【初心者向け】ISO/IEC 27002ってなに？ISMSの管理策ガイドラインを徹底解説！

ISO/IEC 27002（アイエスオー/アイイーシー にまんななせん に）は、情報セキュリティマネジメントシステム（ISMS）を導入・運用する上で、どのように情報セキュリティ対策（管理策）を実施すればよいか、その具体的なベストプラクティス（最良の実践方法）を示した国際規格です。

簡単に言うと、情報セキュリティ対策の「お手本集」「実践ガイド」のようなものです。🏢✨

ISO/IEC 27002を理解するには、ISO/IEC 27001との関係を知ることが重要です。

• ISO/IEC 27001: 情報セキュリティマネジメントシステム（ISMS）の要求事項を定めた国際規格です。組織がISMSを構築・運用し、認証を取得するためのルールブックのようなものです。「何を」すべきかが書かれています。
• ISO/IEC 27002: ISO/IEC 27001の附属書Aにリストアップされている管理策（情報セキュリティ対策）について、「どのように」実施すればよいかの具体的な実践ガイドラインを示しています。

つまり、ISO/IEC 27001が「情報セキュリティのために、こういう対策項目（管理策）を検討しなさい」と要求しているのに対し、ISO/IEC 27002は「その対策項目は、具体的にはこういう風にやるといいですよ」と教えてくれる関係です。車の運転で例えると、27001が「安全運転しなさい」というルールで、27002が「例えば、急ブレーキや急ハンドルはやめましょう」という具体的な運転方法のアドバイス、といったイメージです。🚗💨

ISO/IEC 27001の認証を取得・維持するためには、附属書Aの管理策を参考に自社に必要な対策を決定し実施しますが、その際にISO/IEC 27002が非常に役立ちます。

ISO/IEC 27002は、2013年版から約9年ぶりに改訂され、2022年2月に最新版である「ISO/IEC 27002:2022」が発行されました。

主な変更点は以下の通りです。

• タイトルの変更： 旧：「情報技術－セキュリティ技術－情報セキュリティ管理策の実践のための規範」
  新：「情報セキュリティ、サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策」
  👉 サイバーセキュリティやプライバシー保護の観点がより重視されるようになりました。🛡️
• 管理策の構成変更： 従来の14分類・114管理策から、4つのテーマ（組織的、人的、物理的、技術的）に再構成され、管理策の数は93個に整理・統合されました。（一部新規追加あり）
• 新規管理策の追加： 脅威インテリジェンス、クラウドサービス利用時の情報セキュリティ、データマスキング、データ漏洩防止など、現代的なリスクに対応するための11個の管理策が新たに追加されました。☁️
• 属性の導入： 各管理策に「管理策タイプ」「情報セキュリティ特性」「サイバーセキュリティ概念」「運用能力」「セキュリティドメイン」といった5つの属性が付与され、管理策を異なる視点から分類・検索しやすくなりました。📊

ISO/IEC 27002:2022の4つのテーマ

情報セキュリティ対策は、組織の規模や業種、扱う情報によって様々です。何から手をつければ良いか、どのように対策すれば効果的なのか、迷うことも多いでしょう。🤔

ISO/IEC 27002は、世界中の専門家によってまとめられた情報セキュリティ対策の「ベストプラクティス集」です。これを参考にすることで、

• 🌍 国際的に認められた標準的な対策を知ることができる
• 🛡️ 自社に必要な対策を網羅的かつ具体的に検討できる
• 👍 効果的な情報セキュリティ体制を構築・維持するための具体的なヒントを得られる

といったメリットがあります。ISMS認証（ISO/IEC 27001）を目指す組織はもちろん、認証取得までは考えていなくても、自社の情報セキュリティレベルを向上させたいと考えているすべての組織にとって、非常に有用なガイドラインと言えるでしょう。🚀