ISMS規格「ISO/IEC 27001（JIS Q 27001）」の改訂内容と対応期限

ISO/IEC 27001は、情報セキュリティマネジメントシステム（ISMS）に関する国際規格です。組織の情報資産を適切に保護し、セキュリティを維持するための基盤を提供します。この規格に基づくISMSの構築は、情報セキュリティに関するリスクを特定し、評価し、管理するプロセスを確立することを目的としています。

最新版は、2022年に発行された「ISO/IEC 27001:2022」です。

■情報セキュリティマネジメントシステム（ISMS）とは

情報セキュリティマネジメントシステムとは、組織における情報セキュリティを管理するための包括的な枠組みです。

情報資産の保護を目的として、リスクアセスメントを通じて適切なセキュリティ対策を計画・実施し、継続的に見直しを行うことで、情報の機密性、完全性、可用性を確保します。急激に進化するIT環境や多発する標的型攻撃、ランサムウェアといった脅威に対抗するためには、情報セキュリティマネジメントシステムの導入が欠かせません。

■JIS Q 27001とは

JIS Q 27001とは、情報セキュリティマネジメントシステム（ISMS）に関する国際規格「ISO/IEC 27001」を日本語に訳したものです。

セキュリティマネジメントシステム（ISMS）に関する国際規格である「ISO/IEC 27001」を日本の企業でも導入しやすくするために、ISO/IEC 27001を日本語に訳したJIS Q 27001が発行されています。

■ISO/IEC 27001とJIS Q 27001の違い

JIS Q 27001とISO/IEC 27001の違いは、書かれている言語です。

ISO/IEC 27001の原文は英語で書かれていますが、JIS Q 27001は日本語で書かれています。言語が異なるだけで、書いてある中身はほとんど変わりません。構成や要求事項において基本的に一致しており、グローバルに展開する企業にとって、国際基準との整合性を保ちながら、日本国内の市場に適合するための指針となります。

最近の改訂ではISO/IEC 27001:2022の内容が反映され、セキュリティ管理策がより現代の脅威に対応した形に更新されました。

■2022年にISO/IEC 27001が改訂

ISO/IEC 27001は定期的に改訂が行われており、2013年には第二版であるISO/IEC 27001:2013が、2022年には最新版であるISO/IEC 27001:2022が発行されました。

ISO/IEC 27001の改訂は、情報セキュリティの重要性がますます高まる中、組織が直面する新たなリスクや脅威に適切に対応する必要性から行われています。

■2023年9月にJIS Q 27001が改訂

2022年にISO/IEC 27001が改訂されたことを受け、2023年9月にJIS Q 27001が9年ぶりに改訂されました。

JIS Q 27001は日本企業が情報資産を効果的に守るための指針を提供するものであり、最新の国際規格であるISO/IEC 27001:2022に対応して内容を刷新しました。

最新版は、2023年9月20日に発行された「JIS Q 27001:2023」です。

2. ISO/IEC 27001（JIS Q 27001）改訂の具体的な内容

ISO/IEC 27001の最新改訂では、情報セキュリティ管理策に対する大幅な変更が行われています。

既存の管理策のうち58が更新され、24が統合、11の新しい管理策が導入されたことで、管理策の数が114から93に削減されました。また、管理策のカテゴリーが14分類から4分類に変更されています。

改訂により情報セキュリティ管理策の効率性と有効性が向上し、組織はセキュリティリスクをより効果的に管理できるようになります。また、リスクアセスメントやリスク対応のプロセスがより精緻化され、情報資産の保護が一層強化されます。

■管理策のカテゴリーと管理策の数

2013年版と最新版の管理策のカテゴリーと管理策の数は以下の通りです。

ISO/IEC27001：2013	ISO/IEC27001：2022
5.情報セキュリティのための方針群（2）	5.Oraganisational controls（組織的管理策）（37）
6.情報セキュリティのための組織（7）	6.People controls（人的管理策）（8）
7.人的資源のセキュリティ（6）	7.Physical controls（物理的管理策）（14）
8.資産の管理（10）	8.Technical controls（技術的管理策）（34）
9.アクセス制御（14）
10.暗号（2）
11.物理的及び環境的セキュリティ（15）
12.運用のセキュリティ（14）
13.通信のセキュリティ（7）
14.システムの取得、開発及び保守（13）
15供給者関係（5）
16.情報セキュリティインシデント管理（7）
17.事業継続マネジメントにおける情報セキュリティの側面（4）
18.順守（8）

■追加された管理策

最新版のISO/IEC27001：2022では、11個の管理策が追加されました。

5.Oraganisational controls（組織的管理策）

5.7：脅威インテリジェンス

5.23：クラウドサービス利用における情報セキュリティ

5.30：事業継続のためのICTの備え

7.Physical controls（物理的管理策）

7.4：物理的セキュリティの監視

8.Technical controls（技術的管理策）

8.9：構成管理

8.10：情報の削除

8.11：データマスキング

8.12：データ漏えい防止

8.16：監視活動

8.23：ウェブ・フィルタリング

8.28：セキュリティに配慮したコーディング

■規格名称の整合化

JIS Q 27001の最新改訂においては、「情報技術－セキュリティ技術」から「情報セキュリティ，サイバーセキュリティ及びプライバシー保護」に変更されています。

ISO/IEC 27001:2022では附属書Aの管理目的に関する記述が削除されたためです。

3. ISO/IEC 27001（JIS Q 27001）改訂の企業への影響

ISO/IEC 27001の改訂は、企業の情報セキュリティ管理に多大な影響を与えます。新たに規定された要求事項や管理策により、企業はセキュリティ管理システムの見直しを迫られます。

具体的には、リスクアセスメントの方法や具体的なリスク対応の施策がアップデートされるため、既存のシステムの再評価が必要です。さらに、改訂により管理策が見直されたことで、今までの運用ではカバーしきれない部分が新たに浮き彫りになる可能性があります。これにより、情報セキュリティの運用コストや人材の教育にも影響が出ることが予想されます。

4. ISO/IEC 27001（JIS Q 27001）改訂に対する企業の対応期限

ISO/IEC 27001（JIS Q 27001）改訂に対する企業の対応期限は、2025年10月31日です。

ISO/IEC27001:2013のISMS認証を受けている企業は、2025年10月31日までにISO/IEC27001:2022への対応を完了させ、移行審査を受ける必要があります。これからISMS認証を受けようと考えている企業については、ISO/IEC27001:2013による初回認証審査の受付が終了しているため、ISO27001:2022での認証取得を受ける必要があります。

企業が新しいISO/IEC 2700の要求に適切に対応するためには、まず今回の改訂内容を詳しく理解し、現行のISMSとの間で比較検討する必要があります。そして、不足している部分や改善が必要な箇所を特定し、徐々に新しい標準に基づくプロセスを組み込んでいくことが重要です。

改訂規格への移行期限が2025年10月31日に設定されているため、計画的かつ段階的な移行が求められます。セミナーや専門家の意見を活用し、従業員への教育やトレーニングを通じて、組織全体のセキュリティ意識の向上にも取り組みましょう。

5. まとめ

今回は、ISO/IEC 27001（JIS Q 27001）の最新改訂について解説しました。今回の改定では、情報セキュリティマネジメントシステム（ISMS）の要求事項が最新のリスク環境に対応する形で明確化されました。企業は新たなセキュリティリスクに対して効果的な対応が可能となり、セキュリティ態勢の向上が期待できます。

改訂後の対応としては、企業が新たな要求事項をいかに迅速かつ効果的に導入し運用できるかが求められます。2025年10月31日までの移行期限を踏まえ、ISMSの見直しを進めることで、ますます複雑になるサイバーセキュリティの課題に対応する体制を整えていくことが重要です。

アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。