公開:

ISO/IEC27001:2022附属書A新管理策「5.7脅威インテリジェンス」解説

情報セキュリティマネジメントシステム(ISMS)の要求事項であるISO/IEC27001の改訂版が、2022年版として2022年10月25日に発行されました。また、JIS版が、JIS Q 27001:2023として2023年9月20日に発行されました。

このコラムでは、新規格であるJIS Q 27001:2023(ISO/IEC27001:2022)への改訂にあたり新たに設けられた管理策を順次解説します。

1回目のテーマは、「5.7脅威インテリジェンス」の解説です。

※以降、JISに合わせて新版を「2023年版」、旧版を「2014年版」とします。

「5.7 脅威インテリジェンス」内容

脅威の情報を収集分析することで、リスクを認識し、そのリスクに適切に対応するための管理策です。

「脅威」とは、情報資産の特性(少なくとも「機密性」「完全性」「可用性」)を侵害する(損なう)可能性のある事象を指します。具体的には、「フィッシングメール」等の人為的な脅威や「地震」等の環境的な脅威を挙げることができます。なお、脅威と脆弱性を混同してしまいがちですが、脆弱性は脅威に対する耐性、対策の程度を意味します。また、リスクとは、脅威が脆弱性を突いて情報資産の特性(上記の機密性等)に影響を及ぼす可能性を指します。したがって、リスクとは脅威を適宜、実態に沿って収集分析することで想定が容易となり、また、適切な対策を採りやすくなります。

例えば、世の中でフィッシングメールの被害が拡大していることを知れば、それに伴うリスク(例えば、パスワードを抜かれて社内ネットワークに侵入され、情報をもっていかれる等)に思い当たる可能性が高くなります。また、フィッシングメールの手口を分析すれば、その対応(例えば、無警戒だった従業者に手口を説明して注意を促す等)が実態に則したものとなります。

本管理策の実装の際には、次のような事項を検討しましょう。

  1. 1.脅威情報を収集する
  2. 2.収集した脅威情報を分析し、利用することができるようにする(データベースにする等)
  3. 3.分析した脅威情報をリスク分析のインプットとし、リスク分析の結果に適切に対応する

なお、収集や分析を必ずしも自組織で実施する必要は無く、専門組織から取得したり、支援を受けたりすることも選択肢となります。具体的には、「誰が」「どのようなタイミングで」「どのように」情報を収集し、分析し、周知し、脅威の防止等に繋げるのかをルール化、手順化するといった対応が想定されます。

実装例

  • IPA等の専門機関からの情報取得(サイトを閲覧する、メルマガ登録をする、セミナーに参加する、専門家とサポート契約を結ぶ等)
  • 取得した情報の分析
  • リスクアセスメントへの分析結果インプット
  • 取得した情報の周知
  • 自社で発見した脅威情報の外部(専門機関等)への提供 など

次回は、「5.23クラウドサービスの利用における情報セキュリティ」を解説します。

一覧へ

まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください

受付時間:平日 9:00~18:00