ISO/IEC27001:2022(JISQ27001:2023)移行審査対応まであと1年
- Home
- セキュリティ情報一覧
- ISO/IEC27001:2022(JISQ27001:2023)移行審査対応まであと1年
ISO/IEC27001:2022(JISQ27001:2023)移行審査対応まであと1年
1.JISQ27001:2023への移行審査まであと1年
2022年10月25日に発行されたISO/IEC27001:2022(JISQ27001:2023)の移行審査にリミットが、あと1年くらいに迫ってきました。ポイントは2025年10月31日までに、ISO/IEC27001:2022(JISQ27001:2023)の移行審査が完了して、登録証が発行されていることです。
規格改定とは言っても、従来からの管理策114個が82個に統合化され、新たに11個の新管理策が加わっただけで、その新管理策も従来の管理策のいずれかで対応していた組織も多く、実質的には規格改定とはいいがたいものです。
2.MS(マネジメントシステム)審査のポイント
今回の規格改定は、実質的には管理策の見直しなので、MS部分は共通文書の統一化といった程度です。細かい文言修正や箇条の整理のほか、変更の計画策定が追加された程度です。なので、MS部分についての文書審査で指摘されることはほぼありません。
よくあるケースとしては、文書は改定したもののPDCAが回っていなかったこと。教育をやっていないとか、内部監査やマネジメントレビューをやっていないとか。これは規格改定以前のお話です。そもそもマネジメントシステムが要求されているのですから、文書を改定しただけでは不適合は当たり前です。
これは、マネジメントとは何かが理解されていないことが原因です。このあたりは改めて紐解いていきますが、トップマネジメントのリーダーシップ及びコミットメントの一つに、
組織のプロセスへのISMS要求事項の統合を確実にする。
というのがあります。
まさにこれです。マネジメントが機能しているか否かを判断する要求事項です。
3.組織あるところにマネジメントあり
産業革命をきっかけに組織社会が発展してきました。鉄道を敷く、鉄鋼業をやる、銀行を経営するといった大規模事業を運営していくには組織が必要で、多くの人々が働く組織目標を達成するにはマネジメントが必要になってきたのです。
マネジメントというと民間企業に必要であって、役所など公的部門には必要ないと勘違いしている人がいます。むしろ役所こそ、しっかりとマネジメントが必要なのです。昨今、地方自治体の長によるハラスメント行為(最近では、県警トップが「殺すぞ」と発言したとか…)が報道されています。組織の長(トップマネジメント)がこれでは、マネジメントが機能不全に陥っていることは明らかです。
組織には目的があり、それを達成するための成果(たとえば、株式会社であれば業績)を上げなければ、トップマネジメントは失脚となります(オーナー経営では別:ただし、命ある限り)。このことは、ISMS運用においては、情報セキュリティ目的の達成という要求事項で証明しなければなりません。
情報セキュリティ目的は、情報セキュリティ方針の中に含めるか、設定のための枠組みを示さなければいけません。情報セキュリティ方針や情報セキュリティ目的を確立するのはトップマネジメントの仕事であり、それらが組織の戦略的方向性と両立することを確実にすることまで要求されています。
一般的に企業経営においては、経営理念や経営方針(社是とか社訓とか言い方は様々)があり、それに基づき経営戦略を作成し、それを実現するための経営計画を実行する。年に1回の決算で計画をチェックし、必要があれば軌道修正したり、時には経営戦略を策定し直したりすることもあります。
こうした企業経営の戦略的方向性にISMSを統合せよというのが、MS要求事項の本質です。企業経営とは別にISMS活動を切り離して運用している組織は、その時点で重大な不適合といっても過言ではありません。ただ、審査では組織のマネジメントまではチェックしていないので、不適合にならないだけです。ちなみにISMS審査では不適合が出ることはほとんどありません。なぜか? それはISMSが組織の意思決定として行われているものなので、「不適合=マネジメントへのダメ出し」となりかねないからです。株式会社の経営陣(代表取締役や取締役会)にダメ出しをできるのは株主ですから(取締役会は代表取締役にダメ出しはできます)。もっとも審査員が「ISMSが組織の戦略的方向性に統合しきれていませんね」(MS箇条5.1に関する重大な不適合)とコメントすることはあり得ると思います。
マネジメントの機能をチェックするには、経営危機をどう乗り越えたかを見ることで、トップマネジメントの成果を外側からも見ることができます。先日、あるお客様から、久しぶりにご支援の依頼があり、コロナ禍で仕事が減少した際、トップが「絶対に人を切らない」と宣言し、従来のリソースを生かした新事業を展開して業績をコロナ前よりも高めたというお話を伺いました。
いろいろお話を伺っていると、コロナ禍という環境の変化(顧客の消費行動や消費者心理の変化を含む)を的確につかみ、新事業を展開されていました。まさに組織の意図した成果を達成するための課題・利害関係者のニーズや期待の理解を踏まえて、その意図した成果を達成できるようリスク及び機会に対処する活動があっての成果です(MS箇条4.1・4.2からの6.1.1)。
このように見てくると、MS要求事項はマネジメントをしっかりやっている組織においては、何ら難しいことではないことがわかります。そのお客様はもともとPマークを取得していましたが、コロナ禍で経費削減のため返上しました。しかし、長年、PMSを運用してMSが浸透していたこともあり、個人情報の漏洩は起きていません。ちなみに長年、支援をしていたのはこの私です、というオチ(笑)。
似たようなお話は都内のホテルにおける事例として、リーダーシップ研修でも演習課題としてお話しています。何と言っても緊急事態宣言で旅行する人が激減したわけですから、客室稼働率が急激に減少して売上が大幅ダウン、さてどうするかという経営問題です。もちろん、飲食店等も同様に危機に直面したわけですが、政府や自治体の支援もあり現在でも経営を続けているお店は多数あります(休業補償で通常営業時よりも収入が増えたという、給付行政におけるマネジメントの欠陥も浮き彫りになりましたが…)。先日もお客様とお馴染みのお店に飲みに行った際も、満席でした。
民間企業は売上が減少しても、何とか経営を維持しようと努力をしますが、税収が減ると増税しか考えない政府とのマネジメント力の差は、このことからもよくわかります。民間部門と公的部門におけるマネジメントの最大の違いはキャッシュ・フローです。民間企業は先行投資や維持費に関するキャッシュ・アウトが先にあって、それを上回るキャッシュ・インは後日回収することになります。しかし、回収できるかどうかは不確実(投資リスク)です。これに対して行政機関はまず税収というキャッシュ・インを確保したうえで、その予算に基づきキャッシュ・アウトします。予算が年度内に使いきれないとまったく無駄なことにもキャッシュを使います。民間企業ではありえないことです。オチ
つまり、民間部門と公的部門とでは、キャッシュ・インとアウトの時間軸が真逆なのです。とはいえ、マネジメントの本質は一緒です(顧客満足)。
4.多様化するサイバー攻撃の脅威
今年もランサムウェアによる被害が多発しています。有名なのがKADOKAWAグループのクラウドサーバへのランサムウェア感染です。ニコニコ動画は2か月ほどサービス停止に追い込まれました。ここまでは、従来のサーバ暗号化による可用性の喪失なのですが、この事件ではリークサイトに漏洩した情報が公開され、それがもとで一部社員の方の自宅に報道陣が取材に行くという、二次被害が起きています。 そもそもそのような個人情報の取得は不正取得ですし、不適正利用や第三者提供の不同意など違法の疑いがあり、個人情報保護委員会が注意喚起するべき事案だと思いますが…、報道機関は個人情報保護法の適用除外。とはいえ、このケースでは適用除外は通用しないのではと思います。あくまでも報道目的で報道の自由を制限しない範囲での例外措置のはずで、個人のプライバシー侵害に当たるような場面では、報道機関も自粛すべき(ないしは本人の同意を得る)であったのではないかと思われます。政治家や経営者の不祥事についての取材ではないのですから。
5.サイバー攻撃にどう対応するか
最近は、ISMS運用の相談もさることながら、こうしたサイバー攻撃の脅威について、どう対策をするべきかという相談も増えています。先日訪問したお客様では、開口一番、「うちは大丈夫ですかね?」に始まり、2時間近く、その手のお話やらランサムウェアに感染した過去の事件のお話をしていました。結果、経営診断をして欲しいと。望むところです(笑)。
対応といっても、サイバー攻撃は年々多様化していますし、今後は生成AIを使った詐欺メールなども、より巧妙な文面で送られてくることも予想されています。技術的管理策としては各種のゼロトラスト的なサービスを利用することで防ぐことはできても、一人一人の社員の認識を高めるのが一番難しいのが現状です。
少なくとも、アタックサーフェス(攻撃対象領域)などの脆弱性診断を実施、その結果に基づき対策を実施することが必要です。未だに私物のPCやスマホ、個人アカウントのSNSを利用している企業もあります。もちろん、機密性の高い情報を扱わない、社内ネットワークには接続しないなどの利用であればまだしも、仕事で使うデータを保存したり社内ネットワークにアクセスしたりといったケースがあるのも現状です。
こうした情報資産(個人情報のみならず機密情報、およびそれらを作成・保存するヒト・ハード・ソフト・ネットワーク構成・クラウドサービス・委託先など)が、コロナ禍において組織内から組織外において利用されることが常態化しました。それまでは組織の内外の通信の境目を防御することが情報セキュリティの肝でした。現実社会で言えば国境や県境といった物理的な境界線です。ところが、リモートワークは社内システムにアクセスしなくてもクラウドサービスに直接自宅等からアクセスできるようになりました。つまり、従来の境界防御型の情報セキュリティでは不十分になったのです。
仮想社会ではインターネットで世界中のどこからでもアクセスが可能になりました。攻撃する側としては、情シスが管理するネットワークサーバよりも、情報セキュリティ意識や防御策が脆弱なエンドポイントユーザーの端末等を狙った方が、成功確率が高く効果的かつ効率的です。それゆえ、脆弱なパスワードの漏洩、フィッシング詐欺によるパスワードの窃取により、なりすましアクセス→徐々に権利者権限の奪取までたどり着き→サーバの暗号化→身代金要求となります。こうした攻撃手法のことをサイバーキルチェーンなどと呼ばれています。
キルチェーン(Kill Chain)とは、もともと軍事で使用される言葉であり、敵の攻撃の構造を破壊する、切断することで自軍を防御、先制処置する考え方のことです。この考え方をベースに、2009年にロッキード・マーチン社がサイバー攻撃に適用したものが「サイバーキルチェーン(Cyber Kill Chain)」であり、攻撃の構造を理解し、各フェーズの攻撃に対して有効な対策をとることが必要とされています。
サイバーキルチェーンの具体的な内容は、攻撃者が標的を決定し、実際に攻撃し目的を達成するまでの一連の行動を順に、「偵察」、「武器化」、「デリバリー」、「エクスプロイト」、 「インストール」、「C&C」、「目的の実行」の7フェーズに分類されています。
最近は、e-learningでこうした内容についてもISMS定期教育に盛り込んでいますが、コロナ禍になる前のように、集合研修やワークショップスタイルでの研修をやった方がいいのではないと感じています。
たとえば、ISMSの定期研修ではなく、情報セキュリティ研修や内部監査員研修の演習においては、下表のようなサイバーキルチェーンの解説をした後に、脆弱性のあるリスクやそのリスクを低減するための管理策を考えてもらい、内部監査のロープレをやって認識のズレを確認し、リフレクションで再度共通認識を持ち、管理策レビューの実践に生かしてもらうようワークショップを行っています。
テキストを読んで選択式の設問に全問正解したからと言って、サイバー攻撃やその管理策についての共通認識を持てるとは限りませんから。
| 各ステージ | 内容 |
| 偵察:Reconnaissance | 標的となりそうな脆弱性のあるネットワークを調査する。 |
| 武器化:Weaponization | 攻撃のためのマルウェアやエクスプロイト(不正な操作)を作成する。 |
| 配信:Delivery | マルウェアを添付したメールや悪意あるリンク付きメールを仕掛ける。直接対象組織のシステムへアクセスする。 |
| エクスプロイト:Exploitaition | 標的にマルウェア等攻撃ファイルを実行させる。または、悪意あるリンクにアクセスさせ、エクスプロイトを実行させる。 |
| インストール:Installation | 上記を成功させ、標的がマルウェアに感染する(マルウェア→横展開)。 |
| コマンド&コントロール :Command and Control | マルウェアとC&Cサーバが通信可能となり、外部から標的へ攻撃開始する。 |
| 行動目的達成:Action on Objective | 情報搾取や改ざん、データ破壊、サービス停止等、攻撃者の目的が実行される。 |
