![STRARTS Inc. COMPANY INFORMATION [NOW WE ARE HIRING]](https://cdn.slidesharecdn.com/ss_thumbnails/strartsinc-250825114824-c5606c34-thumbnail.jpg?width=560&fit=bounds)
The GAP Analysis of the ISO27002 2024 and ISO27002 2014 (in Japanese)
- 1. JIS Q 27002:2024「手引」の考 察 JIS Q 27002:2014「手引」からどのように進化したのか Y.S 1
- 2. ◆前提条件 ・この資料は、JIS Q 27002:2014(以降、2014年版という)とJIS Q 27002:2024(以降、2024年版という) の 個人的な見解を、自身のセキュリティ経験からまとめたものである。 ・文書化要求、承認手続要求については、別途、スプレッドシートにまとめた。 ・2024年版は、「箇条本文」は含まず、「管理策」を補完する詳細な「手引(ガイダンス)」を提供する。 ・「手引」は必須要件ではなく、組織が情報セキュリティ戦略や運用を計画・実施する際の参考情報であ る。 ※公式な見解については、一般社団法人日本規格協会の解説を参照すること。 ※本資料の更新版については、英語版を参照のこと。 ◆ISMS審査 ・JIS Q 27001: 2013年版による初回認証審査および再認証審査は2024年4月30日に、既に終了している。 ・JIS Q 27001: 2013年版に基づくサーベイランス審査や変更審査は、2025年10月31日まで引き続き許可さ れてる。 ・2025年10月31日までにJIS Q 27001: 2023年版への移行審査の全ての対応を完了しなかった場合は、認証 が自動失効となるため、初回認証から始める。 Y.へnS 2 はじめに
- 3. 第一に、2024年版では、管理策を「組織」(箇条5)、「人」(箇条6)、「物理」(箇条7)、「技術」(箇条8) の4つのテーマに大きく分類している。 第二に、以下の通り、ISMSを自組織に合わせて、個々の管理策ごとではなく多次元的に構築するため、また、 どの部門・階層の要員が関連するかの指南のため、以下の属性を提供している。 ◆管理策のタイプ:「予防」 ⇒ 「検知」 ⇒ 「是正」の”インシデント処理“の3フェーズの組み合わせに 分類 ◆サイバーセキュリティ概念:「識別」⇒ 「防御(Protect)」 ⇒ 「検知」 ⇒ 「対応」 ⇒ 「復旧」の”CS フレームワーク概念”5フェーズの組み合わせに分類 ※RTO(Recovery Time Objective)、RPO(Recovery Point O)含む、インシデント対応、及び事業継続に役立つ。 ◆セキュリティドメイン:「ガバナンス及びエコシステム」、「保護」、「防御(Defense)」、「レジリエン ス」の4ドメインの組み合わせに分類 ※同じ「防御」でも、Protectは暗号化等を、DefenseはIPS、IDS等防御システムを意味する。 YS 3 主な変更
- 4. (属性利用の続き) ◆オペレーション機能:「ガバナンス」、 「資産管理」、「情報保護」、「人的資源のセキュリティ」、 「物理的セキュリティ」、 「システム及びネットワークのセキュリティ」、「アプリケーションのセ キュリティ」、「セキュリティを維持した構成」、「識別情報及びアクセスの管理」、 「脅威及び脆弱 性の管理」、「継続」、「供給者関係のセキュリティ」、 「法令及び順守」、「情報セキュリティ事象 の管理」、「情報セキュリティ保証」の”プラクティショナー観点”からの15運用項目の組み合わせに分 類 ※法務、購買、人事、開発、ネットワークのどの部門の組み合わせ、及びどの階層の要員(CxO、管理責 任者、一般社員、ビジネスパートナー)が関わるかの見極めに役立つ。 ◆情報セキュリティ特性:「機密性(C) 」、「完全性(I)」、「可用性(A)」の”情報維持の特性”をあら わす3カテゴリの組み合わせに分類 ※情報維持の特性に応じたリスク分析に役立つ。 Y.S 4 主な変更(続き)
- 6. ◆規格の名称 「サイバーセキュリティ」、「プライバシー保護」という言葉が、本規格の名称として追加されたことにより、 それらの管理が強調された。 また、2014年版にあった「規範(Code of Practice)」という言葉を本規格の題名から取り除くことにより、自 組織特有のリスクやニーズに基づいた管理策の選択、他規格からの管理策の採用を可能とすることを強調した。 ◆新用語 「利用者エンドポイント機器」など、より汎用的、一般的、広義な用語を取り入れた。 また、「機械学習」、「人工知能」、「ゼロトラスト」、「CIA」、「シンクライアント」、「BYOD」等、より 多くの人々に認知されるようになった用語を「手引」に新たに取り入れた。 ◆組織の決定を尊重 属性をどう組み合わせる、管理策を採用する・しない、変更管理対象をどれにする等、自組織による選択を重視 している。 ※NIST SP800-171 Rev.3でも、自組織による決定を重視するようになってきている。 Y.S 6 主な変更(続き)
- 8. ◆(A.7.5の手引き)物理的及び環境的脅威からの保護 2024年2月に行われた改訂:2024年版Amd 1:2024では、ISOのマネジメントシステム規格全体に「気候変動 への配慮」が追加されたことは、本文の箇条4にて取り扱われる。しかしながら、自然災害や環境変化に よる気候変動の影響が、情報セキュリティリスクにどのように影響するかを評価し、対応策を講じること は、本管理策の手引きに関連している。例)データセンター等の供給元、電力、自社インフラの可用性 ◆(A.8.15の手引)ログ取得 2014年版では、 ログ監視ツール利用、ログレビュー実施という表現にとどめていたものの、2022版では、 さらに、シーム(SIEM: Security Information and Event Management)ツールを利用したログの分析にまで言 及している。 Y.S 8 詳細な変更(続き)
- 9. ◆(A.8.17の手引)クロックの同期 2014年版では、単一の時刻ソースに合わせることを推奨していた。2024年版では、組織が、サードパー ティが提供するクラウド環境、複数のネットワーク・セグメント環境、スタンドアロン環境、多種多様の エンドポイント環境の組み合わせを、ひとつの組織が所有するため、単一時刻ソースの参照が非現実的と なっていた。そこで、組織が決定した時刻ソースへの同期にとどめることを明示した。 ◆(A.8.27の手引)セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則 2024年版にて、ゼロトラストの概念を引用した。 ※米国では、2020年8月にNIST SP800-207(ZTA: Zero Trust Architecture)をリリースし、2021年5月に はバイデン前米国大統領が、関連する大統領令を発令した。 Y.S 9 詳細な変更(続き)
- 11. Japanese Standards Association(JSA). JIS Q 27001(2013): Information technology – Security techniques – Information security management systems – Requirements. Mar. 20, 2014 Japanese Standards Association (JSA). JIS Q 27002(2014): Information technology – Security techniques – Code of practice for information security controls. Mar. 20, 2014 International Organization for Standardization (ISO). JIS Q 27002:2024: Information security, cybersecurity and privacy protection — Information security controls. Feb. 15, 2022 International Organization for Standardization (ISO). ISO/IEC 27001:2022: Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Oct. 25, 2022 Japanese Standards Association (JSA). JIS Q 27001(2023): Information security, cybersecurity and privacy protection – Information security management systems – Requirements. Sep. 20, 2023 Japanese Standards Association (JSA). JIS Q 27002(2024) : Information security, cybersecurity and privacy protection - Information security controls. Jun. 20, 2024 National Institute of Standards and Technology (2024). The NIST Cybersecurity Framework (CSF) 2.0 Feb. 26, 2024 Y.S 11 参考文献