見出し画像

設備投資が必須となる管理策「WEBフィルタリング」と「監視活動」がハードルに?

久保 健 / Takeshi Kubo


こんにちは。ゼタントCEOの久保です。

前回は、ISMS新規格対策の第一歩は、その「負担」と「コスト」を知るところから!というお話をいたしました。今回は、なかでもシステムの追加導入や改修が必要となる「WEBフィルタリング」と「監視活動」にフォーカスして、お話したいと思います。



「WEBフィルタリング」と「監視活動」とは

ISMSの規格が第2版から第3版「ISO/IEC 27001:2022」に改訂され、2025年10月31日までに旧規格を取得済みの企業も、新規格への移行が必須になりました。新旧の規格を比較すると11項目の管理策が追加されました。

今回は、その中でも「明確に設備投資など追加のコストをかけざるを得ないもの」で、ITシステムが必要になる2つの管理策「監視活動」と「WEBフィルタリング」それぞれについて、簡単にご説明します。

監視活動

管理策8.16で規定されています。ネットワークやシステム上の異常な動作や行動を検出できるようにし、情報セキュリティインシデントの可能性を評価できるようにすることが求められます。

WEBフィルタリング

管理策8.23 で独立項目として規定されるようになりました。マルウェアへの感染やそれによる被害を予防するための対策で、許可しないウェブサイトへのアクセスそのものを防ぐ仕組みの導入が求められます。


ISMS新規格への追加背景

「WEBフィルタリング」と「監視活動」、この2つの管理策が追加された背景には、サイバー攻撃の多様化と被害拡大があると考えられます。昨今のサイバー攻撃は、送り付けられてくる情報を単純に遮断するだけでは不十分になってきています。ファイアウォールなどの防衛機構の多くは、「意図せず社外から送り付けられてくる情報」を遮断することはできますが、社内から自ら求めて受け取った情報を遮断することは困難です。現実社会で例えると、前触れもなく送り付けられてきた差出人不明の怪しい小包は遮断できるのですが、社内の人が注文した商品が届くのを遮断するのは難しいということです。

昨今猛威を振るっているフィッシングメールや標的型メールなどは、メール内のリンクをクリックしたり、添付ファイルをクリックすることで、別サイトにアクセスさせようとします。そして、その別サイトにウィルスやマルウェアソフトがあったり、そこで個人情報などを入力させられたりします。このような攻撃は、本当はアクセスしてはいけないのに、あたかも「社内の人が自ら商品を注文した」ことと同じような扱いになるため、前述の通りファイアウォールでは防ぎにくい攻撃になってしまいます。

このように多様化したサイバー攻撃に対応するためには、もっと通信される内容に踏み込んで確認しなければなりません。「WEBフィルタリング」は、上述ような通信もうまく遮断できる仕組みであることから新しい管理策として追加されたものと考えられます。

また、サイバー攻撃を受けたり、そのほか何かよくないことが起こった際に、企業は迅速な対応が求められます。すばやく被害を検知して、初動対応や原因分析を行うためには、ログ情報が必須になります。「監視活動」は、有事に備えて、または未然に防ぐためにログをしっかり収集し、確認することを求めるものであり、その重要性から新しく管理策に加えられたと考えられます。


組織に合った対策方法の検討を

新しく追加されたこれらの管理策への対応は必須です。一方、これらの管理策には、厳密に「このような方法で、こうしなければならない」という類の規定があるわけではありません。どの程度のレベル感で対応するか、どのような方法を用いるかは、組織が自分たちの方針に基づいて決めることができます。つまり、会社規模や準備できる体制、予算などに見合った対策を選択することができます。

しかし、方針自体を決める決定打がない、どのような選択肢があるかがわからない、何から手をつければいいかわからない…などなど、ISMSを担当されている方々の中には、改訂への対応について、さまざまな不安を抱えている方も多くいらっしゃるかもしれません。そのような場合は、なるべくシンプルで、運用負荷が大きくなりすぎない方法やサービスを探して選択することをお勧めします。最初から複雑・高機能な仕組みを導入すると、ルール化も運用も大変になる可能性が高いためです。ISMSで重視されるのは、組織としてルールをつくり、しっかりそれを運用しているかということなので、あなたご自身の組織が運用がしやすいものに主眼を置くべきです。ご無理のない対策で、新規格「ISO/IEC 27001:2022」への更新審査に備えてください。

[ 次回のテーマ ]

次回は「しっかりと、それでいて無理のない」具体的な対策方法をご紹介します。「監視活動」と「WEBフィルタリング」をまとめて対策してしまう方法です。「WEBフィルタリング」で社内で発生するすべての通信を対象にフィルタリングを実施し、そのアクセスログを「監視活動」のログとして収集、確認する方法です。うまくその仕組みを構築できれば追加コストも低減でき、運用すべきシステムも一つにできるため、運用面でもメリットが期待できます。是非、あわせてお読みいただき、ISMS審査への備えにお役立てください。


ゼタントについて
https://qfilter.net/#about

この記事が気に入ったらサポートをしてみませんか?