管理策一覧(Annex A)
ISO/IEC 27001:2022の附属書Aに規定される93の管理策について解説します。
これらの管理策は、ISO/IEC 27002:2022に基づき、以下の4つのテーマに分類されています。
| テーマ | 管理策数 | 範囲 |
|---|---|---|
| 組織的管理策 | 37 | 5.1〜5.37 |
| 人的管理策 | 8 | 6.1〜6.8 |
| 物理的管理策 | 14 | 7.1〜7.14 |
| 技術的管理策 | 34 | 8.1〜8.34 |
管理策の属性
各管理策には以下の5つの属性が付与されています。これらを活用することで、異なる視点から管理策を整理・フィルタリングできます。
| 属性 | 値 |
|---|---|
| 管理策タイプ | 予防的(Preventive)、検知的(Detective)、是正的(Corrective) |
| 情報セキュリティ特性 | 機密性(C)、完全性(I)、可用性(A) |
| サイバーセキュリティ概念 | 識別、防御、検知、対応、復旧 |
| 運用能力 | ガバナンス、資産管理、情報保護、人的セキュリティ、物理的セキュリティ、等15種 |
| セキュリティドメイン | ガバナンスとエコシステム、保護、防御、レジリエンス |
5. 組織的管理策
組織的管理策は、情報セキュリティの方針、役割、プロセスなど、組織全体に関わる管理策です。
5.1 情報セキュリティのための方針群
関連テンプレート: 情報セキュリティ方針 - 2. 方針本文
概要: 情報セキュリティ方針および個別方針を定義し、経営層の承認を得て、関係者に周知します。
実施のポイント:
- トップマネジメントが承認した情報セキュリティ方針を策定する
- 事業要件や法規制を考慮した内容とする
- 定期的および重大な変更時にレビューする
- 従業員および関連する利害関係者に周知・確認させる
属性: 予防的 | C・I・A | 識別 | ガバナンス
5.2 情報セキュリティの役割と責任
関連テンプレート: ISMSマニュアル - 5. リーダーシップ
概要: 情報セキュリティに関する役割と責任を定義し、組織のニーズに応じて割り当てます。
実施のポイント:
- セキュリティに関する具体的な役割・責任を明確化する
- 資産の保護責任、セキュリティプロセスの実行責任を割り当てる
- 役割と責任を文書化し、関係者に伝達する
- 必要に応じて専門家やアドバイザーを指定する
属性: 予防的 | C・I・A | 識別 | ガバナンス
5.3 職務の分離
関連テンプレート: アクセス制御方針 - 3.2 職務分離
概要: 相反する職務および責任範囲は、不正や誤りのリスクを低減するために分離します。
実施のポイント:
- 承認、実行、検証などの機能を分離する
- 同一人物が複数の重要な役割を兼務しないよう設計する
- 小規模組織では、代替的な管理策(監視強化、監査証跡等)を検討する
- 特権アクセスの付与と使用を分離する
属性: 予防的 | C・I・A | 防御 | ガバナンス、アイデンティティ・アクセス管理
5.4 経営陣の責任
関連テンプレート: ISMSマニュアル - 5. リーダーシップ
概要: 経営陣は、すべての要員が情報セキュリティ方針および手順に従うことを要求します。
実施のポイント:
- 経営陣自らがセキュリティへのコミットメントを示す
- セキュリティ教育・訓練のためのリソースを確保する
- 方針違反への対応プロセスを確立する
- 継続的なセキュリティ意識向上を支援する
属性: 予防的 | C・I・A | 識別 | ガバナンス
5.5 関係当局との連絡
関連テンプレート: 関係当局との連絡
概要: 関連する当局(規制機関、法執行機関等)との連絡体制を確立し、維持します。
実施のポイント:
- 連絡すべき当局のリストを作成・維持する
- インシデント発生時の連絡手順を定める
- 法的要件に基づく報告義務を把握する
- 定期的な情報交換の機会を設ける
属性: 予防的・是正的 | C・I・A | 識別・防御・対応・復旧 | ガバナンス
関連: 関係当局との連絡詳細
5.6 専門組織との連絡
関連テンプレート: 専門組織との連絡
概要: セキュリティに関する専門組織やフォーラム、業界団体との連絡体制を確立します。
実施のポイント:
- ISACや業界セキュリティ団体への参加を検討する
- 脅威情報や脆弱性情報の共有ネットワークに参加する
- セキュリティカンファレンスや勉強会への参加を奨励する
- 得られた情報を組織内で活用する仕組みを構築する
属性: 予防的・是正的 | C・I・A | 防御・対応・復旧 | ガバナンス
関連: 専門組織との連絡詳細
5.7 脅威インテリジェンス
関連テンプレート: 脅威インテリジェンス
概要: 情報セキュリティの脅威に関する情報を収集・分析し、脅威インテリジェンスを生成します。
実施のポイント:
- 脅威情報の収集源を特定する(ベンダー、ISAC、公開情報等)
- 収集した情報を分析し、自組織への影響を評価する
- 戦略的、戦術的、運用的レベルで脅威情報を活用する
- 脅威情報に基づいて管理策を調整する
属性: 予防的・検知的・是正的 | C・I・A | 識別・検知・対応 | 脅威・脆弱性管理
関連: 脅威インテリジェンス詳細(2022年版で新規追加)
5.8 プロジェクトマネジメントにおける情報セキュリティ
関連テンプレート: プロジェクトマネジメントにおける情報セキュリティ
概要: 情報セキュリティをプロジェクトマネジメントに統合します。
実施のポイント:
- プロジェクト計画段階からセキュリティ要件を考慮する
- プロジェクトの種類を問わず(IT、非IT)セキュリティを組み込む
- セキュリティリスクアセスメントをプロジェクトプロセスに含める
- プロジェクトのマイルストーンでセキュリティレビューを実施する
属性: 予防的 | C・I・A | 識別・防御 | ガバナンス
関連: プロジェクトマネジメント詳細
5.9 情報およびその他の関連資産の目録
関連テンプレート: 情報資産台帳 - 4. 情報資産一覧
概要: 情報およびその他の関連資産の目録を作成し、所有者を含めて維持管理します。
実施のポイント:
- 資産を特定し、目録を作成する
- 各資産に管理責任者(オーナー)を割り当てる
- 資産のライフサイクルを通じて目録を維持・更新する
- 資産の重要度を評価し、分類する
属性: 予防的 | C・I・A | 識別 | 資産管理
5.10 情報およびその他の関連資産の利用の許容範囲
関連テンプレート: 情報の許容される利用方針 - 3. 利用規則、従業員向けセキュリティガイドライン
概要: 情報およびその他の関連資産の利用許容範囲に関する規則と取扱手順を定めます。
実施のポイント:
- 許容される利用と禁止される利用を明確にする
- 私的利用に関するポリシーを定める
- 資産の取扱い、保管、廃棄の手順を確立する
- 規則への同意を従業員から取得する
属性: 予防的 | C・I・A | 防御 | 資産管理、情報保護
5.11 資産の返却
関連テンプレート: 従業員向けセキュリティガイドライン - 6. 退職・異動時の義務
概要: 要員および利害関係者は、雇用・契約の変更または終了時に、保有する組織資産を返却します。
実施のポイント:
- 退職・異動プロセスに資産返却を組み込む
- 返却すべき資産のチェックリストを作成する
- 返却確認の記録を維持する
- 返却されない場合の対応手順を定める
属性: 予防的 | C・I・A | 防御 | 資産管理
5.12 情報の分類
関連テンプレート: 情報の許容される利用方針 - 3. 許容される利用、従業員向けセキュリティガイドライン - 4.1 情報の取扱い
概要: 情報は、組織の情報セキュリティニーズに基づいて分類します。
実施のポイント:
- 分類体系(機密、社外秘、公開等)を定義する
- 機密性、完全性、可用性の観点から分類基準を設定する
- 情報オーナーが分類を実施する責任を負う
- 分類は定期的にレビューし、必要に応じて見直す
属性: 予防的 | C・I・A | 識別 | 情報保護
5.13 情報のラベル付け
関連テンプレート: 情報の許容される利用方針 - 3. 許容される利用、従業員向けセキュリティガイドライン - 4.1 情報の取扱い
概要: 組織が採用した情報分類体系に従い、適切なラベル付け手順を策定・実施します。
実施のポイント:
- 物理的・電子的な情報へのラベル付け方法を定める
- ラベルの形式(ヘッダー、フッター、メタデータ等)を標準化する
- 外部関係者との情報交換時のラベル対応を定める
- ラベル付けの教育・訓練を実施する
属性: 予防的 | C・I・A | 防御 | 情報保護
5.14 情報転送
関連テンプレート: 情報の許容される利用方針 - 3.4 電子メール利用、従業員向けセキュリティガイドライン - 4.1 情報の取扱い
概要: あらゆる種類の転送設備における情報転送のルール、手順、または合意事項を整備します。
実施のポイント:
- 情報転送に関する方針を策定する
- 転送方法ごとの保護要件を定める
- 外部との情報転送に関する合意を締結する
- 電子メッセージング、クラウドサービス等の利用ルールを定める
属性: 予防的 | C・I・A | 防御 | 資産管理、情報保護
5.15 アクセス制御
関連テンプレート: アクセス制御方針 - 3. アクセス制御規則
概要: 情報およびその他の関連資産への物理的・論理的アクセスを制御するルールを確立します。
実施のポイント:
- アクセス制御方針を策定する
- 業務上の必要性に基づいてアクセス権を付与する(Need to Know原則)
- アクセス権の付与、変更、削除のプロセスを確立する
- 定期的なアクセス権レビューを実施する
属性: 予防的 | C・I・A | 防御 | アイデンティティ・アクセス管理
5.16 アイデンティティ管理
関連テンプレート: アクセス制御方針 - 4.1 利用者登録
概要: アイデンティティのライフサイクル全体を管理します。
実施のポイント:
- 一意のユーザーIDを付与する
- 共有IDの使用を制限または禁止する
- アイデンティティの登録、変更、削除プロセスを確立する
- サービスアカウントやシステムアカウントも管理対象に含める
属性: 予防的 | C・I・A | 防御 | アイデンティティ・アクセス管理
5.17 認証情報
概要: 認証情報(パスワード等)の割当てと管理を、適切なプロセスで制御します。
実施のポイント:
- パスワードポリシー(複雑性、有効期限等)を定める
- 初期パスワードの安全な配布と変更を徹底する
- 多要素認証の導入を検討する
- パスワードの安全な保管と送信を確保する
属性: 予防的 | C・I・A | 防御 | アイデンティティ・アクセス管理
5.18 アクセス権
関連テンプレート: アクセス制御方針 - 4. アクセス制御要件
概要: アクセス権は、アクセス制御方針に従って付与、レビュー、変更、削除します。
実施のポイント:
- アクセス権付与の承認プロセスを確立する
- 役割の変更や退職時に速やかにアクセス権を変更・削除する
- 定期的(年次等)なアクセス権レビューを実施する
- 特権アクセス権は特に厳格に管理する
属性: 予防的 | C・I・A | 防御 | アイデンティティ・アクセス管理
5.19 供給者関係における情報セキュリティ
関連テンプレート: サプライヤー管理方針 - 3. セキュリティ要件
概要: 供給者との関係に伴うリスクを軽減するための方針と手順を定義します。
実施のポイント:
- 供給者のセキュリティ要件を明確にする
- 供給者の選定基準にセキュリティを含める
- 供給者のリスクを評価し、管理する
- 供給者との契約にセキュリティ条項を含める
属性: 予防的 | C・I・A | 識別 | 供給者関係セキュリティ
5.20 供給者との合意における情報セキュリティの取扱い
関連テンプレート: サプライヤー管理方針 - 4. 契約要件
概要: 各供給者との合意において、関連するセキュリティ要件を確立し、合意します。
実施のポイント:
- 契約書にセキュリティ要件を明記する
- 責任範囲、インシデント報告、監査権等を規定する
- データ保護、アクセス制御の要件を定める
- 契約終了時のデータ返却・破棄を規定する
属性: 予防的 | C・I・A | 識別 | 供給者関係セキュリティ
5.21 ICTサプライチェーンにおける情報セキュリティの管理
関連テンプレート: サプライヤー管理方針 - 3. セキュリティ要件
概要: ICT製品・サービスのサプライチェーンに関連するリスクを管理するプロセスと手順を定義します。
実施のポイント:
- サプライチェーン全体のリスクを評価する
- 供給者のセキュリティ慣行を確認する
- ソフトウェア・ハードウェアの完全性を検証する
- サプライチェーン攻撃への対策を講じる
属性: 予防的 | C・I・A | 識別 | 供給者関係セキュリティ
5.22 供給者のサービス提供の監視、レビューおよび変更管理
関連テンプレート: サプライヤー管理方針 - 5. 監視・レビュー
概要: 供給者の情報セキュリティ慣行とサービス提供を定期的に監視、レビュー、評価、管理します。
実施のポイント:
- サービスレベルの達成状況をモニタリングする
- 供給者のセキュリティパフォーマンスを定期的にレビューする
- 供給者のサービス変更を管理する
- セキュリティインシデントへの対応を確認する
属性: 予防的 | C・I・A | 識別 | 供給者関係セキュリティ
5.23 クラウドサービス利用のための情報セキュリティ
関連テンプレート: サプライヤー管理方針、クラウドサービスの利用における情報セキュリティ
概要: クラウドサービスの取得、利用、管理、終了に関するセキュリティプロセスを確立します。
実施のポイント:
- クラウドサービス利用方針を策定する
- クラウドサービスプロバイダーの選定基準を設ける
- 責任共有モデルを理解し、自社の責任範囲を管理する
- データの所在地、可搬性、削除を考慮する
- クラウドサービスの監視と出口戦略を計画する
属性: 予防的 | C・I・A | 防御 | 供給者関係セキュリティ
関連: クラウドサービスセキュリティ詳細(2022年版で新規追加)
5.24 情報セキュリティインシデント管理の計画および準備
関連テンプレート:
概要: 情報セキュリティインシデントの管理に関する計画を立て、準備を行います。
実施のポイント:
- インシデント対応計画を策定する
- インシデント対応チーム(CSIRT等)の役割と責任を定める
- インシデント対応手順を文書化する
- 定期的な訓練・演習を実施する
属性: 是正的 | C・I・A | 対応・復旧 | インシデント管理
関連: インシデント管理詳細
5.25 情報セキュリティ事象の評価および決定
関連テンプレート: インシデント対応手順 - 4. 分類と優先度
概要: 情報セキュリティ事象を評価し、インシデントとして分類するかどうかを決定します。
実施のポイント:
- 事象の分類・優先度付け基準を定める
- エスカレーション手順を確立する
- 初動対応の判断基準を明確にする
- 記録と追跡の仕組みを整備する
属性: 検知的 | C・I・A | 検知・対応 | インシデント管理
5.26 情報セキュリティインシデントへの対応
関連テンプレート:
概要: 情報セキュリティインシデントに、文書化された手順に従って対応します。
実施のポイント:
- 封じ込め、根絶、復旧の手順を定める
- コミュニケーション計画を策定する
- 必要に応じて外部専門家や当局と連携する
- インシデント対応記録を維持する
属性: 是正的 | C・I・A | 対応 | インシデント管理
5.27 情報セキュリティインシデントからの学習
関連テンプレート:
概要: インシデントから得られた知識を活用し、管理策の強化・改善に役立てます。
実施のポイント:
- インシデントの根本原因分析を実施する
- 再発防止策を立案・実施する
- 得られた教訓を組織内で共有する
- 管理策やプロセスの改善に反映する
属性: 予防的 | C・I・A | 識別・防御 | インシデント管理
5.28 証拠の収集
関連テンプレート: インシデント報告書 - 6. 証拠・ログ
概要: 情報セキュリティ事象に関する証拠の特定、収集、取得、保全のための手順を確立します。
実施のポイント:
- 証拠収集の手順を文書化する
- デジタルフォレンジックの基本原則を理解する
- 証拠の完全性を維持する(チェーン・オブ・カストディ)
- 法的な証拠能力を考慮する
属性: 是正的 | C・I・A | 検知・対応 | インシデント管理
5.29 事業の中断・阻害時の情報セキュリティ
関連テンプレート: 事業継続計画 - 5. 継続戦略
概要: 事業継続における情報セキュリティの維持方法を計画します。
実施のポイント:
- 事業継続計画に情報セキュリティを組み込む
- 中断時のセキュリティレベル維持方法を定める
- 代替サイトやシステムのセキュリティを確保する
- 復旧時のセキュリティ検証手順を定める
属性: 予防的・是正的 | C・I・A | 防御・対応 | 継続性
5.30 事業継続のためのICTの備え
関連テンプレート: 事業継続計画 - 6. ICT継続計画
概要: 事業継続目標とICT継続要件に基づいて、ICTの備えを計画、実施、維持、テストします。
実施のポイント:
- ビジネスインパクト分析(BIA)を実施する
- RTO(目標復旧時間)、RPO(目標復旧時点)を定める
- ICT継続計画を策定・維持する
- 定期的なテストと訓練を実施する
属性: 是正的 | A | 対応 | 継続性
関連: ICT継続詳細(2022年版で新規追加)
5.31 法令、規制および契約上の要求事項
関連テンプレート: 法的・規制要求事項一覧 - 3. 要求事項一覧
概要: 情報セキュリティに関する法令、規制、契約上の要求事項を特定し、文書化し、最新の状態に保ちます。
実施のポイント:
- 適用される法令・規制を特定する
- 契約上のセキュリティ要件を把握する
- コンプライアンス要件の変更を追跡する
- 要求事項への適合状況を評価する
属性: 予防的 | C・I・A | 識別 | 法令遵守
5.32 知的財産権
関連テンプレート: 法的・規制要求事項一覧 - 3. 要求事項一覧
概要: 知的財産権を保護するための適切な手順を実施します。
実施のポイント:
- ソフトウェアライセンスの管理手順を確立する
- 著作権保護対象資料の利用ルールを定める
- 独自開発物の知的財産権を明確にする
- オープンソースソフトウェアの利用方針を定める
属性: 予防的 | C・I・A | 識別 | 法令遵守
5.33 記録の保護
関連テンプレート: ISMSマニュアル - 7. 支援、記録の保護
概要: 記録を紛失、破壊、改ざん、不正アクセス、不正な公開から保護します。
実施のポイント:
- 記録の保管期間を法令要件に基づいて定める
- 記録の分類と保護レベルを決定する
- 記録の完全性を保護する仕組みを導入する
- 記録の廃棄手順を確立する
属性: 予防的 | C・I・A | 識別・防御 | 法令遵守、資産管理、情報保護
関連: 記録の保護詳細
5.34 プライバシーおよびPIIの保護
関連テンプレート: 法的・規制要求事項一覧 - 3. 要求事項一覧
概要: 適用される法令・規制および契約上の要求事項に従って、プライバシーとPII(個人識別情報)を保護します。
実施のポイント:
- プライバシー保護方針を策定する
- 個人情報の取得、利用、保管、廃棄の手順を確立する
- プライバシー影響評価(PIA)を実施する
- データ主体の権利に対応する仕組みを整備する
属性: 予防的 | C・I・A | 識別・防御 | 情報保護、法令遵守
5.35 情報セキュリティの独立したレビュー
関連テンプレート:
概要: 情報セキュリティへの取組みを、計画した間隔で、または重大な変更時に、独立してレビューします。
実施のポイント:
- 定期的な独立レビュー(内部監査、外部監査)を計画する
- レビュー範囲に方針、プロセス、技術的管理策を含める
- レビュー結果を経営陣に報告する
- 特定された問題の是正を追跡する
属性: 予防的・是正的 | C・I・A | 識別・防御 | 情報セキュリティ保証
5.36 情報セキュリティのための方針群、規則および標準の順守
関連テンプレート: 監視・測定記録 - 3. 監視・測定項目
概要: 情報セキュリティ方針、個別方針、規則、標準への順守状況を定期的にレビューします。
実施のポイント:
- 順守状況の確認方法を定める(自己評価、マネージャレビュー等)
- 定期的な順守レビューを実施する
- 不順守事項を特定し、是正措置を講じる
- 順守状況を記録・報告する
属性: 予防的 | C・I・A | 識別・防御 | 法令遵守、情報セキュリティ保証
5.37 操作手順書
関連テンプレート: ISMSマニュアル - 7. 支援、文書化した運用手順
概要: 情報処理設備の操作手順を文書化し、必要な要員が利用できるようにします。
実施のポイント:
- 操作手順を文書化し、最新の状態に維持する
- 手順書を必要な要員が容易にアクセスできるようにする
- 変更管理プロセスに手順書の更新を含める
- 手順書の定期的なレビューを実施する
属性: 予防的・是正的 | C・I・A | 防御・復旧 | 資産管理、物理的セキュリティ、システム・ネットワークセキュリティ等
関連: 操作手順書詳細
6. 人的管理策
人的管理策は、組織で働く人々に関連するセキュリティ管理策です。
6.1 選考
関連テンプレート: 選考
概要: 採用候補者のバックグラウンド確認を、入社前および継続的に実施します。
実施のポイント:
- 経歴確認、資格確認、身元確認を実施する
- 確認の範囲は業務要件やアクセスする情報の機密性に応じて決定する
- 適用法令や倫理的配慮を遵守する
- 継続雇用時も定期的な確認を検討する
属性: 予防的 | C・I・A | 防御 | 人的セキュリティ
関連: 選考詳細
6.2 雇用条件
関連テンプレート: 従業員向けセキュリティガイドライン - 3.3 利用規約への同意
概要: 雇用契約において、要員と組織双方の情報セキュリティに関する責任を明記します。
実施のポイント:
- 雇用契約にセキュリティ責任を明記する
- 秘密保持義務を含める
- 契約終了後も継続する義務を明確にする
- セキュリティ方針への同意を取得する
属性: 予防的 | C・I・A | 防御 | 人的セキュリティ
6.3 情報セキュリティの意識向上、教育および訓練
関連テンプレート: 教育訓練記録 - 4. 教育訓練実施記録、従業員向けセキュリティガイドライン - 3.2 セキュリティ教育の受講
概要: 組織の要員および関連する利害関係者に対し、適切なセキュリティ意識向上、教育、訓練を実施します。
実施のポイント:
- 役割に応じた教育プログラムを策定する
- 新入社員向けのセキュリティ研修を実施する
- 定期的な意識向上活動(フィッシング訓練等)を実施する
- 教育効果を測定し、プログラムを改善する
属性: 予防的 | C・I・A | 防御 | 人的セキュリティ
6.4 懲戒手続
関連テンプレート: 是正処置手順 - 3. 実施手順
概要: 情報セキュリティ方針違反に対する懲戒手続を確立し、周知します。
実施のポイント:
- 懲戒手続を正式に文書化する
- 違反の種類と対応する処分を明確にする
- 手続を従業員に周知する
- 公平で一貫した適用を確保する
属性: 予防的・是正的 | C・I・A | 防御・対応 | 人的セキュリティ
6.5 雇用の終了または変更後の責任
関連テンプレート: 従業員向けセキュリティガイドライン - 6. 退職・異動時の義務
概要: 雇用の終了または変更後も有効なセキュリティ上の責任と義務を定義し、関係者に伝達します。
実施のポイント:
- 退職・異動時の手続を確立する
- 継続する秘密保持義務を明確にする
- 知識移転の手順を定める
- 競業避止や知的財産に関する義務を明確にする
属性: 予防的 | C・I・A | 防御 | 人的セキュリティ、資産管理
6.6 秘密保持契約または守秘義務契約
関連テンプレート: 従業員向けセキュリティガイドライン - 3.1 秘密保持義務
概要: 情報保護に対する組織のニーズを反映した秘密保持契約を特定し、文書化し、定期的にレビューします。
実施のポイント:
- 秘密保持契約のテンプレートを整備する
- 従業員、契約者、取引先との契約に含める
- 契約内容を定期的にレビューする
- 契約違反時の対応を明確にする
属性: 予防的 | C | 防御 | 人的セキュリティ、情報保護、供給者関係
6.7 リモートワーク
関連テンプレート: 情報の許容される利用方針 - 3. 許容される利用、従業員向けセキュリティガイドライン - 4.5 リモートワーク
概要: リモートワーク時に、組織施設外でアクセス、処理、保存される情報を保護するセキュリティ対策を実施します。
実施のポイント:
- リモートワークポリシーを策定する
- 安全な接続方法(VPN等)を提供する
- 物理的なセキュリティ要件を定める
- 機器の保護と紛失時の対応を定める
属性: 予防的 | C・I・A | 防御 | 資産管理、情報保護、物理的セキュリティ、システム・ネットワークセキュリティ
6.8 情報セキュリティ事象の報告
関連テンプレート: インシデント対応手順 - 3. 対応フロー、従業員向けセキュリティガイドライン - 5. セキュリティ事象の報告
概要: 要員が、観察または疑いのある情報セキュリティ事象を適切なチャネルを通じて速やかに報告できる仕組みを提供します。
実施のポイント:
- 報告窓口と報告手順を明確にする
- 報告を奨励し、報復を禁止する文化を醸成する
- 報告の受付と初期対応の仕組みを整備する
- 匿名報告の選択肢を検討する
属性: 検知的 | C・I・A | 検知 | インシデント管理
7. 物理的管理策
物理的管理策は、物理的な物体やエリアに関連するセキュリティ管理策です。
7.1 物理的セキュリティ境界
関連テンプレート: 物理的セキュリティ境界
概要: 情報およびその他の関連資産を含むエリアを保護するため、セキュリティ境界を定義し、使用します。
実施のポイント:
- セキュリティゾーン(境界)を定義する
- 境界の物理的な堅牢性を確保する
- 侵入検知システムを導入する
- 境界の定期的な点検を実施する
属性: 予防的 | C・I・A | 防御 | 物理的セキュリティ
関連: 物理的セキュリティ境界詳細
7.2 物理的入退
関連テンプレート: 物理的入退
概要: セキュアエリアは、適切な入退管理策とアクセスポイントによって保護します。
実施のポイント:
- 入退管理システム(カード、生体認証等)を導入する
- 入退記録を維持する
- 訪問者の管理手順を確立する
- 搬入・搬出エリアを管理する
属性: 予防的 | C・I・A | 防御 | 物理的セキュリティ、アイデンティティ・アクセス管理
関連: 物理的入退詳細
7.3 オフィス、部屋および施設のセキュリティ
関連テンプレート: オフィス、部屋及び施設のセキュリティ
概要: オフィス、部屋、施設の物理的セキュリティを設計し、実装します。
実施のポイント:
- 重要な施設の所在を目立たなくする
- 機密情報の取扱いエリアを適切に設計する
- 物理的な保護対策(施錠、監視等)を実施する
- 盗聴・覗き見対策を講じる
属性: 予防的 | C・I・A | 防御 | 物理的セキュリティ、資産管理
関連: オフィス・施設のセキュリティ詳細
7.4 物理的セキュリティの監視
関連テンプレート: 物理的セキュリティの監視
概要: 不正な物理的アクセスを検知・抑止するため、施設を継続的に監視します。
実施のポイント:
- 監視カメラ(CCTV)を設置する
- 警備員による巡回を実施する
- 侵入検知アラームを導入する
- 監視記録を適切に保管・管理する
属性: 予防的・検知的 | C・I・A | 防御・検知 | 物理的セキュリティ
関連: 物理的セキュリティの監視詳細(2022年版で新規追加)
7.5 物理的および環境的脅威からの保護
関連テンプレート: 事業継続計画
概要: 自然災害やその他の意図的・偶発的な物理的脅威に対する保護を設計・実装します。
実施のポイント:
- 脅威(火災、水害、地震等)を特定し、リスク評価する
- 適切な保護対策(消火設備、免震設計等)を導入する
- 環境監視センサーを設置する
- 定期的な点検・保守を実施する
属性: 予防的 | C・I・A | 防御 | 物理的セキュリティ
7.6 セキュリティを保つべき領域での作業
関連テンプレート: セキュリティを保つべき領域での作業
概要: セキュアエリアでの作業に関するセキュリティ対策を設計・実装します。
実施のポイント:
- セキュアエリアへのアクセス制限を設ける
- セキュアエリア内での行動規則を定める
- 監視されていない作業を制限する
- 撮影機器の使用を制限する
属性: 予防的 | C・I・A | 防御 | 物理的セキュリティ
7.7 クリアデスクとクリアスクリーン
関連テンプレート: 情報の許容される利用方針 - 4. 禁止事項、従業員向けセキュリティガイドライン - 4.3 クリアデスク・クリアスクリーン
概要: 紙媒体やリムーバブル記憶媒体のクリアデスク規則、情報処理設備のクリアスクリーン規則を定め、適切に実施します。
実施のポイント:
- クリアデスクポリシーを策定・周知する
- 離席時の画面ロックを義務付ける
- 機密文書の保管ルールを定める
- 定期的な遵守状況の確認を実施する
属性: 予防的 | C | 防御 | 物理的セキュリティ
7.8 装置の設置および保護
関連テンプレート: 装置の設置及び保護
概要: 装置は、環境上の脅威やハザード、不正アクセスの機会を低減するよう安全に設置し、保護します。
実施のポイント:
- 装置の設置場所を適切に選定する
- 物理的なアクセス制御を実施する
- 環境条件(温度、湿度等)を管理する
- ケーブルの保護を実施する
属性: 予防的 | C・I・A | 防御 | 物理的セキュリティ、資産管理
関連: 装置の設置及び保護詳細
7.9 構外にある資産のセキュリティ
関連テンプレート: 従業員向けセキュリティガイドライン - 4.7 構外での資産管理
概要: 構外にある資産を保護します。
実施のポイント:
- 構外持出しの承認手続を確立する
- 持出し資産の保護要件を定める
- 紛失・盗難時の報告・対応手順を定める
- 資産の追跡・管理を実施する
属性: 予防的 | C・I・A | 防御 | 物理的セキュリティ、資産管理
7.10 記憶媒体
関連テンプレート: 従業員向けセキュリティガイドライン - 4.6 記憶媒体の取扱い
概要: 記憶媒体は、組織の分類体系と取扱い要件に従って、取得から利用、輸送、廃棄までのライフサイクル全体で管理します。
実施のポイント:
- 媒体の分類と取扱い手順を定める
- 輸送時の保護対策を講じる
- 再利用時のデータ消去手順を確立する
- 廃棄時の安全な破壊方法を定める
属性: 予防的 | C・I・A | 防御 | 物理的セキュリティ、資産管理
7.11 サポートユーティリティ
関連テンプレート: 事業継続計画
概要: 情報処理設備を、電源障害やサポートユーティリティの障害から保護します。
実施のポイント:
- UPS(無停電電源装置)を導入する
- 非常用発電機を検討する
- 空調設備の冗長化を検討する
- ユーティリティの定期点検を実施する
属性: 予防的・検知的 | I・A | 防御・検知 | 物理的セキュリティ
7.12 ケーブル配線のセキュリティ
関連テンプレート: ケーブル配線のセキュリティ
概要: 電源、データ、情報サービスを伝送するケーブルを、傍受、妨害、損傷から保護します。
実施のポイント:
- ケーブルの物理的保護を実施する
- 電力ケーブルと通信ケーブルを分離する
- アクセス制限区域内にケーブルを敷設する
- 定期的な点検を実施する
属性: 予防的 | C・A | 防御 | 物理的セキュリティ
関連: ケーブル配線のセキュリティ詳細
7.13 装置の保守
関連テンプレート: 装置の保守
概要: 装置の可用性、完全性、機密性を確保するため、正しく保守します。
実施のポイント:
- 保守スケジュールを策定・実施する
- 保守作業者の身元確認を行う
- 保守時のデータ保護を確保する
- 保守記録を維持する
属性: 予防的 | C・I・A | 防御 | 物理的セキュリティ、資産管理
関連: 装置の保守詳細
7.14 装置の安全な処分または再利用
関連テンプレート: 装置のセキュリティを保った処分又は再利用
概要: 記憶媒体を含む装置は、処分または再利用の前に、機密データとライセンスソフトウェアが削除または安全に上書きされていることを確認します。
実施のポイント:
- データ消去手順を確立する
- 消去の証明を取得・保管する
- 物理的な破壊方法を定める
- 処分業者の選定基準を設ける
属性: 予防的 | C | 防御 | 物理的セキュリティ、資産管理
関連: 装置の処分又は再利用詳細
8. 技術的管理策
技術的管理策は、技術に関連するセキュリティ管理策です。
8.1 利用者エンドポイント機器
関連テンプレート: 従業員向けセキュリティガイドライン - 4.4 端末・デバイスの管理
概要: 利用者エンドポイント機器に保存、処理される、またはアクセス可能な情報を保護します。
実施のポイント:
- エンドポイントセキュリティポリシーを策定する
- デバイス暗号化を実施する
- 紛失・盗難時のリモートワイプ機能を導入する
- BYOD(私物デバイス)の管理方針を定める
属性: 予防的 | C・I・A | 防御 | 資産管理、情報保護
8.2 特権アクセス権
関連テンプレート: アクセス制御方針 - 4. アクセス制御要件、エンジニア向けセキュリティガイドライン - 3.1 特権アクセスの管理
概要: 特権アクセス権の割当てと使用を制限し、管理します。
実施のポイント:
- 特権アカウントを最小限に抑える
- 特権アクセスの承認プロセスを確立する
- 特権アクセスの利用を監視・記録する
- 定期的な特権アカウントのレビューを実施する
属性: 予防的 | C・I・A | 防御 | アイデンティティ・アクセス管理
8.3 情報へのアクセス制限
関連テンプレート: アクセス制御方針 - 3.1 最小権限の原則、エンジニア向けセキュリティガイドライン - 3.2 情報へのアクセス制限
概要: 情報およびその他の関連資産へのアクセスは、アクセス制御に関する個別方針に従って制限します。
実施のポイント:
- 最小権限の原則を適用する
- アプリケーションレベルのアクセス制御を実装する
- 機密情報へのアクセスを追跡する
- アクセス制御の有効性を定期的にテストする
属性: 予防的 | C・I・A | 防御 | アイデンティティ・アクセス管理
8.4 ソースコードへのアクセス
関連テンプレート: エンジニア向けセキュリティガイドライン - 3.3 ソースコードへのアクセス
概要: ソースコード、開発ツール、ソフトウェアライブラリへの読取り・書込みアクセスを適切に管理します。
実施のポイント:
- ソースコードリポジトリのアクセス制御を実施する
- 変更履歴の追跡を確保する
- コードレビュープロセスを確立する
- 本番環境からのソースコード分離を徹底する
属性: 予防的 | C・I・A | 防御 | アイデンティティ・アクセス管理、アプリケーションセキュリティ、セキュア構成
8.5 セキュリティを保った認証
関連テンプレート: エンジニア向けセキュリティガイドライン - 3.4 認証の実装
概要: 情報へのアクセス制限とアクセス制御方針に基づいて、セキュアな認証技術と手順を実装します。
実施のポイント:
- 強固な認証メカニズムを導入する
- 多要素認証(MFA)を実装する
- 認証情報の保護を確保する
- 失敗した認証試行を監視・対応する
属性: 予防的 | C・I・A | 防御 | アイデンティティ・アクセス管理
8.6 容量・能力の管理
関連テンプレート: エンジニア向けセキュリティガイドライン - 7.3 容量・能力の管理
概要: 資源の使用状況を監視し、現在および将来の容量要件に合わせて調整します。
実施のポイント:
- リソース使用状況を継続的に監視する
- 将来の容量要件を予測する
- 容量不足時のエスカレーション手順を定める
- 可用性要件を満たす容量を確保する
属性: 予防的・検知的 | I・A | 識別・防御・検知 | 継続性
8.7 マルウェアに対する保護
関連テンプレート: 技術的セキュリティ方針 - 7. マルウェア対策方針、エンジニア向けセキュリティガイドライン - 8.1 マルウェア対策
概要: マルウェアに対する保護を実装し、適切な利用者の意識向上によって支援します。
実施のポイント:
- ウイルス対策ソフトウェアを導入・維持する
- 定義ファイルを最新に保つ
- リアルタイムスキャンを有効化する
- 利用者へのマルウェア脅威の教育を実施する
属性: 予防的・検知的・是正的 | C・I・A | 防御・検知 | システム・ネットワークセキュリティ、情報保護
8.8 技術的脆弱性の管理
関連テンプレート: 技術的セキュリティ方針 - 8. 脆弱性管理方針、エンジニア向けセキュリティガイドライン - 8.2 脆弱性管理
概要: 使用中の情報システムの技術的脆弱性に関する情報を取得し、組織の脆弱性への露出を評価し、適切な対策を講じます。
実施のポイント:
- 脆弱性情報の収集源を確立する
- 定期的な脆弱性スキャンを実施する
- 脆弱性の優先順位付けと対応計画を策定する
- パッチ管理プロセスを確立する
属性: 予防的 | C・I・A | 識別・防御 | 脅威・脆弱性管理
関連: 脆弱性管理詳細
8.9 構成管理
関連テンプレート: 技術的セキュリティ方針 - 9. 構成管理方針、エンジニア向けセキュリティガイドライン - 8.3 構成管理
概要: ハードウェア、ソフトウェア、サービス、ネットワークの構成(セキュリティ構成を含む)を確立、文書化、実装、監視、レビューします。
実施のポイント:
- セキュリティベースラインを定義する
- 構成変更の管理プロセスを確立する
- 構成の整合性を定期的に検証する
- 構成管理ツールの導入を検討する
属性: 予防的 | C・I・A | 防御 | セキュア構成
関連: 構成管理詳細(2022年版で新規追加)
8.10 情報の削除
関連テンプレート: エンジニア向けセキュリティガイドライン - 9.1 情報の削除
概要: 情報システム、機器、その他の記憶媒体に保存された情報は、不要になった時点で削除します。
実施のポイント:
- 情報の保持期間と削除基準を定める
- 安全な削除方法を採用する
- 削除の実施を記録・検証する
- クラウド環境での削除にも対応する
属性: 予防的 | C | 防御 | 情報保護、法令遵守
関連: 情報削除詳細(2022年版で新規追加)
8.11 データマスキング
関連テンプレート: エンジニア向けセキュリティガイドライン - 9.2 データマスキング
概要: データマスキングは、アクセス制御方針およびその他の関連方針、業務要件に従い、適用法令を考慮して使用します。
実施のポイント:
- マスキングが必要なデータを特定する
- 適切なマスキング技術を選定する
- テスト環境でのマスキングを実施する
- マスキングの有効性を検証する
属性: 予防的 | C | 防御 | 情報保護
関連: データマスキング詳細(2022年版で新規追加)
8.12 データ漏えいの防止
関連テンプレート: エンジニア向けセキュリティガイドライン - 8.4 データ漏えい防止
概要: 機密情報を処理、保存、送信するシステム、ネットワーク、その他の機器にデータ漏えい防止対策を適用します。
実施のポイント:
- 保護すべき機密データを特定する
- DLP(データ漏えい防止)ソリューションを導入する
- データの流出経路を監視する
- インシデント対応手順を定める
属性: 予防的・検知的 | C | 防御・検知 | 情報保護
関連: データ漏えい防止詳細(2022年版で新規追加)
8.13 情報のバックアップ
関連テンプレート: 事業継続計画 - 6. ICT継続計画
概要: 情報、ソフトウェア、システムのバックアップコピーを維持し、バックアップに関する個別方針に従って定期的にテストします。
実施のポイント:
- バックアップポリシーを策定する
- バックアップの頻度と保持期間を定める
- バックアップの暗号化と保護を実施する
- リストアテストを定期的に実施する
属性: 是正的 | I・A | 復旧 | 継続性
8.14 情報処理施設の冗長性
関連テンプレート: 事業継続計画 - 6. ICT継続計画
概要: 可用性要件を満たすために十分な冗長性を持たせて情報処理施設を実装します。
実施のポイント:
- 可用性要件に基づいて冗長構成を設計する
- フェイルオーバー機能を実装する
- 冗長システムの定期的なテストを実施する
- 単一障害点を特定し、対策を講じる
属性: 予防的 | A | 防御 | 継続性、資産管理
8.15 ログ取得
関連テンプレート: 技術的セキュリティ方針 - 10. ログ・監視方針、エンジニア向けセキュリティガイドライン - 10.1 ログ取得の実装、監視・測定記録 - 3. 監視・測定項目
概要: 活動、例外、障害、その他の関連する事象を記録したログを生成、保存、保護、分析します。
実施のポイント:
- ログ取得対象と項目を定める
- ログの保護(改ざん防止、アクセス制限)を実施する
- ログの保存期間を定める
- ログの定期的なレビュー・分析を実施する
属性: 検知的 | C・I・A | 検知 | インシデント管理
8.16 監視活動
関連テンプレート: 技術的セキュリティ方針 - 10. ログ・監視方針、エンジニア向けセキュリティガイドライン - 10.2 監視の実装
概要: ネットワーク、システム、アプリケーションの異常な動作を監視し、潜在的なセキュリティインシデントを評価するための適切な措置を講じます。
実施のポイント:
- 監視対象と監視基準を定める
- SIEM等の監視ツールを導入する
- アラートの対応手順を確立する
- 監視結果の定期的なレビューを実施する
属性: 検知的・是正的 | C・I・A | 検知・対応 | インシデント管理
関連: 監視活動詳細(2022年版で新規追加)
8.17 クロックの同期
関連テンプレート: 技術的セキュリティ方針 - 10. ログ・監視方針、エンジニア向けセキュリティガイドライン - 10.3 時刻同期
概要: 組織が使用する情報処理システムのクロックを、承認された時刻源に同期します。
実施のポイント:
- 信頼できる時刻源(NTP/PTP)を選定する
- すべてのシステムを同期対象とする
- 時刻同期の監視を実施する
- タイムゾーンの標準化を検討する
属性: 検知的 | I | 防御・検知 | インシデント管理
8.18 特権的なユーティリティプログラムの使用
関連テンプレート: エンジニア向けセキュリティガイドライン - 3.5 特権ユーティリティの使用
概要: システムやアプリケーションの管理策を無効化できる可能性のあるユーティリティプログラムの使用を制限し、厳重に管理します。
実施のポイント:
- 特権ユーティリティの一覧を作成する
- 使用の承認プロセスを確立する
- 使用状況をログに記録する
- 不要なユーティリティを削除または無効化する
属性: 予防的 | C・I・A | 防御 | システム・ネットワークセキュリティ、セキュア構成、アプリケーションセキュリティ
8.19 運用システムに対するソフトウェアの導入
関連テンプレート: 技術的セキュリティ方針 - 6. 変更管理方針、エンジニア向けセキュリティガイドライン - 7.2 ソフトウェア導入
概要: 運用システムへのソフトウェア導入を安全に管理するための手順と対策を実装します。
実施のポイント:
- ソフトウェア導入の承認プロセスを確立する
- 導入前のテストを実施する
- ロールバック手順を準備する
- 導入後の検証を実施する
属性: 予防的 | C・I・A | 防御 | セキュア構成、アプリケーションセキュリティ
8.20 ネットワークセキュリティ
関連テンプレート: 技術的セキュリティ方針 - 4. ネットワークセキュリティ方針、エンジニア向けセキュリティガイドライン - 6.1 ネットワークセキュリティ
概要: システムやアプリケーション内の情報を保護するため、ネットワークとネットワーク機器をセキュリティ保護し、管理・制御します。
実施のポイント:
- ネットワークセキュリティポリシーを策定する
- ファイアウォール等の境界防御を実装する
- ネットワーク機器のセキュア構成を実施する
- ネットワークの監視を実施する
属性: 予防的・検知的 | C・I・A | 防御・検知 | システム・ネットワークセキュリティ
8.21 ネットワークサービスのセキュリティ
関連テンプレート: 技術的セキュリティ方針 - 4. ネットワークセキュリティ方針、エンジニア向けセキュリティガイドライン - 6.1 ネットワークセキュリティ
概要: ネットワークサービスのセキュリティメカニズム、サービスレベル、要件を特定し、実装し、監視します。
実施のポイント:
- ネットワークサービスのセキュリティ要件を定義する
- サービスレベル合意(SLA)にセキュリティを含める
- サービスプロバイダーのセキュリティを確認する
- サービスの監視とレビューを実施する
属性: 予防的 | C・I・A | 防御 | システム・ネットワークセキュリティ
8.22 ネットワークの分離
関連テンプレート: 技術的セキュリティ方針 - 4. ネットワークセキュリティ方針、エンジニア向けセキュリティガイドライン - 6.1 ネットワークセキュリティ
概要: 情報サービス、利用者、情報システムのグループを組織のネットワーク上で分離します。
実施のポイント:
- ネットワークセグメンテーションを設計・実装する
- VLAN、ファイアウォール等を活用する
- 重要システムを分離されたネットワークに配置する
- セグメント間の通信を制御・監視する
属性: 予防的 | C・I・A | 防御 | システム・ネットワークセキュリティ
8.23 ウェブフィルタリング
関連テンプレート: 技術的セキュリティ方針 - 4. ネットワークセキュリティ方針、エンジニア向けセキュリティガイドライン - 6.2 ウェブフィルタリング
概要: 悪意のあるコンテンツへの露出を減らすため、外部ウェブサイトへのアクセスを管理します。
実施のポイント:
- ウェブフィルタリングポリシーを策定する
- 許可/禁止カテゴリを定義する
- フィルタリングソリューションを導入する
- 例外処理の手順を定める
属性: 予防的 | C・I・A | 防御 | システム・ネットワークセキュリティ
関連: ウェブフィルタリング詳細(2022年版で新規追加)
8.24 暗号の使用
関連テンプレート: 技術的セキュリティ方針 - 3. 暗号化方針、エンジニア向けセキュリティガイドライン - 6.3 暗号化の実装
概要: 暗号鍵の管理を含む、暗号の効果的な使用に関するルールを定義し、実装します。
実施のポイント:
- 暗号化ポリシーを策定する
- 適切な暗号アルゴリズムと鍵長を選定する
- 鍵管理プロセスを確立する
- 暗号化の実装を検証する
属性: 予防的 | C・I・A | 防御 | セキュア構成
8.25 セキュリティに配慮した開発のライフサイクル
関連テンプレート: 技術的セキュリティ方針 - 5. 開発セキュリティ方針、エンジニア向けセキュリティガイドライン - 4.1 セキュア開発ライフサイクル
概要: ソフトウェアとシステムのセキュアな開発のためのルールを確立し、適用します。
実施のポイント:
- セキュア開発ポリシーを策定する
- 開発ライフサイクルの各段階にセキュリティを組み込む
- セキュリティテストを開発プロセスに統合する
- 開発者へのセキュリティトレーニングを実施する
属性: 予防的 | C・I・A | 防御 | アプリケーションセキュリティ、システム・ネットワークセキュリティ
関連: セキュア開発詳細
8.26 アプリケーションセキュリティの要求事項
関連テンプレート: 技術的セキュリティ方針 - 5. 開発セキュリティ方針、エンジニア向けセキュリティガイドライン - 4.2 セキュリティ要求事項の定義
概要: アプリケーションの開発または取得時に、情報セキュリティ要件を特定し、仕様化し、承認します。
実施のポイント:
- セキュリティ要件を開発初期段階で定義する
- 認証、アクセス制御、データ保護等の要件を含める
- 要件の検証方法を定める
- 取得時にもセキュリティ要件を評価基準に含める
属性: 予防的 | C・I・A | 防御 | アプリケーションセキュリティ、システム・ネットワークセキュリティ
8.27 セキュリティに配慮したシステムアーキテクチャおよびシステム構築の原則
関連テンプレート: 技術的セキュリティ方針 - 5. 開発セキュリティ方針、エンジニア向けセキュリティガイドライン - 4.3 セキュアアーキテクチャ
概要: セキュアなシステム構築の原則を確立、文書化、維持し、あらゆる情報システム開発活動に適用します。
実施のポイント:
- セキュリティ設計原則を文書化する
- 多層防御(Defense in Depth)を適用する
- 最小権限の原則を設計に組み込む
- セキュリティアーキテクチャレビューを実施する
属性: 予防的 | C・I・A | 防御 | アプリケーションセキュリティ、システム・ネットワークセキュリティ
8.28 セキュリティに配慮したコーディング
関連テンプレート: 技術的セキュリティ方針 - 5. 開発セキュリティ方針、エンジニア向けセキュリティガイドライン - 4.4 セキュアコーディング規約
概要: セキュアコーディングの原則をソフトウェア開発に適用します。
実施のポイント:
- セキュアコーディングガイドラインを策定する
- コードレビューにセキュリティ観点を含める
- 静的解析ツールを活用する
- 開発者へのセキュアコーディング教育を実施する
属性: 予防的 | C・I・A | 防御 | アプリケーションセキュリティ、システム・ネットワークセキュリティ
関連: セキュアコーディング詳細(2022年版で新規追加)
8.29 開発および受入れにおけるセキュリティテスト
関連テンプレート: 技術的セキュリティ方針 - 5. 開発セキュリティ方針、エンジニア向けセキュリティガイドライン - 4.5 セキュリティテスト
概要: 開発ライフサイクルにおいてセキュリティテストプロセスを定義し、実装します。
実施のポイント:
- セキュリティテスト計画を策定する
- 脆弱性スキャン、ペネトレーションテストを実施する
- テスト結果に基づく改善を確実に実施する
- 受入れ基準にセキュリティを含める
属性: 予防的 | C・I・A | 識別 | アプリケーションセキュリティ、情報セキュリティ保証、システム・ネットワークセキュリティ
8.30 外部委託による開発
関連テンプレート: エンジニア向けセキュリティガイドライン - 4.6 外部委託開発の管理
概要: 外部委託によるシステム開発に関する活動を指揮、監視、レビューします。
実施のポイント:
- 委託先のセキュリティ要件を契約に含める
- 開発プロセスの監視方法を定める
- 成果物のセキュリティレビューを実施する
- 知的財産権と秘密保持を契約で規定する
属性: 予防的・検知的 | C・I・A | 識別・防御・検知 | システム・ネットワークセキュリティ、アプリケーションセキュリティ、供給者関係セキュリティ
8.31 開発、テストおよび運用環境の分離
関連テンプレート: 技術的セキュリティ方針 - 5. 開発セキュリティ方針、エンジニア向けセキュリティガイドライン - 5.1 開発・テスト・本番環境の分離
概要: 開発環境、テスト環境、運用環境を分離し、保護します。
実施のポイント:
- 環境間のアクセス制御を実装する
- 本番データのテスト環境での使用を制限する
- 環境間の移行手順を確立する
- 各環境のセキュリティ要件を定める
属性: 予防的 | C・I・A | 防御 | アプリケーションセキュリティ、システム・ネットワークセキュリティ
8.32 変更管理
関連テンプレート: 技術的セキュリティ方針 - 6. 変更管理方針、エンジニア向けセキュリティガイドライン - 7.1 変更管理
概要: 情報処理施設と情報システムへの変更は、変更管理手順に従います。
実施のポイント:
- 変更管理プロセスを確立する
- 変更の承認、テスト、実装手順を定める
- 変更記録を維持する
- 緊急変更の手順を定める
属性: 予防的 | C・I・A | 防御 | アプリケーションセキュリティ、システム・ネットワークセキュリティ
8.33 テスト用情報
関連テンプレート: エンジニア向けセキュリティガイドライン - 5.2 テストデータの管理
概要: テスト用情報を適切に選定し、保護し、管理します。
実施のポイント:
- 本番データのテストでの使用を制限する
- テストデータのマスキング・匿名化を実施する
- テストデータの保護要件を定める
- テスト後のデータ廃棄を徹底する
属性: 予防的 | C・I・A | 防御 | 情報保護
8.34 監査テスト中の情報システムの保護
関連テンプレート: エンジニア向けセキュリティガイドライン - 5.3 監査テスト時の保護
概要: 運用システムの評価を伴う監査テストやその他の保証活動は、テスト実施者と適切な管理層との間で計画し、合意します。
実施のポイント:
- 監査テストの範囲と方法を事前に合意する
- テストによる業務への影響を最小化する
- テスト中のアクセスを適切に管理する
- テスト結果の取扱いを定める
属性: 予防的 | C・I・A | 識別・防御 | 情報セキュリティ保証、システム・ネットワークセキュリティ
関連リソース
2022年版での主な変更点
ISO/IEC 27002:2022では、管理策が従来の114項目から93項目に再編されました。主な変更点:
新規追加された管理策(11項目)
| 番号 | 管理策名 |
|---|---|
| 5.7 | 脅威インテリジェンス |
| 5.23 | クラウドサービス利用のための情報セキュリティ |
| 5.30 | 事業継続のためのICTの備え |
| 7.4 | 物理的セキュリティの監視 |
| 8.9 | 構成管理 |
| 8.10 | 情報の削除 |
| 8.11 | データマスキング |
| 8.12 | データ漏えいの防止 |
| 8.16 | 監視活動 |
| 8.23 | ウェブフィルタリング |
| 8.28 | セキュリティに配慮したコーディング |
管理策の再編
- 従来の14カテゴリから4テーマ(組織、人、物理、技術)に再編
- 複数の管理策が統合され、より実践的な構成に
- 各管理策に5つの属性が付与され、多角的な分析が可能に