラウドサービスやテレワークの普及、サイバー攻撃の複雑化などが挙げられます。ISO/IEC27002では、このような環境の変化に合わせて「5.7 脅威インテリジェンス」や「5.23 クラウドサービスの利用における情報セキュリティ」をはじめ、新たに11の管理策を追加しました。組織は改訂されたISO/IEC27002をガイドラインとして活用することで、現代の環境に即した情報セキュリティ体制を構築することが可能になります。新しい審査基準への対応
ISO/IEC27002の改訂により、ISO/IEC27001も更新されます。そのため、ISMS認証取得・維持を目指す組織は、新しい審査基準への対応が求められます。それに伴い、担当者は以下の対応が求められます。- 改訂内容の把握、レビュー
- リスクアセスメントの見直し
- 社内規定の見直し、社内通知と運用体制の変更
ISO/IEC27002:2022の主な改訂内容
ISO/IEC27002はどこが変わったのでしょうか。主な変更点として、以下が挙げられます。- タイトルの変更
- 管理策を4つのテーマに分類
- 管理策の統合と追加
- 属性の追加
タイトルの変更
ISO/IEC27002:2022では、タイトルが変わりました。| ISO/IEC27002:2013 | ISO/IEC27002:2022 |
|---|---|
| 情報技術 -セキュリティ技術- 情報セキュリティ管理策の実践ガイド(2013) | 情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティ管理策 |
管理策を4つのテーマに分類
ISO/IEC27002:2013では管理策が14テーマに分類されていましたが、ISO/IEC27002:2022では管理策が4テーマに改訂されました。| ISO/IEC27002:2013 | ISO/IEC27002:2022 |
|---|---|
| 5. 情報セキュリティのための方針群 6. 情報セキュリティのための組織 7. 人的資源のセキュリティ 8. 資産の管理 9. アクセス制御 10. 暗号 11. 物理的及び環境的セキュリティ 12. 運用のセキュリティ 13. 通信のセキュリティ 14. システムの取得、開発及び保守 15. 供給者関係 16. 情報セキュリティインシデント管理 17. 事業継続マネジメントにおける情報セキュリティの側面 18. 順守 | 5. 組織的管理策 6. 人的管理策 7. 物理的管理策 8. 技術的管理策 |
| 分類テーマ | 管理策の数 |
|---|---|
| 5. 組織的管理策 | 37 |
| 6. 人的管理策 | 8 |
| 7. 物理的管理策 | 14 |
| 8. 技術的管理策 | 34 |
管理策の統合と追加
ISO/IEC27002:2013では114の管理策が示されていましたが、ISO/IEC27002:2022では93の管理策が示されています。| ISO/IEC27002:2013 | ISO/IEC27002:2022 |
|---|---|
| 114の管理策 | 93の管理策 |
| 項番 | 追加された管理策 |
|---|---|
| 5.7 | 脅威インテリジェンス |
| 5.23 | クラウドサービスの利用における情報セキュリティ |
| 5.30 | 事業継続のためのICTの備え |
| 7.4 | 物理的セキュリティの監視 |
| 8.9 | 構成管理 |
| 8.10 | 情報削除 |
| 8.11 | データマスキング |
| 8.12 | データ漏洩防止 |
| 8.16 | 監視活動 |
| 8.23 | Webフィルタリング |
| 8.28 | セキュアコーディング |
属性の追加
ISO/IEC27002:2022では、管理策に属性が追加されました。| 属性 | 属性値 |
|---|---|
| コントロールの種類 | 予防、検知、是正 |
| 情報セキュリティ特性 | 機密性、完全性、可用性 |
| 機密性、完全性、可用性 | 識別、防御、検知、対応、復旧 |
| 運用能力 | ガバナンス、資産管理、情報保護、人的資源のセキュリティ、 物理的セキュリティ、システム及びネットワークセキュリティ、 アプリケーションのセキュリティ、セキュリティを保った構成 …など |
| セキュリティドメイン | ガバナンスとエコシステム、保護、防御、対応力 |
Logstorageで対応できる管理策
Logstorateは、様々なシステムに異なるフォーマットで散在するログを管理・分析する純国産の統合ログ管理システムです。内部統制、情報漏えい対策、サイバー攻撃対策、システム運用監視など多様な目的に対応できる、統合ログ分野でのデファクトスタンダード製品です。官公庁や金融業、通信業を中心に5100社以上が導入しており、統合ログ管理ツール分野シェア17年連続No.1となっています。
Logstorageを導入するメリット
・ログを最大1/10に圧縮して長期保管できる
・ログを暗号化した状態で保存・閲覧できる
・ログが改ざんされていないことを証明できる
| 項番 | 管理策 | Logstorageでの支援例 |
|---|---|---|
| 5.23 | クラウドサービスの利用における情報セキュリティ | Logstorageは、クラウドサービス(AWS、GCP、Microsoft 365等々)の監査ログを含む多様なログを収集し、 それらを安全に長期保持することが可能です。 |
| 5.26 | 情報セキュリティインシデントへの対応 | Logstorageを用いることで、ITシステムに散在するログを一元管理し、それらを横断的に検索・分析できます。 これにより、特定のログを迅速に参照したり、詳細な調査をより効率的に行えたりと、 インシデント発生時の調査時間を短縮することが可能です。 |
| 5.28 | 証拠の収集 | 本管理策には「a)記録は完全で,いかなる方法でも改ざんされていない」や 「b)電子証拠の複製は原本と同一であることが推定できる」などが記載されています。 Logstorageの暗号化機能や改ざん検出機能などを用いることで、 ログを安全に保持でき、かつ原本性の証明をすることが可能です。 |
| 8.12 | データ漏洩防止 | Logstorageのアラート・検知機能を用いることで、データ漏洩の兆候に気づくことができます。 例えば、監査ログやファイルサーバーログを用いた内部不正の検知や、 トラフィックログやクラウドサービスログを用いた不審なトラフィックの検知などが行えます。 |
| 8.15 | ログ取得 | Logstorageは、本管理策で推奨されているログ(項目)の取得を支援することができます。 オンプレミスからクラウドまで多種多様なログを取得できるLogstorageは、 これまでに400種類以上のログを収集した実績があります。また、ログに独自の情報を付加することも可能です。 |
| 8.16 | 監視活動 | Logstorageは、本管理策において記録が推奨されている「d) セキュリティツールからのログ」や 「e)システム及びネットワークの活動に関連するイベントログ」などを収集して長期保持できます。 また、事前に設定した検知ルールに基づいて、アラート・通知を出すことも可能です。 |
まとめ
本記事では、以下についてご紹介しました。- ISO/IEC27002は、脅威から大切な情報を守るための対策をまとめたもの
- ISO/IEC27002:2022は、より現代の環境に即した内容に改訂された
- 主な改訂内容として、タイトルの変更、テーマの分類変更、管理策の統合と追加、属性の追加が挙げられる
