1. はじめに
情報セキュリティマネジメントシステム(ISMS)は、国際規格ISO/IEC 27001として、多くの企業が情報セキュリティを管理するためのフレームワークです。2022年10月に改訂され、2025年10月31日までに新バージョン(ISO/IEC 27001:2022)への対応が必要です。
この改訂版では、現代のサイバーセキュリティリスクに対応するため、新たに11個の管理策が追加されました。本記事では、改訂版のポイントや11個の管理策、さらに中小企業が取るべき具体的な準備と対策を解説します。
〜OTセキュリティ版ISMSの「CSMS」について〜
ISMS(情報セキュリティマネジメントシステム)は、企業の情報資産を守るための国際規格で、主にデータやシステムのセキュリティ管理を対象とします。
一方、CSMS(制御システムセキュリティマネジメントシステム)は、工場やインフラなどの制御システムの安全性を確保する規格で、物理的な機器やプロセスの保護に重点を置いています。それぞれ守る対象が異なります。
OTとITの違いに関する記事はこちら↓
OTとITの違いを徹底解説|製造業が押さえるべきセキュリティ基礎
2. ISMS改訂版の概要
2.1 ISMSとは?
ISMS(Information Security Management System)は、情報資産の保護とリスク最小化を目的とする国際規格です。顧客企業や取引先からの信頼性向上だけでなく、組織全体のセキュリティレベルを向上させる重要な基準です。
2.2 改訂の背景
2022年の改訂は、クラウドサービスの普及やサイバー攻撃の高度化など、新たな情報セキュリティの課題に対応するために行われました。これにより、新たに11個の管理策が追加され、既存の管理策も統合・削除されています。
3. 追加された11個の管理策
ISMS改訂版で新たに追加された管理策は以下の通りです。
- 脅威インテリジェンス(Threat intelligence): 組織に対し、脅威に関する情報を収集・分析し、適切な対策を講じることを求めます。
- クラウドサービス利用のための情報セキュリティ(Information Security for Use of Cloud Services): クラウドサービス内の機密情報の保護やセキュリティ要件の整備を組織に求めます。
- 事業継続のためのICTの準備(ICT Readiness for Business Continuity): 事業継続のために、必要な情報やシステムを準備することを組織に要求します。
- 物理セキュリティモニタリング(Physical Security Monitoring): オフィスや製造施設などの物理的な場所へのアクセス制限を確保することを組織に求めます。
- 構成管理/コンフィギュレーションマネージメント(Configuration Management): セキュリティ確保のためにデバイスの構成を管理し、一貫性を維持することを要求します。
- 情報削除(Information Deletion): 不要なデータや保存期間が経過したデータを削除することを組織に求めます。
- データマスキング(Data Masking): 機微情報の保護のためにデータマスキングを導入し、アクセス制限を適用することを要求します。
- データ漏洩防止(Data Leakage Prevention): 機微情報の不正公開を防止するためにデータ漏洩防止策の適用を要求します。
- アクティビティのモニタリング(Monitoring Activities): 異常な活動の監視を行い、早期にインシデントを検知することを組織に求めます。
- Webフィルタリング(Web Filtering): ユーザーのWebアクセスに対するセキュリティ対策を管理し、ITシステムの保護を確保することを要求します。
- セキュアコーディング(Secure Coding): 安全なコーディング技術の確立を組織全体で求め、ソフトウェア開発におけるセキュリティ脆弱性の軽減を要求します。
これらの管理策は、現代のセキュリティリスクに対応するためのものであり、中小企業にとっては特に重要です。
4. 中小企業が直面する課題
中小企業がISMS改訂版に対応する上で直面する課題には以下があります。
- 専門知識やスキル不足: 必要なシステムやサービスを選定し、適切に導入・運用するスキルが不足している。
- コスト負担: ツール導入や運用にかかる費用が高く、特に小規模な企業では負担が大きい。
- リソース不足: セキュリティ担当者が不足しており、既存業務との両立が難しい。
これらの課題を解決するには、段階的なアプローチと外部リソースの活用が重要です。
5. 中小企業向けの準備と対策
5.1 ギャップ分析
現在のセキュリティ体制とISMS改訂版の要件との差を明確にすることから始めます。ギャップ分析を通じて、優先的に対応すべき項目を特定し、リソースを効果的に配分しましょう。
5.2 継続的な運用ツールの導入
以下のようなツールを導入することで、効率的な運用が可能になります。
- ウェブフィルタリングツール: 偽サイトや不正アクセスを防ぐためのツール。
- 監視ツール: ネットワークやシステムの異常を検知し、アラートを通知するツール。
- バックアップ管理ツール: 定期的なデータ保護と迅速な復旧を実現。
5.3 外部リソースの活用
セキュリティ認証支援サービスや監視業務のアウトソーシングを利用することで、人材不足の課題を解消できます。また、専門家のサポートにより、効率的かつ効果的な対応が可能です。
5.4 段階的な対応
無理のない範囲で取り組むことが重要です。例えば、外部通信の監視から始め、徐々に内部システムのセキュリティを強化する方法が効果的です。
6. 対応スケジュール例(2025年1月からの予定)
- 2025年1月: ギャップ分析と基本対策の検討。
- 2025年3月: 必要なツール導入と運用体制の構築。
- 2025年6月: 内部監査の実施と改善計画の策定。
- 2025年9月: 認証取得準備の最終確認。
- 2025年10月: 改訂版の認証取得完了。
7. 成功事例
7.1 イードクトルの事例
従業員30人規模のイードクトルは、監視ツールを活用して改訂版対応を実現。特に外部ネットワークの監視を強化し、運用ルールを最適化しています。
7.2 ブラウンリバースの事例
中小企業向け監視サービスを導入し、半年で対応を完了。顧客の8割がISMSを求めており、規格準拠が競争力強化に直結しました。
8. まとめ
ISMS改訂版対応は、中小企業にとって負担が大きいものの、顧客信頼を得るためには欠かせない取り組みです。追加された11個の対策を理解し、外部リソースを活用しながら段階的に進めていきましょう。
コメント