FineArt News

コラム

ISO27002:2022の管理策を導入してデータ保護を強化

ISO27001は情報セキュリティの国際規格で、組織が情報セキュリティマネジメントシステム(ISMS)を構築してデータ保護の支援を目的としています。ISMS認証取得により、データ漏洩の潜在リスクを特定・分析・管理・軽減することが期待されます。ISO 27001の認証を取得した組織は、自身の情報セキュリティコントロールレベルを顧客・潜在顧客・パートナーに示して、国際的に認められた基準を満たしていることを証明できます。

通常、ISO27001の認証取得は企業の信頼性と評判の向上を意味しますが、この基準を達成することは容易ではありません。ISO27001は広範な情報セキュリティ標準ファミリー規格の一環であり、その1つがISO27002情報セキュリティマネジメントシステムの管理策で、ISO27001を実施するのに役立ちます。

最新の情報セキュリティマネジメント技術でデータ保護を強化

ソフトウェア攻撃、知的財産の盗難や破壊は、組織が直面する多くの情報セキュリティリスクの一部です。被害がここだけに留まらず、もっと大きなものになる可能性もあります。多くの組織には適切な制御措置がありますが、それらの制御措置が十分であることをどのように確保するのでしょうか?ISO27002の情報セキュリティコントロールガイドラインは2022年にアップデートされ、元々のISO/IEC27002:2013「情報技術-セキュリティ技術-情報セキュリティ管理策の実践のための規範」からISO/IEC27002:2022「情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティ管理策」に更新されました。

この更新では近年成熟した技術が組み込まれ、その内容はデータを中心にしたデータ保護制御にあると見られます。一方で、GPDRの規制要件に対応し、より広範な情報セキュリティとプライバシー要件を満たして、PII(個人情報および個人を識別できる情報)を処理する組織にも適用されようになっています。

ISO 27002:2022の変更点

以前のISO 27002では14の領域が定められていましたが、新バージョンでは組織的・人的・物理的および技術的の4カテゴリー(テーマ)になりました。管理策の数は114から93に統合または削減されました。管理策が減少したとはいえ、古い管理策が廃止されたわけではありません。代わりに、これらの項目は統合または更新されて、2022年以降のセキュリティトレンドにより適したものになっています。

  • 35の管理策が再分類され、組織的・人的・物理的・技術的の4つのカテゴリーに再配置されました。
  • 付録Aに含まれる管理策は、114から93に更新されました。
  • 1つの管理策が分割され、管理策2.3の技術コンプライアンスレビューが以下のように分割されました。
    • 3.6 - 情報セキュリティポリシー、規則、および基準の遵守
    • 8 - 技術的管理策
  • 23の管理策の名称が変更されました
  • 元々57の管理策が24に統合されました

さらに、ISO27002:2022では以下11の新しい管理策が追加されました。

  • 5.7脅威インテリジェンス (Threat intelligence)
  • 5.23 クラウドサービス利用のための情報セキュリティ (Information security for use of cloud services)
  • 5.30 ビジネス継続性のためのICT準備 (ICT readiness for business continuity)
  • 7.4 物理的セキュリティの監視 (Physical security monitoring)
  • 8.9 構成管理 (Configuration management)
  • 8.10 情報削除 (Information deletion)
  • 8.11 データマスキング (Data masking)
  • 8.12 データ漏洩防止 (Data leakage prevention)
  • 8.16 監視活動 (Monitoring activities)
  • 8.23 Webフィルタリング (Web filtering)
  • 8.28 セキュアコーディング (Secure coding)

ISO 27002:2022の変更では、近い管理策が統合・移動され、より明確に分類されています。もう1つ重要な変更は、各管理策に属性(attribute)が与えられ、その値がハッシュタグで表示されるようになっています。これらは付属書Aで定義され、管理策のタイプが予防(preventive)・検出(detective)または是正(corrective)のいずれかであるか、情報セキュリティ資産が機密性(confidentiality)・完全性(integrity)・可用性(availability)に関連しているか、サイバーセキュリティの概念が識別(identify)・保護(protect)・検知(detect)・対応(respond)・復旧(recover)のいずれかなのかを示します。これにより、各管理策の参考基準が明確化されます。異なる部門ごとにこれらの属性に基づいてISMSの管理ポリシーを分類することができます。異なる領域の管理策をクエリする必要がある場合は、要件に基づいて並べ替えれば済みます。

情報分類と情報漏洩の予防

今回の更新で、情報分類に関して大きな変化があります。以前のテキストでは、使用する具体的なツールやセキュリティシステムについては明示的には言及されませんでした。しかし本バージョンでは、データ漏洩防止(DLP)が8.12 データ漏洩対策 (Data leakage prevention)の管理策に取り入れられました。さらに、8.16の活動監視 (Monitoring activities)には、SIEM(セキュリティ情報およびイベント管理)+UAM(ユーザ活動監視)にほぼ相当する内容が含まれています。

情報漏洩の防止は、個人またはシステムが未許可で情報を公開またはアクセスされることを防止および検出するための対策です。機密情報を処理・保存または転送するシステム・ネットワークおよび他のすべてのデバイスに対して適切な予防措置を取る必要があります。これらの措置は、ポリシー・プロセスおよび技術ツールの組み合わせであるべきです。

以下は、データ漏洩防止に応用できる制御フローです。

  • 情報システムとビジネスプロセスの識別と分類
  • アクセス制御ルールポリシーの策定
  • ファイルと文書の管理ポリシー
  • 情報分類ポリシー

使用できる技術ツール

  • メール・ファイル転送・エンドポイントデバイスおよび外部ストレージメディアなどの潜在的な情報漏洩経路を監視
  • 未承認で漏洩リスクのある機密情報の特定および監視
  • 機密情報の漏洩を検出し、必要な警告と対応措置を講じる
  • 機密情報漏洩に関するユーザ操作をブロックし、デバイスのロックやネットワーク転送を中断する

ユーザのファイル操作を制限する場合、操作ファイルの複製や外部保存を判断します。情報漏洩防止ツールとそれに関連するポリシーは監視の他に、ビジネス上の要件に応じてファイルのアップロードが必要な場合はファイル内容を保持しておく必要があります。保存された内容は、追跡や調査のために集中的に保存されるべきです。

組織の管理策は更新すべきか

既にISO 27001の認証を取得している組織にとっては、すべての管理策を急いで更新する必要はありませんが、新しい管理策を慎重に評価する必要があります。ISO 27002:2022標準ドキュメントの付録にある対照表を使用して、現在実装されている管理策をチェックし、リスク処理計画を見直し、新たに定義された管理策が組織のリスク管理項目と関連しているかを確認します。さらに適合性声明を更新し、ポリシーや手順を調整して、新しい管理策に関連するコンテンツを調整します。