京都で働くコンサルタントのブログ
1 | 2 | 3 | 4 | 5 | 最初次のページへ >>

「ISO/IEC 27002」改正

皆さん、こんにちは。
(株)マネジメント総研の小山です。

2022年2月15日に「ISO/IEC 27002:2022」が発行されました。

この規格は、「情報セキュリティ管理策」について書かれたもので、2013年発行の「ISO/IEC 27002:2013」の改正版となります。

2013年版は、14分野、114項目の管理策で構成されていましたが、
2022年版では、4分野、93項目の管理策に整理されました。

2022年版の管理策構成は以下のとおりです。

5 Organizational controls
  (組織的管理策、37項目)
6 People controls
  (人的管理策、8項目)
7 Physical controls
  (物理的管理策、14項目)
8 Technological controls
  (技術的管理策、34項目)
※英語下( )内の日本語は当社による和訳のため、今後発行されるJIS規格と異なる可能性があることをご了承ください。以降、同様。

2013年版では、以下のような分野で構成されていましたので、シンプルにまとめられた印象です。
5 情報セキュリティのための方針群
6 情報セキュリティのための組織
7 人的資源のセキュリティ
8 資産の管理
9 アクセス制御
10 暗号
11 物理的及び環境的セキュリティ
12 運用のセキュリティ
13 通信のセキュリティ
14 システムの取得,開発及び保守
15 供給者関係
16 情報セキュリティインシデント管理
17 事業継続マネジメントにおける情報セキュリティの側面
18 順守

 


管理策は114項目から93項目に整理されましたが、新規の管理策も11項目設けられました。ただし、完全な新規ではなく、これまでの管理策に含まれていた要素が項目として独立したものと考えられます。

5.7  Threat intelligence
 
  (脅威インテリジェンス)
5.23 Information security for use of cloud services
   (クラウドサービス利用のための情報セキュリティ)
5.30 ICT readiness for business continuity
   (事業継続のためのICTの備え)
7.4  Physical security monitoring
   (物理的セキュリティの監視)
8.9  Configuration management
   (構成管理)
8.10 Information deletion
   (情報の削除)
8.11 Data masking
   (データマスキング)
8.12 Data leakage prevention
   (データ漏洩防止)
8.16 Monitoring activities
   (監視活動)
8.23 Web filtering
   (Webフィルタリング)
8.28 Secure coding
   (セキュアコーディング)


ところで、ISMS認証の審査基準である「ISO/IEC 27001」の「附属書A」は、「ISO/IEC 27002」を取り入れたものとなっています。

今回「ISO/IEC 27002」が改正されたことで、「ISO/IEC 27001」の「附属書A」も新しく置き換える必要があることから、「ISO/IEC 27001」も2022年内に改正される見込みです。

ISMS認証取得組織は、「ISO/IEC 27001」改正後、一定の期間内に改正版への移行が求められますので、留意が必要です。

「ISO/IEC 27001」の改正は「附属書A」の部分がメインとなるようですので、先行して「ISO/IEC 27002」をご確認いただければと思います。

 

 

情報セキュリティ10大脅威 2022

皆さん、こんにちは。
(株)マネジメント総研の小山です。

2022年1月27日にIPA(独立行政法人情報処理推進機構)より、「情報セキュリティ10大脅威 2022」が公表されました。

これは、情報セキュリティ専門家を中心に構成する「10大脅威選考会」の協力により、2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から脅威候補を選出し、審議・投票により順位付けされたものです。


『個人』と『組織』の各視点で10大脅威が選出されていますが、ここでは、『組織』の10大脅威についてご紹介します。


【1位】ランサムウェアによる被害 [昨年1位(→)]

【2位】標的型攻撃による機密情報の窃取 [昨年2位(→)]

【3位】サプライチェーンの弱点を悪用した攻撃 [昨年4位(↑)]

【4位】テレワーク等のニューノーマルな働き方を狙った攻撃 [昨年3位(↓)]

【5位】内部不正による情報漏えい [昨年6位(↑)]

【6位】脆弱性対策情報の公開に伴う悪用増加 [昨年10位(↑)]

【7位】修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) [New]

【8位】ビジネスメール詐欺による金銭被害 [昨年5位(↓)]

【9位】予期せぬIT基盤の障害に伴う業務停止 [昨年7位(↓)]

【10位】不注意による情報漏えい等の被害 [昨年9位(↓)]



なお、トップ10に挙げられた脅威は、総合的に関心度の高いものと考えられますが、それぞれの環境によって優先順位は異なると考えられます。また、ランクインした脅威が全てではありません。トレンドを把握しつつ、自社の環境を踏まえて脅威を想定し、対策を点検し、適宜、強化していくことが肝要だと考えます。

IPAのサイトでは、より詳しい情報が掲載されていますので、ご確認いただければと思います。


▼情報セキュリティ10大脅威 2022
https://www.ipa.go.jp/security/vuln/10threats2022.html
 
 

2022年のテーマは「整頓」

皆さん、明けましておめでとうございます。
(株)マネジメント総研の小山です。

2020年・2021年は、「そもそも」をテーマに、
事ある毎に、原点に立ち戻り、根本を見つめ直し、
本来どうあるべきかを考えて、取組んで参りました。

2年続けて同じテーマに取組んだことで、
思考の基本要素として定着化させることができました。

そこで、今年は新たなテーマを掲げて取組んで参ります。

そのテーマは、「整頓」です。

「整理・整頓」とセットで使われることが多い言葉ですが、
ざっくり言えば、「整理」は、不要なものを捨てること、
「整頓」は、使いやすくすること、と捉えています。

今年は、「整頓」に着目し、使いやすくすることにこだわります。
(必要な時に取り出せる、一目でわかるように配置する、等)


そして、より期待に応えられるよう、
より多くの機会にお役立ちできるよう、励んで参ります。

2022年もどうぞよろしくお願いいたします。


▼以下関連記事
2021年のテーマは「そもそも」
2020年のテーマは「そもそも」
2018年のテーマは「整理」
 
 

 

 

 

ISOマネジメントシステム認証数(2020)

皆さん、こんにちは。

(株)マネジメント総研の小山です。

 

今回は、ISO(国際標準化機構)から公表されている「ISO Survey 2020」についてご紹介します。

ISOが毎年、前年末時点のISOマネジメントシステム認証数を調査・報告しているもので、今回は2020年12月31日時点のものとなります。


以下、今回の調査結果の抜粋です。

(1) ISO 9001:2015(QMS/品質)
 ・認証数:916,842(前年 883,521、前々年 878,664)

(2) ISO 14001:2015(EMS/環境)
 ・認証数:348,218(前年 312,580、前々年 307,059)

(3) ISO/IEC 27001:2013(ISMS/情報セキュリティ)
 ・認証数:44,486(前年 36,362、前々年 31,910)

(4) ISO/IEC 20000-1:2011(ITSMS/ITサービス)
 ・認証数:7,846(前年 6,047、前々年 5,308)

(5) ISO 22301:2012&2019(BCMS/事業継続)
 ・認証数:2,205(前年 1,693(前々年 1,506)

(6) ISO 22000:2018(FSMS/食品安全)
 ・認証数:33,735(前年 33,502、前々年 32,120)

(7) ISO 39001:2012(RTSMS/道路交通安全)
 ・認証数:936(前年 864、前々年 547)

(8) ISO 45001:2018(OHSMS/労働安全衛生)
 ・認証数:190,429(前年 38,654、前々年 11,952)


各規格とも認証数は前年対比で増えていることがわかります。

「9001」は前年比4%増、「14001」は前年比12%増となっていますが、これは主に中国の認証増が影響しているようです。

また、「27001」は前年比22%増、「20000-1」は前年比30%増、「22301」は前年比30%増とそれぞれ高い伸び率を示しています。

「45001」は、前回の集計期間に発行されたことや、「OHSAS 18001」からの移行期限が2021年3月であること等から、約5倍の伸び率になりました。


マネジメントのツールとして役立つ仕組みですので、より多くの組織に取り入れられればと考える次第です。


詳しくは、以下のサイトから元資料をご確認ください。

▼ISO:ISO Survey 2020
https://www.iso.org/the-iso-survey.html
 
 
 

個人情報の取扱いにおける事故報告集計結果(2020年度)

皆さん、こんにちは。
(株)マネジメント総研の小山です。

JIPDEC(一般財団法人日本情報経済社会推進協会)より、「個人情報の取扱いにおける事故報告集計結果(2020年度)」が10月5日に公表されました。

この資料は、プライバシーマーク付与事業者からの事故報告をもとに、JIPDECが傾向と注意点をまとめたもので、毎年、公表されているものです。


以下、報告件数です。

・2020年度:939付与事業者から2,644件の報告
 (2019年度:985付与事業者から2,543件の報告)

 

以下、事故原因別の内訳です。 ※( )内は前年度

(1) 誤送付 62.3%(59.5%)
(2) その他漏えい 17.2%(17.5%)
(3) 紛失  14.9%(16.6%)
(4) 盗難   0.3%( 0.4%)
(5) その他  5.3%( 6.0%)



2020年度の報告では、新型コロナウイルス感染症対策のための「テレワーク実施」「新たなコミュニケーションツールの利用」など、業務環境の変化の影響が見られました。


「誤送付」の内訳を確認すると、「メール誤送信」の割合が増えており、コロナ対応による「テレワーク」導入等による影響ではないかと推測されます。

<誤送付の内訳> ※( )内は前年度
 ・メール誤送信 28.9%(23.2%)
 ・宛名間違い等 11.9%(15.7%)
 ・封入ミス   12.2%(12.9%)
 ・FAX誤送信    4.2%( 5.3%)
 ・配達ミス    5.2%( 2.3%)


また、「メール誤送信」には、メッセージングサービス等の「新たなコミュニケーションツール」を今回の集計に含めたと記載されており、コロナ対応による業務変化が読み取れます。


「その他漏えい」の内訳を確認すると、「関係者事務処理・作業ミス等」「ウイルス感染」の割合が増えており、コロナ対応による業務変化の影響ではないかと推測されます。

<その他漏えいの内訳>
 ・関係者事務処理・作業ミス等     51.1%(30.9%)
 ・プログラム/システム設計・作業ミス 22.5%(41.5%)
 ・不正アクセス・不正ログイン     11.9%(14.8%)
 ・口頭での漏えい            8.1%(10.8%)
 ・ウイルス感染             6.4%( 2.0%)



今回の報告では、「事故の発生傾向とその防止策」として、以下4つの事例が紹介されています。

(1) ソーシャルエンジニアリング
(2) 設定ミスによる誤公開
(3) ランサムウェア
(4) 環境変化による事故(新型コロナ対策より)


(4)では、業務内容、業務のやり方、業務環境などの変更に伴うリスクと対策の例が示されています。

以下は、対策に挙げられている項目です。
 

・セキュリティ確保
・業務利用PCのセキュリティ対策の確認・徹底
・ミスの未然防止
・物品・書類の管理
・便利な機能を正しく活用する
・コミュニケーション確保
・安全確保のための柔軟性



環境変化を踏まえた留意点や注意が必要な事例等、個人情報の取扱いにおける事故を防ぐための有益な情報がまとめられていますので、実際に目を通してみてください。

▼2020年度「個人情報の取扱いにおける事故報告集計結果」(JIPDEC)
https://privacymark.jp/news/other/2021/1005.html
 
 
 
 

「ISO/IEC 27701:2019」



皆さん、こんにちは。
(株)マネジメント総研の小山です。

今回は、「ISO/IEC 27701」についてご紹介します。


1.「ISO/IEC 27701」とは?

「ISO/IEC 27701」は、個人情報保護に関する国際標準規格として、2019年8月に発行されました。

「プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張-要求事項及び指針」という名称の規格で、認証にも用いられるものです。

個人情報保護には「プライバシーマーク」という認定制度がありますが、プライバシーマークは「JIS Q 15001」という日本産業規格に基づく日本独自の制度であり、「ISO/IEC 27701」の方は国際標準規格に基づく認証となります。

ただし、「ISO/IEC 27701」に基づく認証(ISMS-PIMS認証)を取得するためには、「ISO/IEC 27001」に基づくISMS認証が前提となります。



2.プライバシーマークとの違い

「プライバシーマーク」も「ISMS-PIMS認証」も、個人情報保護に関する第三者認証に当たりますが、両者の主な違いは以下のとおりです。

<プライバシーマーク>
 ・規格:JIS Q 15001
     ※日本産業規格、日本独自の基準、国内に限り有効
 ・対象:全社で取組む必要がある
 ・審査:2年毎


<ISMS-PIMS認証>
 ・規格:ISO/IEC 27701
     ※国際標準規格、国際的に有効
 ・対象:組織が必要とする範囲、ISMS認証取得が前提
 ・審査:3年毎の更新審査、毎年の維持審査




3.「ISO/IEC 27701」の構成

「ISO/IEC 27701」は、プライバシー情報マネジメントシステム(PIMS※)に関する事項として、以下の構成で規定されています。
※個人識別可能情報(PII)の処理によって影響を受ける可能性があるプライバシーの保護に対処するISMS。

 1 適用範囲
 2 引用規格
 3 用語、定義及び略語
 4 一般
 5 ISO/IEC 27001に関連するPIMS固有の要求事項
 6 ISO/IEC 27002に関連するPIMS固有の手引
 7 PII管理者のためのISO/IEC 27002の追加の手引
 8 PII処理者のためのISO/IEC 27002の追加の手引
 附属書A PIMS固有の管理目的及び管理者(PII管理者)
 附属書B PIMS固有の管理目的及び管理者(PII処理者)
 附属書C~F(参考)、参考文献


箇条4には、この規格の構成、27001の箇条との関係、27002の箇条との関係等が規定されています。

箇条5には、27001の各箇条に対する追加要求事項が規定されています。

箇条6には、27002の各箇条に対する追加の実施手引が規定されています。

箇条7には、PII管理者のためのPIMS固有の手引が規定されています。

箇条8には、PII処理者のためのPIMS固有の手引が規定されています。

附属書Aは、箇条7の内容を27001の附属書Aと同形式で整理されたものです。

附属書Bは、箇条8の内容を27001の附属書Aと同形式で整理されたものです。



4.まとめ

「ISO/IEC 27701」に基づき、個人情報保護の仕組みを確認・強化することで、国際的に通用する仕組みとなることが期待できます。

 

また、ISMSと併せて審査を受けることができるため、有効かつ効率的な仕組みを構築し維持することができると考えられます。

 

さらに、まだ、認証制度が始まって間もないため、認証取得の取組みは、個人情報保護に関する意識の高さ、及び、管理レベルの高さをアピールする材料となり得るでしょう。





 

創業10周年

皆さん、こんにちは。
(株)マネジメント総研の小山です。

おかげさまで当社は創業10周年を迎えることができました。
当社と関わりのある皆さまに心から感謝申しあげます。

当社は、2011年4月1日の創業以来、マネジメントシステムを軸に、
経営に役立つ仕組みづくりを一貫してご支援してまいりました。

私自身、いつも念頭にあったのは、
「プロとして誇れるか?(恥ずかしくないか?)」
という自問です。

自身が、当社が、お客様に提供するサービスの質に対する
責任を自覚し、覚悟を持って取組んでまいりました。

専門分野に対する知識の拡充、
役立てるための知恵の捻出、
行動できるようにするための配慮、
など妥協せずに向き合ってきました。

そうしたことに加え、良いご縁にも恵まれ、
やりがいのある充実した日々を積み重ねることができました。


今後も、「プロ意識」を強く持ち、
期待に応えられるよう、お役立ちできるよう、
励んでまいります。


引き続き、どうぞよろしくお願いいたします。


 

情報セキュリティ10大脅威 2021

皆さん、こんにちは。
(株)マネジメント総研の小山です。

2021年1月27日にIPA(独立行政法人情報処理推進機構)より、「情報セキュリティ10大脅威 2021」が公表されています。

これは、情報セキュリティ専門家を中心に構成する「10大脅威選考会」の協力により、2020年に発生したセキュリティ事故や攻撃の状況等から脅威を選出し、投票により順位付けされたものです。


『個人』と『組織』の各視点で10大脅威が選出されていますが、ここでは、『組織』の10大脅威についてご紹介します。


【1位】ランサムウェアによる被害 [昨年5位(↑)]

【2位】標的型攻撃による機密情報の窃取 [昨年1位(↓)]

【3位】テレワーク等のニューノーマルな働き方を狙った攻撃 [New]

【4位】サプライチェーンの弱点を悪用した攻撃 [昨年4位(→)]

【5位】ビジネスメール詐欺による金銭被害 [昨年3位(↓)]

【6位】内部不正による情報漏えい [昨年2位(↓)]

【7位】予期せぬIT基盤の障害に伴う業務停止 [昨年6位(↓)]

【8位】インターネット上のサービスへの不正ログイン [昨年16位(↑)]

【9位】不注意による情報漏えい等の被害 [昨年7位(↓)]

【10位】脆弱性対策情報の公開に伴う悪用増加 [昨年14位(↑)]



   
3位に「テレワーク等のニューノーマルな働き方を狙った攻撃」が初めてランクインしました。

新型コロナウイルス感染症の蔓延に伴い、テレワークが進められる中、それらを狙った攻撃が行われていることが挙げられています。

攻撃手口や発生要因として、以下が挙げられています。
・テレワーク用ソフトウェアの脆弱性の悪用
・急なテレワーク移行による管理体制の不備
・私物PCや自宅ネットワークの利用

対策・対応として、環境の整備、管理体制の整備、ルールの整備・周知、そして被害の早期検知及び確実な対応、等が挙げられています。

 


なお、トップ10に挙げられた脅威は、総合的に関心度の高いものと考えられますが、それぞれの環境によって優先順位は異なると考えられます。また、ランクインした脅威が全てではありません。トレンドを把握しつつ、自社の環境を踏まえて脅威を想定し、対策を点検し、適宜、強化していくことが肝要だと考えます。

IPAのサイトでは、より詳しい情報が掲載されていますので、ご確認いただければと思います。


▼情報セキュリティ10大脅威 2021
https://www.ipa.go.jp/security/vuln/10threats2021.html 
 
 

当社のマネジメントシステム(2020年度)

皆さん、こんにちは。
(株)マネジメント総研の小山です。
 
当社のマネジメントシステムについて、2020年度の取組みをご報告いたします。
  
今年度は、ISO認証に関して、以下の2つの成果がありました。
(1) ISO 22301:2019認証(移行)
(2) ISO/IEC 27001認証(取得)

 


 
(1) ISO 22301:2019認証(移行)
(BCMS:事業継続マネジメントシステム)
 
・BCMSは、お客さまへのサービスを安定してご提供できる体制を整えることが「プロ」としてのつとめである、という考えに基づき取組んでおります。
・「ISO 22301(BCMS)認証」は、2014年1月24日付で認証を受け、2度の更新を経て現在に至ります。
・「ISO 22301」が2019年10月30日に改正されたことから、改正版とのギャップを確認・反映し、移行審査を受け、2020年12月25日付で認証いただきました。
 
 
(2) ISO/IEC 27001認証(取得)
(ISMS:情報セキュリティマネジメントシステム)
 
・ISMS自体は、創業時(2011年)より取組んでおりましたが、コロナ禍の状況を踏まえ、情報管理の重要性をより意識するとともに、対外的にも示すことができるよう、ISO認証取得に取組むこととした次第です。
・これまでBCMS(事業継続マネジメントシステム)の中で「情報セキュリティリスク」を対象に含めて管理してきたことから、JQAの「マネジメントシステム統合プログラム」による審査を受け、「ステージⅡ」と評価をいただきました。
・ステージⅡ:統合マネジメントシステムとしての管理体制・仕組みが完成し、所期の結果が得られている。
 
 
引き続き、事業継続・情報セキュリティの仕組みを、当社自らが実践し、ノウハウを蓄積し、お客様、社会におけるリスク低減に貢献できるように、励んでまいります。
 
 
 
 

 

2021年のテーマも「そもそも」

皆さん、明けましておめでとうございます。
(株)マネジメント総研の小山です。

昨年(2020年)のテーマは「そもそも」でした。

毎朝のルーティンとして、「To Do List」を確認するのですが、
その1つ目に次の言葉を記し、日々、意識して取組んで参りました。

【そもそも】
事ある毎に、原点に立ち戻り、根本を見つめ直し、
本来どうあるべきかを考えて、取組む。



何事も始める際は、経緯・理由・目的等があり、
あれこれ考えた上での手段として取組むものです。

その取組みは、「目的」に対する「手段」なわけですが、
気を抜くと、「手段」をこなすこと自体が「目的」になりがちです。


「手段の目的化」を回避するためには、
・「手段」にこだわりすぎないこと
・そもそもの「目的」を常に意識すること
が肝要となります。


2020年は「そもそも」をテーマにしたことで、
毎朝、このことを念頭に置くことができ、
「目的」を意識することの重要性に改めて気づかされました。

環境・状況の変化により、
「目的」に対して「手段」が陳腐化しているものが
多くあることに気づかされた次第です。


当社は、2021年4月に、創業から11期目に突入します。

創業から丸10年で、内外の環境は当然変化しています。

そこで、2021年も改めて「そもそも」をテーマに掲げ、
事ある毎に、原点に立ち戻り、根本を見つめ直し、
本来どうあるべきかを考えて、取組んで参ります。


そして、より期待に応えられるよう、
より多くの機会にお役立ちできるよう、励んで参ります。


2021年もどうぞよろしくお願いいたします。

 

 

 

 

 

 

1 | 2 | 3 | 4 | 5 | 最初次のページへ >>