ISO/IEC27001:2022附属書A新管理策「5.7脅威インテリジェンス」解説

管理策「5.7 脅威インテリジェンス」内容

脅威の情報を収集分析することで、リスクを認識し、そのリスクに適切に対応するための管理策です。

「脅威」とは、情報資産の特性（少なくとも「機密性」「完全性」「可用性」）を侵害する（損なう）可能性のある事象を指します。具体的には、「フィッシングメール」等の人為的な脅威や「地震」等の環境的な脅威を挙げることができます。なお、脅威と脆弱性を混同してしまいがちですが、脆弱性は脅威に対する耐性、対策の程度を意味します。また、リスクとは、脅威が脆弱性を突いて情報資産の特性（上記の機密性等）に影響を及ぼす可能性を指します。したがって、リスクとは脅威を適宜、実態に沿って収集分析することで想定が容易となり、また、適切な対策を採りやすくなります。

例えば、世の中でフィッシングメールの被害が拡大していることを知れば、それに伴うリスク（例えば、パスワードを抜かれて社内ネットワークに侵入され、情報をもっていかれる等）に思い当たる可能性が高くなります。また、フィッシングメールの手口を分析すれば、その対応（例えば、無警戒だった従業者に手口を説明して注意を促す等）が実態に則したものとなります。

本管理策の実装の際には、次のような事項を検討しましょう。

1. 1．脅威情報を収集する
2. 2．収集した脅威情報を分析し、利用することができるようにする（データベースにする等）
3. 3．分析した脅威情報をリスク分析のインプットとし、リスク分析の結果に適切に対応する

なお、収集や分析を必ずしも自組織で実施する必要は無く、専門組織から取得したり、支援を受けたりすることも選択肢となります。具体的には、「誰が」「どのようなタイミングで」「どのように」情報を収集し、分析し、周知し、脅威の防止等に繋げるのかをルール化、手順化するといった対応が想定されます。

管理策の実装例

• IPA等の専門機関からの情報取得（サイトを閲覧する、メルマガ登録をする、セミナーに参加する、専門家とサポート契約を結ぶ等）
• 取得した情報の分析
• リスクアセスメントへの分析結果インプット
• 取得した情報の周知
• 自社で発見した脅威情報の外部（専門機関等）への提供　など