2022年度 ISMS サーベイランス審査を通過しました

2023.05.03

こんにちは、じんないです。

弊社は2016年より ISO 27001 ISMS (情報セキュリティマネジメントシステム) の認証を取得しています。

今年度は情報セキュリティ委員会のメンバーも増員し、活動がより活発になってきました。

2023年3月にサーベイランス審査があり、今回で7回目を迎えます。今回の審査も無事通過しました。

審査の中で重要だなと感じたトピックについて、一部紹介できればと思います。

特権的アクセス権の管理について

ISO 27001:2013 の附属書A (管理目的および管理策) に特権的なアクセス権の管理について以下のように定められています。

■ A.9.2.3 特権的アクセス権の管理

特権的アクセス権の割当て及び利用は、制限し、管理しなければならない。

弊社の管理策では特権的なアクセス権の中に、特権的な管理コンソールの制限 を規定しています。

また、その具体例として以下のコンソールを定義しています。

今回の審査では、「Amazon Web Services (AWS) や VMware vSphere Client なども定義すべきではないか」との指摘をいただきました。

たしかに、AWS 上で EC2 インスタンスを起動していたり、VMware 上で仮想マシンを稼働させており、これらは特権的な管理コンソールと言えます。

指摘いただいた内容を含めて再度対象の管理コンソールを見直すことにしました。

ちょうど今年度、この管理策を見直したところなのですが、漏れがあるものですね。よい勉強になりました。

余談ですが、この「特権的アクセス権の管理」は ISO/IEC 27017（クラウドサービスセキュリティ） でも重要視されているようです。

弊社は IT 系の会社ということもあって、ネットワーク図というと論理図や物理図といった技術なものを想像してしまいます。

また、論理的な境界も ONU (回線終端装置) 以降の内側 (LAN) を気にし、外側 (WAN) を意識することはあまりありません。

ISMS においては守るべき情報資産がどこにあるのか、論理的な境界およびデータの保管場所として社内外の環境も記載しておくことが望ましいです。

たとえば、AWS 上の EC2 インスタンスやデータベース、バックアップ等のデータがどのリージョンにあるのかも、このネットワーク図に記載しておくことが大切です。

プログラムのソースコードや設計書類も情報資産であるのならば、その保管場所として GitHub や Google ドライブなども記載しておきましょう。

社内、社外にとらわれず、情報資産の場所をベースに作成することが大切だなと感じました。

2022年10月25日に情報セキュリティマネジメントシステム ISO 27001 が改訂されました。

改訂内容の説明は割愛しますが、2025年10月31日までに新しいバージョンで審査を受ける必要があります。

弊社では以下のように附属書 A に対応する管理策を各種規程に定めています。

2022年版は大部分が管理策 (附属書A) の改訂のようで、これら各種規程の見直しが必要になりそうです。附属書 A との対応付けも各規程に分散しているので、少し手がかかりそうです。

JIS 版の改訂は少し先（ Web 上の情報では 2023年の春ごろ？）のようですので、改訂が行われたらどのような差分があるのか確認しようと思います。

また、項目の差分がなくても 「○○ しなければならない」という記載の「○○」部分が変更になっていないかも要注意です。

認証機関によってはセミナーや研修が行われているようですので、これらを活用するのも1つですね。

弊社では今年度中の対応を計画していますので、活動内容などを発信できればと考えています。