【完全版】ISO27002とは?ISO27001との違いや管理策、改訂についてわかりやすく解説
- ISO27002は、ISO27001の付属書Aにある管理策の具体的な実施方法をまとめた規格
- ISO27002をすべて実施する必要がなく、自社の情報セキュリティリスクに応じた運用が可能
ISO27001 の要求事項にもとづいたISMS (情報セキュリティ マネジメントシステム )を構築する際に、「どの管理策を実施すべきか、また具体的にどのような管理方法が自社に適しているのかがわからない」という企業は多いのではないでしょうか。
そうした企業はISO27002を確認することがおすすめです。付属書Aの93の管理策における実施手順が多数記載されているため、自社に適用する際に非常に参考になります。
そこで、この記事ではISO27002の概要や2022年の改訂内容、ISO27002の取り組み方について解説します。
目次
ISO27002とは
ISO27002とはISO27001の管理策を実践するために、ISMS(情報セキュリティマネジメントシステム)の具体的な基準をまとめた規格です。
ISO27002ではさまざまな企業規模や業種などのシチュエーションに応じた望ましい対策が示されているため、参考にして運用する企業も多くあります。
ISO27001の管理策とは
それでは、そもそもISO27001の管理策とは何のことでしょうか。ここではISO27001との関係性を紐解いていきます。
管理策とは、ISO27001の要求事項の附属書Aに記載された情報セキュリティリスク対策の基準を示したものです。組織は業務内容や認証範囲に応じて、自社に適用する管理策を決められます。
ISO27001との関係性
ISO27001は、情報セキュリティマネジメントシステムに関する国際規格です。その基本要件となる要求事項を満たす情報セキュリティマネジメントシステムを構築・運用することが求められます。
その際、具体的な基準としてISO27001の附属書Aに管理策の記載がありますが、ISO27002にも管理策が記載されています。そのため、どのような違いがあるのかイメージしにくいという方もいるでしょう。そこで、以下のような関係性だと理解しておくと良いでしょう。
- ISO27001の附属書A:管理策のカテゴリーや項目を列挙したもの。管理策を適合するかどうかのチェックリストとして確認用に適している。
- ISO27002:管理策一つひとつを実践するための手引き。管理策を実施するにあたり、具体的な方法が記載されており、参考資料として利用できる。
どちらも情報セキュリティに関するISO27000シリーズの規格です。その他の規格も確認すると、より理解が深まります。以下の記事にまとめていますので、参考にしてください。
【2022年改訂】ISO27002の管理策の変更点
ISO27002は2022年10月に改訂され、カテゴリーの分類が変更となり、新たな管理策が追加されました。ここでは、管理策の変更点を解説します。
カテゴリーの分類と項目数
改訂前には14あったカテゴリー数は以下の4つに整理されました。
- 組織的な対策
- 人的な対策
- 物理的な対策
- 技術的な対策
また、これまでは114の項目がありましたが、既存の管理策の統合と新しい管理策の追加により、合計93個になりました。項目数自体は減少していますが、統合により整理されたため、実際に管理数の数が減少したというわけではありません。
新たに追加された管理策
新たに追加された管理策の多くは、クラウドサービスの普及により必要になったネットワーク上の情報セキュリティの強化を目的にしています。
以下に、新しく追加された11の管理策をまとめました。
組織的管理策
5.7:脅威インテリジェンス
5.23:クラウドサービス利用における情報セキュリティ
5.30:事業継続のためのICTの備え
物理的管理策
7.4:物理的セキュリティの監視
技術的管理策
8.9:構成管理
8.10:情報の削除
8.11:データマスキング
8.12:データ漏えい防止
8.16:監視活動
8.23:ウェブ・フィルタリング
8.28:セキュリティに配慮したコーディング
2022年のISO27001改訂の詳細は、以下の記事をご覧ください。
ISO27002の管理策への取り組み方
それでは、ISO27002の管理策を取り組む際、どのような考え方が大切になるのでしょうか。ここでは、管理策に取り組む前に理解しておきたい情報セキュリティの考え方と取り組み方を紹介します。
管理策の考え方:情報セキュリティの7大要素
まず、情報セキュリティを高めたい場合に、しっかりと把握しておきたいのが情報セキュリティの7大要素です。
一般的には、情報セキュリティの3要素として「機密性 ・完全性 ・可用性」が挙げられます。これらに加え、「真正性 ・責任追跡性・否認防止・信頼性」の4要素についても考慮して情報セキュリティマネジメントシステムを構築・運用することで、より有効な仕組みが実現します。以下に、それぞれの要素を簡単にまとめました。
機密性:認定されていない者に対する情報へのアクセス制限を確実にすること
完全性:最新かつ正確で、欠落していないデータを保持すること
可用性:認定されている者が必要なときに、いつでも情報にアクセスできること
真正性:通信相手や情報が偽物でないという証明を確実にすること
責任追跡性:情報に対して行った動作を、のちに追跡できるようにすること
否認防止:情報の作成者が、作成した事実を否認できないようにすること
信頼性:意図した動作が確実に行われるようにすること
情報セキュリティ7大要素の詳細は、以下の記事をご覧ください。
【具体例】管理策の取り組み方
管理策には93の項目があるため、そのすべてを紹介することはできません。そこで、ここではISO27002にある「通信のセキュリティ」という項目における対策を解説します。
「通信のセキュリティ」は、ネットワーク自体やネットワーク上の情報の保護を目的とした管理策です。ネットワーク上のリスクや脅威がある場合には、以下のような対策を取ることが有効です。
- ネットワークの利用者をグループ分けし、それぞれのグループに適したアクセス制限をかける
- アクセス履歴やエラーログなど、情報リスクが考えられる行動は常に記録・保管する
- 組織単位などの何らかのグループごとに、ネットワークを物理的に分離する
情報インシデント(事故の可能性がある危険な状態のこと)になる要因をすべて排除できれば良いですが、日々、新たな脆弱性 や セキュリティホール が発見されています。そのため、すべての危険を排除するという対策ではなく、インシデントが発生した場合に被害を最小限に食い止める対策も実施することが必要です。
こうした対策を実施することで、管理策の目的である情報資産の保護につながります。しかし、3大要素にもある「可用性」が損なわれていないかについても確認することが大切です。情報が必要な従業員や利用者がスムーズに利用できる状態も保てるように、対策の内容を検討しましょう。
「通信のセキュリティ」の管理策の詳細は、以下の記事をご覧ください。
紹介した「通信のセキュリティ」以外の管理策の取り組みについても、以下の記事で解説しています。ぜひ参考にしてください。
関連記事:ISO27002における人的資源のセキュリティとは
関連記事:ISO27002で推奨されるバックアップの体制とは
関連記事:ISO27002で見る適切な利用者アクセス権
関連記事:【ISO27002】知ってくおくべきイベントログの取得及び監視方法
関連記事:【ISO27002】媒体の取り扱いについて- 取り外し可能媒体の管理
関連記事:【ISO27002】媒体の取扱いについて – 媒体の処分
まとめ
ISO27002は、ISO27001の付属書Aに記載された管理策の具体的な実施方法がまとめられた規格です。ISO27001だけでなくISO27002の管理策を理解して取り組むことで、より情報セキュリティを強化できます。
自社でどの管理策を実施できるかも自由に適用できるため、自社の現状に即した取り組みに役立ちます。リスクマネジメントによってリスクを適切に評価し、自社に合わせた運用を目指しましょう。
93もの管理策があるため、自社に適した管理方法がわからないという場合には、プロのコンサルティング会社にサポートを依頼することも一つの手です。自社の情報セキュリティを高めるため、ISO27001の取得を検討してみてはいかがでしょうか。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい