top of page

【CSIJコラム24(2024,10,3)】

「ISO/IEC27001を活用したセキュリティ対策と

             2022版改定に向けての取り組み」

 

NRIセキュアテクノロジーズ株式会社

人事部人材開発室

鈴木 伸

 

 つい先週までは暑い日が続いていましたが、大分涼しい日も増えてきました。寒暑の差が激しいですが、皆様体調崩されていませんか? 暑さが続いたり、突然の大雨になったりと、なかなか外に出るのも億劫になってしまい、在宅で仕事をする機会も増えてきているのではないでしょうか? コロナ以降在宅という選択肢が増え、出社しなくてよいという利点もありますが、情報セキュリティ対策といった点では、ますます大変になってきているように思います。

 やらなくてはいけないことが増える状況で、特にリソースが少ない中小企業にとって、情報セキュリティ対策を行うのは意外に難しいと感じます。
 実際に何から手を付けていいのか、実際に対策をしても対策が十分なのか判断に困る部分も多く出てきます。
 その解決策として有効な手段と思われるのがISO/IEC27001の認証取得と考えます。

 

 認証というと「形だけのもの」と思われたり、最新の技術に対応できない古臭いものという意見もあるかと思います。

 しかしながら、ISO/IEC27001の規格は情報セキュリティを守るうえで重要なことが網羅されており、基本となる体制、必要なルールを整えることからスタートして、リスク分析、対策の実施、監査をしていくといった、情報セキュリティを守るための基本となるものを作り上げるのに必要不可欠なものが網羅され、必要なところにリソースを集中することができるといったメリットもあります。

 ここで重要なのは、認証をとることは手段であり、目的は、情報セキュリティを守るための必要なものを「準備」していくこと。その準備の中で、社内で経営者をはじめ多くの人に協力してもらうことで、情報セキュリティに関する関心を持ってもらい理解を深めてもらうことにあります。

 更に重要なのが「継続」で、実際認証取得の当初は熱が高く、情報セキュリティに対する意識が高いが、時間とともに意識が低くなっていくことが往々にしてあります。継続するためには、当たり前のことのように思われるのですが、目的意識を持ち、前向きに取り組める人をいかに巻き込むかが必要と思います。加えて、経営者のコミットが何より重要になります。また、セキュリティインシデントの対応なども発生する可能性が高いので、心理的安全性が確保され、ネガティブな情報も迅速にキャッチアップされることが本当に重要な事だと、実際に体験しました。小職が関係したプロジェクトでは、責任者が普段から、メンバに寄り添い、常に意見を出しやすい場の雰囲気を作っていました。形だけでなく、本当に情報セキュリティを守っていこうという場を作っていくことがポイントになります。

 また、ISO/IEC27001の規格そのものも、進化しています。
 ISO/IEC 27001規格は2022改定により、2013年の前回からの改訂から9年の年月が経過し、その間のIT技術の発展と規格の浸透に伴い、より使いやすく、現実のIT技術に合わせた改訂がなされています。
 ISO/IEC 27001:2022 は2022年10月に、ISO/IEC 27002:2022は、2022年2月に発行されました。規格そのものは大きく変わっていないものの、内容としては統合された項目と新規に設定された項目があります。新規項目に対する施策を実装していくことが、最近のセキュリティ対策を推進していくことにもつながっていくことになります。例えば、「クラウドサービス利用のための情報セキュリティ」という項目が新規に加わっています。現時点ではクラウドを利用することは当たり前になっており、さらにクラウド利用におけるセキュリティインシデントも増えてきている状況で、そのセキュリティを守る際に重要なポイントになってきているのは周知のことと思います。2022年度版の規格に準拠することでクラウド利用のセキュリティ強化を行うことになります。

 

 CSIJの評価分科会では、上記のような規格に対する対策についても研究しながら活動を進めています。皆様のセキュリティ対策の推進のご参考になればと思っています。情報セキュリティの向上に向けてともに頑張っていきましょう。

bottom of page