ISO 27001:2022 vs 2013: 何が変わった?

新規格への移行を進める組織のための完全比較ガイド

ホーム ブログ 実装ガイド

📋 変更点の概要

ISO/IEC 27001:2022は2022年10月に発行され、2013年版に代わるものです。 ISO 27001:2013の認証を受けている組織は、2025年10月までに新規格への移行が必要です。移行戦略の計画には、変更点の理解が不可欠です。

主要な変更点のまとめ

  • 93の管理策(114から削減): 明確化と重複の削減のため統合
  • 4つのテーマ(14のドメインから): 組織的、人的、物理的、技術的
  • 10の新規管理策: 脅威インテリジェンス、クラウドセキュリティ、ICT準備状況をカバー
  • 24の管理策を統合: 重複する要件を統合
  • 58の管理策を更新: 文言と要件を明確化

🏗️ 新しい管理策の構造

14のドメインから4つのテーマへ

ISO 27001:2013では管理策が14のドメインに整理されていましたが、2022年版では4つのテーマに簡素化されています:

2022年版の構造(4つのテーマ)

  • 組織的管理策(37): 方針、役割、資産管理、人的セキュリティ、供給者管理
  • 人的管理策(8): スクリーニング、雇用条件、意識向上と教育訓練
  • 物理的管理策(14): セキュリティ領域、機器のセキュリティ、ユーティリティ、廃棄
  • 技術的管理策(34): 認証、暗号化、ネットワークセキュリティ、ログ記録

属性ベースの分類

2022年版では、各管理策に以下の属性が追加されています:

  • 管理策のタイプ: 予防的、発見的、または是正的
  • 情報セキュリティ特性: 機密性、完全性、可用性
  • サイバーセキュリティ概念: 識別、防御、検知、対応、復旧
  • 運用能力: ガバナンス、資産管理、保護など
  • セキュリティドメイン: ガバナンスとエコシステム、保護、防御、レジリエンス

✨ 2022年版の10の新規管理策

5.7 脅威インテリジェンス

組織は情報セキュリティに関連する脅威インテリジェンスを収集し分析する必要があります。これは成熟した組織が非公式に既に行っていることを正式化するものです。

実装: 脅威フィードの購読、セキュリティアドバイザリの監視、技術スタックに影響する脆弱性の追跡。

5.23 クラウドサービスの情報セキュリティ

クラウドサービスの安全な使用、取得、管理に関する明示的な要件。クラウド固有のリスクに対応。

実装: クラウドプロバイダーのセキュリティ評価、責任共有モデルの文書化、クラウド構成のレビュー。

5.30 事業継続のためのICT準備状況

ICTシステムが事業継続要件をサポートする準備ができていることを確保。レジリエンスへの焦点を強化。

実装: 災害復旧手順のテスト、バックアップ復元の検証、冗長性の確保。

8.9 構成管理

セキュリティに関連するシステムの文書化された構成管理が必要。構成のドリフトを防止。

実装: Infrastructure as Code、構成ベースライン、変更追跡。

8.10 情報の削除

不要になった情報を安全に削除することを確保。データ最小化をサポート。

実装: データ保持ポリシー、安全な削除手順、検証プロセス。

8.11 データのマスキング

適切な場合に機密データのマスキングを要求。プライバシーとテストのニーズをサポート。

実装: テストデータの匿名化、ログの編集、適切な場合のトークン化。

8.12 データ漏洩防止

データの流出と不正な開示の防止に対応。

実装: DLPツール、出力フィルタリング、USB制限、メール管理。

8.16 監視活動

ユーザーとシステムの活動を監視するための要件を正式化。

実装: SIEM、ログ集約、ユーザー行動分析。

8.23 Webフィルタリング

悪意のあるコンテンツへのアクセスを防ぐためのWebフィルタリングが必要。

実装: DNSフィルタリング、プロキシサーバー、URL分類。

8.28 セキュアコーディング

ソフトウェア開発におけるセキュアコーディング原則に関する明示的な要件。

実装: OWASPガイドライン、コードレビュー、SAST/DAST、セキュリティ教育。

🔄 認証組織のための移行ガイド

移行スケジュール

期限:2025年10月

  • 2022年10月: ISO 27001:2022発行
  • 2023年10月: 1年間の猶予期間終了(新規監査は2022年版を使用)
  • 2025年10月: 3年間の移行期間終了(すべての証明書が2022年版に準拠する必要)

移行ステップ

  1. ギャップ分析: 現在の管理策を2022年版附属書Aと比較
  2. 適用宣言書の更新: 2013年版の管理策を2022年版の対応するものにマッピング
  3. 新規管理策の実装: 10の新要件に対応
  4. 文書の更新: 2022年版規格を参照するようポリシーを改訂
  5. 内部監査: 新要件への準拠を検証
  6. 移行監査: 認証機関が2022年版への準拠を評価

一般的な移行課題

  • クラウドセキュリティ管理策では新しいベンダー評価が必要になる場合があります
  • 脅威インテリジェンスには継続的な購読/プロセスが必要です
  • 構成管理には自動化が必要です
  • データ漏洩防止には新しいツールが必要になる場合があります

💡 日本企業のための実践的アドバイス

多くの組織が既に持っているもの

良いニュース:多くの「新規」管理策は既存のベストプラクティスを正式化するものです:

  • 脅威インテリジェンス → CVEとセキュリティニュースの監視を既に実施
  • クラウドセキュリティ → AWS/Azureを一定のセキュリティで既に使用
  • 構成管理 → Infrastructure as Codeが既に導入済み
  • 監視 → SIEMまたはログ集約が既に導入済み

作業が必要なもの

通常、新規実装が必要な管理策:

  • 正式な脅威インテリジェンスプロセス(単なるアドホックな監視ではない)
  • 文書化されたクラウドセキュリティ評価(単なるクラウドサービスの使用ではない)
  • データ漏洩防止(DLPツールが必要な場合がある)
  • セキュアコーディング標準(正式化されたSDLCセキュリティ)

コストへの影響

2013年版の認証を既に受けている日本企業の場合:

  • 内部作業: ギャップ分析、文書更新、実装に40~80時間
  • 移行監査: ¥300,000~¥750,000(サーベイランス監査と組み合わせることが多い)
  • 新規ツール: DLPまたは監視のギャップがある場合、¥150,000~¥450,000

移行サポートが必要ですか? Hack23に問い合わせる 日本企業に合わせたギャップ評価と移行計画のため。

📚 リソース