【シリーズ】ISMS新規格の管理策　変更点まとめ＜8.1〜8.5＞

管理策の変更点まとめシリーズ第14回！
今回からは「8 技術的管理策」がテーマです。

引き続き「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼シリーズをまとめたマガジンページはこちら！

【シリーズ】ISMS新規格の管理策　変更点まとめ｜いしはまゆうき@LRMの情報セキュリティコンサルタント｜note

本編に入る前に

• 規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）

• JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります

• 規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

8.1 利用者エンドポイント機器

1. 利用者端末で保存・処理される情報、また利用者端末を介する情報の保護全般を包括する管理策に変化
   旧規格において、利用者端末の取り扱いについては「モバイル機器の方針」と「無人状態にある利用者装置」、さらにそのほかの各種管理策など複数の管理策でカバーしていました。
   それが新規格においてはあえて分けるのではなく利用者端末に関するひとまとめの管理策に集約されました。
   
   ただ利用者端末（PC・スマホなど）の取り扱いルールについては従来から特に考慮されているものであると思いますのであえて新たな取り組みを要するものではないと考えられます。
   追加で検討するとすれば、働き方の変化に伴うBYODに関するルールなどを考えてみることをおすすめします。

8.2 特権的アクセス権

1. 特段の変化なし
   「特権の割当て、利用を制限、管理する」という要求に変化はありません。
   取り組み自体を変える必要はないですが、システムやクラウド上での情報処理・保管が中心となった現在においては特権の悪用は事業継続に対するリスクにも繋がりかねないので、より注視して特権の取り扱いを考慮することが求められます。

8.3 情報へのアクセス制限

1. 「アプリケーションシステム機能」を含め、「その他の関連資産」に集約
   「ルールに従って情報に対するアクセス制限を行う」という要求に変化はありません。
   
   ただ表現の問題として、旧規格では制限を行うべき対象を「情報及びアプリケーションシステム機能」といっていたものが、新規格においては「情報及びその他の関連資産」という表現になっています。
   
   といって新たに対応を要するものではなく、あえてアプリケーションシステム機能だけに限った話ではなく、情報やそれにまつわってアクセス制限を実施できるもの、すべきものがあれば適切に実施していくものである　と考えておくとよいでしょう。

7.4 ソースコードへのアクセス

1. 「ソースコード管理・処理に関わるもの全般」が対象であることの明確化
   「アクセス制限」についての要求であることに変わりはないのですが、旧規格では「プログラムソースコード」へのアクセス制限のみに言及していた一方、新規格では「ソースコード、開発ツール、ソフトウェアライブラリへの読取り及び書込み」へのアクセス制限が求められています。
   
   現在だとソースコードの処理や保存が様々な場所で行われており、制限できるものも増えているという考えのもと対象の幅も広がっていると考えるとよいでしょう。
   
   アクセス制限を行うという取り組みに変化は発生しないですが、ソースコードの処理や保管が発生する場所は可能な限りしっかりアクセス制限を行っておくようにしましょう。

7.5 セキュリティを保った認証

1. 「アクセス制御方針で求められている場合には対応」から「対応を行うことは前提として、その対応はアクセス制御方針に基づく」という前提に変更
   旧規格では「アクセス制御方針で求められたらセキュリティに配慮したログオン手順で制御しましょう」という管理策であったのに対し、新規格では「セキュリティを保った認証技術及び手順をアクセス制御のルールに従って備えましょう」という表現に変わっています。
   
   「セキュリティを保った認証手法を用いる」という要求そのものに変更はないのですが、現在では認証が間に挟まれることは前提として、その際には適切な手法を使いましょうという考え方に変わっているのかと思います。

まとめ

今回は「8 技術的管理策」の5つの管理策を整理してみました。
技術的管理策についてはこの5つだけでもわかる通り、約10年間の社会の変容が大きく反映されているように見て取れます。
要求自体は変わっていないかもしれませんが、それをなぜ行うべきなのかといった点については変わっていることもあると思いますのでしっかりとリスクを把握しておくことでより適切な取り組みを行なうことができるかもしれません。

参考資料

• 『ISO/IEC 27001:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項』 ISO

• 『ISO/IEC 27002:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策』ISO

• 『JIS Q 27001:2014情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項』日本規格協会