ISMS(情報セキュリティマネジメントシステム)の国際規格「ISO27001」は、2022年10月に改訂されました。すでにISO27001を取得している企業は、2025年10月31日までに新基準へ移行する必要があります。
本記事では、ISMS(ISO27001)の規格改訂においての変更点と、管理策の変更に伴う対応策について解説します。また、新たに追加された管理策「物理的セキュリティ監視」に有効なツールとして、防犯カメラを紹介します。
目次
2022年のISMS(ISO27001)規格改訂とは?
ISMSは、企業が情報資産を適切に管理し、セキュリティリスクを低減するための仕組みです。その基準となるISO27001は、時代の変化に応じて改訂が行われています。
2022年の改訂では、情報セキュリティ管理策を定めた「附属書A(※1)」に大きな変更があり、管理策(※2)の整理・統合・新設が行われました。企業は新しい管理策に対応し、適用宣言書やルールの見直しをすることが必要です。
※1 付属書A:ISMS(ISO27001)の情報セキュリティ管理策のリストが網羅的にまとめられたもの。企業や組織は、このリストから自社のリスクに応じて適用する管理策を選択し、適用宣言書(詳しくは後述)に記載する。
※2 管理策:情報を守るための具体的な対策・ルールのことで、サイバー攻撃・情報漏えい・自然災害などのリスクから情報を守るために取り組む「やることリスト」というイメージ。企業・組織は自分たちに必要な管理策を選び、それに基づいてルールやシステムを構築する必要がある。
ISMS(ISO27001)の規格改訂における変更点
改訂による変更点は、附属書Aの管理策の数・区分の変更です。それぞれ詳しくみていきましょう。
管理策の数の変更
改訂では、これまで114個あった管理策が93個に構成が変更されました。数は減りましたが、内容が削除されたわけではありません。これまでの内容は維持しながら、新たな項目を11個追加して93に再構築されました。
具体的には、次のように構成が変更されています。
- 据え置き:35
- 名称変更:23
- 統合・分岐:24
- 新規追加:11
完全に削除された管理策はなく、統合や名称変更などにより、すべての管理策は何らかの形で残っています。数は減ったものの、内容は以前より充実した改訂となっています。
管理策の区分変更
従来の14の分類(条項)から、「組織的」「人的」「物理的」「技術的」という4つのテーマに再編されました。また、改訂ではテーマとは別の視点で管理策をみる「属性」という新しい概念が導入されました。
- 管理策のタイプ
- 情報セキュリティ特性
- サイバーセキュリティの概念
- 運用機能
- セキュリティドメイン
属性は上の5種類に分かれ、フィルタリングや並び替えが容易になっています。
新たに追加された11の管理策
以下の11項目が新たに追加され、現代の情報セキュリティリスクに対応できるようになっています。
- 脅威インテリジェンス
- クラウドサービス利用のための情報セキュリティ
- ビジネス継続のための ICTの備え
- 物理的セキュリティ監視
- 設定管理
- 情報の削除
- データマスキング
- データ漏洩の防止
- 監視活動
- ウェブフィルタリング
- セキュアコーディング
近年、サイバー攻撃の増加や巧妙化など、企業が対策を行うべき内容が増えています。このような情報セキュリティを取り巻く状況の変化に対応できるようにするため、これらの内容が追加されました。
対応期限は2025年10月31日
ISMS(ISO27001)の規格改訂により、すでに認証を取得している会社は2025年10月31日までに移行審査を受けなければなりません。移行審査の手続きは時間がかかり、審査後にも手続きがあるため、できるだけ早めの対応が必要です。
期限までに移行できなかった場合、認証が無効になる可能性もあります。
これから新たに認証を取得する会社は、「ISO27001:2022」での認証取得を目指すことになります。
▼ISMS(ISO27001)の審査についてはこちら
ISMS(ISO27001)の規格改訂で対応すること
ISMS(ISO27001)の規格改訂で企業が対応することは、主に適用宣言書の改訂とルールの見直しです。詳しい内容をみていきましょう。
適用宣言書の改訂
適用宣言書とは、ISO27001附属書Aの管理策のうち、自社に適用する項目・除外する項目とその理由を記載した文書のことです。この文書は、組織の情報セキュリティ管理体制を示す重要な根拠資料となります。また、外部審査でも必ず確認されるため、最新の状態に保つことが求められます。
適用宣言書の改訂では、最新のISO27001:2022の附属書Aを確認し、新たに追加された11の管理策を検討します。その際の注意点として、既存の管理策と新しい管理策の重複・矛盾の確認や、新しい管理策を必要とするリスクが社内に存在するかの確認などを行い、必要に応じて改定しましょう。
社内ルールの見直し・追加
新規で追加された管理策の導入に合わせて、社内の運用ルールの見直しやマニュアルの改訂を行いましょう。特に「物理的セキュリティ監視」など、従来のISMSではカバーされていなかった領域について対策を講じることが重要です。
変更後は更新したISMSを運用し、内部監査やマネジメントレビューを実施します。改善すべき点があれば対応し、PDCAサイクルで運用しながら社内に根付かせていきましょう。
「物理的セキュリティ監視」におすすめのツール
2022年の規格改訂では、管理策に「物理的セキュリティ監視」が新たに追加されました。これは、主に情報を管理しているパソコンや設備といった、実体があるものに行うセキュリティ対策のことです。
代表的な対策として、入退室管理システム、サーバールームの施錠、防犯カメラの導入などが挙げられます。中でもおすすめのツールは防犯カメラです。24時間の見守りが可能で、セキュリティ対策の強化に役立ちます。
防犯カメラを設置する際におすすめなのが、セキュリティ技術の高い「Safie(セーフィー)」のクラウド型防犯カメラです。どういう特長があるのか見ていきましょう。
クラウド型防犯カメラ「Safie」の特長
Safieとは、カメラをインターネットにつなぐだけで、スマートフォンやパソコンから24時間いつでも映像を確認できるクラウド型防犯カメラです。映像は細かい文字までくっきり・テレビのようになめらか。夜間や暗闇の撮影に強いカメラを揃えています。
クラウドに保存されるお客様の録画データは最新の暗号化技術によって守られており、「データ伝送経路」「データ保存領域」「クライアントアプリ」の3つの領域において高いセキュリティを実現しています。
防犯用途を想定したAIモデル実装により、人だけを検知する「人検知」を標準搭載した「Safie One(セーフィーワン)」をはじめ、特長のある機能を搭載したカメラをラインナップ。「クラウド録画」「遠隔による映像確認」「高画質」の3つの点で、ISMSの物理的セキュリティ管理に適しているでしょう。
▼Safieのセキュリティについてはこちらのページをご覧ください。
導入事例
Safieのカメラを導入し、ISMS規格改訂の対応やセキュリティ体制の強化につながった事例を3つ紹介します。
ISMS規格改訂の対応でカメラ導入
AIを中心としたソフトウェア体験を社会実装する株式会社LayerXは、ISMS規格改訂への対応を目的にSafieを導入しました。
同社はISMS認証(JIS Q 27001:2023)取得済であるものの、規格改訂による要件の追加で、カメラや警備員の配置によるオフィスのセキュリティ管理が求められるようになりました。従来はビル全体の防犯カメラのみで、オフィス内のセキュリティ管理は十分ではなかったため、オフィス移転を機にクラウドカメラ導入を決定しました。
Safieの決め手は、「設置の容易さ」「視聴や管理のアプリの操作性の良さ」「コストバランスの良さ」でした。
Safie導入後、ISMS規格改訂の要件を満たし、映像で事実確認できるセキュリティ体制が整ったことは大きな効果とのこと。加えて、受付業務を映像と通話機能で効率化できていて遠隔受付も可能になり、リモートワークの実現など働き方の柔軟化にも成功した、と喜びの声を寄せています。
オフィスのセキュリティ強化
営業DXサービスの「Sansan」を提供するSansan株式会社では、オフィスのセキュリティ対策としてSafieを導入しました。
同社では執務エリアやクライアントの情報を扱うエリアはセキュリティエリアと定義づけ、すべてドアセキュリティシステムを導入しています。しかし、建物の構造上、セキュリティエリアのすぐそばまで外部の人が入れる間取りであるため、万が一の際に状況を確認できるツールがさらに必要だと考えました。そこで導入したのがSafieのカメラです。
主にインシデント発生時にクラウド録画映像を振り返るときに活用しており、モーション検知、サウンド検知といった検知機能を便利に感じているとのこと。導入により安心感が高まったと同時に、クライアントからの信頼性が向上したことが大きなメリットだったそうです。
ISMS認証を見据えたセキュリティ強化
会員制ICTサービスブランド「小江戸ファミリー」を展開する「株式会社エコーステーション」は、ISMS認証を見据えたオフィスのセキュリティ強化のため、Safieを導入しています。取得基準を満たす上で強固なセキュリティは不可欠であり、防犯カメラの導入を決めました。
同社にはブランド品の買取店を運営しているグループ会社があり、もともとこちらの店舗の防犯カメラにSafieを採用していました。画質の良さやビューアーの使いやすさに満足していたため、同社の新オフィスにも導入。カメラは死角ができないよう、オフィス全体に設置しました。
一緒に入退室管理のクラウド型顔認証サービスも導入し、顔認証サービスとカメラのかけ合わせによるセキュリティ体制により、ISMS認証取得のプロセスでも高評価をもらえた、と喜びの声を寄せています。
ISMSの改訂内容を把握して、早めの対応を
2022年のISMS(ISO27001)改訂では、管理策が再編され、11の新しい管理策が追加されました。すでに認証を取得している企業は、2025年10月31日までに移行審査を完了する必要があります。新規で認証を取得する企業も、新基準「ISO27001:2022」に基づいた対策が必要です。
中でも「物理的セキュリティ監視」は新たに追加された管理策であり、オフィスなどの安全管理が求められます。いくつかの対応策がありますが、おすすめはクラウド型防犯カメラの導入です。適用宣言書の改訂や社内ルールの見直しを進め、必要なセキュリティ対策を実施していきましょう。
- Safie対応 カメララインナップ紹介
- クラウド録画サービスSafieをご利用いただける人気カメラ5機種をご紹介しています。
※ セーフィーは「セーフィー データ憲章」に基づき、カメラの利用目的別通知の必要性から、設置事業者への依頼や運用整備を逐次行っております。
※当社は、本ウェブサイトの正確性、完全性、的確性、信頼性等につきまして細心の注意を払っておりますが、いかなる保証をするものではありません。そのため、当社は本ウェブサイトまたは本ウェブサイト掲載の情報の利用によって利用者等に何らかの損害が発生したとしても、かかる損害については一切の責任を負いません。
