本記事では「ISO/IEC 27002とは何か、どんな役に立つのか」を解説します。また、2022年に行われた改訂内容とその影響についてもご紹介します。
※本記事では、2013年に発行されたものを「ISO/IEC27002:2013」、2022年に発行されたものを「ISO/IEC27002:2022」と表現しています。
ISO/IEC27002とは?
ISO/IEC27002は、ISMS(情報セキュリティマネジメント)の管理策を示した国際規格です。管理策とは、ISMSの要求に基づいて設計された脅威から情報資産を守るための対策のことを指します。例えば、イベント記録と証拠作成に関する管理策である「12.4ログ取得及び監視」では、以下のような指針を提示しています。
- イベントログには、利用者IDを含める
- イベントログには、特権の利用を含める
- 認可されていないログファイルの編集又は削除から保護する
等々
担当者は、これらの指針を参考にすることで、ISMSの要求に基づいたログ管理を実現することができます。このように管理策は「ISMSが示す要求事項を実現するためのガイドライン」として役立てることができます。
ISO/IEC27002:2022では、このような管理策が93ほど示されており、それぞれ以下の形式で記載されています。
| 構成 | 内容 |
|---|---|
| Control title | 管理策のタイトル |
| Attribute table | 管理策に付帯する属性表 |
| Control | 管理策の説明 |
| Purpose | 管理策の目的 |
| Guidance | 管理先の手引き |
| Other information | 説明文または他の関連文章への参照 |
ISO/IEC27002改訂の影響
ISO/IEC27002は定期的に改訂されており、2022年には約9年ぶりとなる改訂が行われました。その影響として、以下2点が挙げられます。
- 現代に即した情報セキュリティ体制の構築
- 新しい審査基準への対応
それぞれについて見ていきましょう。
現代に即した情報セキュリティ体制の構築
ISO/IEC27002が改訂されたことにより、組織は現代に即した情報セキュリティ対策を構築しやすくなります。
前回の改訂が行われた2013年と比べて、近年は情報セキュリティを取り巻く環境は大きく変わりました。例えば、クラウドサービスやテレワークの普及、サイバー攻撃の複雑化などが挙げられます。ISO/IEC27002では、このような環境の変化に合わせて「5.7 脅威インテリジェンス」や「5.23 クラウドサービスの利用における情報セキュリティ」をはじめ、新たに11の管理策を追加しました。組織は改訂されたISO/IEC27002をガイドラインとして活用することで、現代の環境に即した情報セキュリティ体制を構築することが可能になります。
新しい審査基準への対応
ISO/IEC27002の改訂により、ISO/IEC27001も更新されます。そのため、ISMS認証取得・維持を目指す組織は、新しい審査基準への対応が求められます。
それに伴い、担当者は以下の対応が求められます。
- 改訂内容の把握、レビュー
- リスクアセスメントの見直し
- 社内規定の見直し、社内通知と運用体制の変更
上記を行うことで、担当者は情報セキュリティ対策の更新を迫られる可能性があります。そのため、ISO/IEC27002の改訂内容を早めに把握しておくことが望ましいでしょう。
ISO/IEC27002:2022の主な改訂内容
ISO/IEC27002はどこが変わったのでしょうか。主な変更点として、以下が挙げられます。
- タイトルの変更
- 管理策を4つのテーマに分類
- 管理策の統合と追加
- 属性の追加
それぞれについて見ていきましょう。
タイトルの変更
ISO/IEC27002:2022では、タイトルが変わりました。
| ISO/IEC27002:2013 | ISO/IEC27002:2022 |
|---|---|
| 情報技術 -セキュリティ技術- 情報セキュリティ管理策の実践ガイド(2013) | 情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティ管理策 |
ISO/IEC27002:2022では、タイトルに「サイバーセキュリティ及びプライバシー保護」という文言が加えられています。
近年、GDPRやCCPAなどの個人情報保護規制が整備/改訂され、組織のプライバシー保護の在り方は変わりました。また、情報セキュリティ10大脅威 2022では「ランサムウェア」や「テレワーク等のニューノーマルな働き方を狙った攻撃」など、サイバー攻撃に関する脅威が上位を占めています。このような環境を踏まえて改訂されたことが、ISO/IEC27002:2022のタイトルから伺えます。
管理策を4つのテーマに分類
ISO/IEC27002:2013では管理策が14テーマに分類されていましたが、ISO/IEC27002:2022では管理策が4テーマに改訂されました。
| ISO/IEC27002:2013 | ISO/IEC27002:2022 |
|---|---|
| 5. 情報セキュリティのための方針群 6. 情報セキュリティのための組織 7. 人的資源のセキュリティ 8. 資産の管理 9. アクセス制御 10. 暗号 11. 物理的及び環境的セキュリティ 12. 運用のセキュリティ 13. 通信のセキュリティ 14. システムの取得、開発及び保守 15. 供給者関係 16. 情報セキュリティインシデント管理 17. 事業継続マネジメントにおける情報セキュリティの側面 18. 順守 | 5. 組織的管理策 6. 人的管理策 7. 物理的管理策 8. 技術的管理策 |
また、各テーマに対する管理策の数は、以下の通りです。
| 分類テーマ | 管理策の数 |
|---|---|
| 5. 組織的管理策 | 37 |
| 6. 人的管理策 | 8 |
| 7. 物理的管理策 | 14 |
| 8. 技術的管理策 | 34 |
管理策の統合と追加
ISO/IEC27002:2013では114の管理策が示されていましたが、ISO/IEC27002:2022では93の管理策が示されています。
| ISO/IEC27002:2013 | ISO/IEC27002:2022 |
|---|---|
| 114の管理策 | 93の管理策 |
なお、ISO/IEC27002:2022で示されている93の管理策のうち、以下11の管理策が新しく追加されたものです。
| 項番 | 追加された管理策 |
|---|---|
| 5.7 | 脅威インテリジェンス |
| 5.23 | クラウドサービスの利用における情報セキュリティ |
| 5.30 | 事業継続のためのICTの備え |
| 7.4 | 物理的セキュリティの監視 |
| 8.9 | 構成管理 |
| 8.10 | 情報削除 |
| 8.11 | データマスキング |
| 8.12 | データ漏洩防止 |
| 8.16 | 監視活動 |
| 8.23 | Webフィルタリング |
| 8.28 | セキュアコーディング |
属性の追加
ISO/IEC27002:2022では、管理策に属性が追加されました。
| 属性 | 属性値 |
|---|---|
| コントロールの種類 | 予防、検知、是正 |
| 情報セキュリティ特性 | 機密性、完全性、可用性 |
| 機密性、完全性、可用性 | 識別、防御、検知、対応、復旧 |
| 運用能力 | ガバナンス、資産管理、情報保護、人的資源のセキュリティ、 物理的セキュリティ、システム及びネットワークセキュリティ、 アプリケーションのセキュリティ、セキュリティを保った構成 …など |
| セキュリティドメイン | ガバナンスとエコシステム、保護、防御、対応力 |
本改訂により、管理策をさまざまな観点で分類・参照できるようになりました。
例えば、サイバーセキュリティ概念には「識別、防御、検知、対応、復旧」の属性値があります。組織がサイバーセキュリティ対策として「検知の強化」を検討している場合、「検知の属性が付与されている管理策」を参照すればいいことが分かります。このように、組織にとって必要な管理策が一目でわかるようになりました。
Logstorageで対応できる管理策
ここからは、ISO/IEC27002:2022に対して、統合ログ管理システムの「Logstorage」がどのように支援できるかをご紹介します。
Logstorageとは様々なシステムに異なるフォーマットで散在するログを管理・分析する純国産の統合ログ管理システムです。内部統制、情報漏えい対策、サイバー攻撃対策、システム運用監視など多様な目的に対応できる、統合ログ分野でのデファクトスタンダード製品です。官公庁や金融業、通信業を中心に5100社以上が導入しており、統合ログ管理ツール分野シェア17年連続No1となっています。
| 項番 | 管理策 | Logstorageでの支援例 |
|---|---|---|
| 5.23 | クラウドサービスの利用における情報セキュリティ | Logstorageは、クラウドサービス(AWS、GCP、Microsoft 365等々)の監査ログを含む多様なログを収集し、 それらを安全に長期保持することが可能です。 |
| 5.26 | 情報セキュリティインシデントへの対応 | Logstorageを用いることで、ITシステムに散在するログを一元管理し、それらを横断的に検索・分析できます。 これにより、特定のログを迅速に参照したり、詳細な調査をより効率的に行えたりと、 インシデント発生時の調査時間を短縮することが可能です。 |
| 5.28 | 証拠の収集 | 本管理策には「a)記録は完全で,いかなる方法でも改ざんされていない」や 「b)電子証拠の複製は原本と同一であることが推定できる」などが記載されています。 Logstorageの暗号化機能や改ざん検出機能などを用いることで、 ログを安全に保持でき、かつ原本性の証明をすることが可能です。 |
| 8.12 | データ漏洩防止 | Logstorageのアラート・検知機能を用いることで、データ漏洩の兆候に気づくことができます。 例えば、監査ログやファイルサーバーログを用いた内部不正の検知や、 トラフィックログやクラウドサービスログを用いた不審なトラフィックの検知などが行えます。 |
| 8.15 | ログ取得 | Logstorageは、本管理策で推奨されているログ(項目)の取得を支援することができます。 オンプレミスからクラウドまで多種多様なログを取得できるLogstorageは、 これまでに400種類以上のログを収集した実績があります。また、ログに独自の情報を付加することも可能です。 |
| 8.16 | 監視活動 | Logstorageは、本管理策において記録が推奨されている「d) セキュリティツールからのログ」や 「e)システム及びネットワークの活動に関連するイベントログ」などを収集して長期保持できます。 また、事前に設定した検知ルールに基づいて、アラート・通知を出すことも可能です。 |
上記は、Logstorageで支援可能な管理策の一部をご紹介いたしました。他にも、Logstorageを用いることで対応できる管理策がいくつもあります。Logstorageについてご興味のある方は、以下ページをご覧ください。
まとめ
本記事では、以下についてご紹介しました。
- ISO/IEC27002は、脅威から大切な情報を守るための対策をまとめたもの
- ISO/IEC27002:2022は、より現代の環境に即した内容に改訂された
- 主な改訂内容として、タイトルの変更、テーマの分類変更、管理策の統合と追加、属性の追加が挙げられる
ISO/IEC27002は、情報セキュリティ対策を強化する上でも、ISMSを準拠する上でも多くのヒントが得られるガイドラインです。ぜひ、組織にあう管理策を選び、運用のヒントにしていただけますと幸いです。
