2024年のテーマは「作る」
皆さん、明けましておめでとうございます。
(株)マネジメント総研の小山です。
昨年は「仕掛」をテーマに、自然と力を注ぎたくなる「仕掛け」、すぐに「仕掛かる」、時には「仕掛ける」ことを意識して取組んでまいりました。
結果、質を上げる視点を考慮すること、積極的に行動することの効果を実感し、その大切さを認識することができました。
そのような中、さらにそれを確実なものにすることを意識できる言葉はないかと探した結果、1つの言葉を見つけました。
それは、「作る」です。
「作る」という言葉について、
『新明解国語辞典』では次のように書かれています。
「作る」という動詞は、その行為が完了した結果作り出されたものを「…を」によって表わす。従ってその行為の開始から完了までの時点では、現実には存在しないということになる。
2024年は、この「作る」をテーマに、
「…を」の部分にこだわって取組んで参ります。
そして、より期待に応えられるよう、
より多くの機会にお役立ちできるよう、励んで参ります。
2024年もどうぞよろしくお願いいたします。
「JIS Q 15001:2023」発行
皆さん、こんにちは。
(株)マネジメント総研の小山です。
2023年9月20日に「JIS Q 15001:2023」が発行されました。
(個人情報保護マネジメントシステム-要求事項)
この規格は、プライバシーマーク(Pマーク)付与適格性審査において、適合性の判断に用いられるものであり、「JIS Q 15001:2017」の改正版に当たります。
今回の主な改正趣旨は以下のとおりです。
(1) 改正個人情報保護法への整合
(2) 適用範囲の考え方の見直し
(3) マネジメントシステムに関する規定の統合
(1)は、令和2年及び令和3年改正法への整合対応です。具体的には、「附属書A(規定)」に仮名加工個人情報や個人関連情報が追加され、保有個人データの規律変更等が反映されました。
(2)は、事業者単位から事業者の一部や複数の事業者を対象とした規格となるよう見直されました。なお、事業者の一部とは、医療機関における病院やカンパニー制を敷いている会社等が該当します。
(3)は、マネジメントシステムに関する事項を規格本文(箇条4~10)に、個人情報保護法に対応する事項を附属書A(規定)に規定するよう構成が見直されました。旧規格では、マネジメントシステムに関する事項が規格本文と附属書Aの両方に規定されていたため、今回の改正により棲み分けが明確になり、わかりやすくなりました。
また、附属書の構成は、以下のとおり見直されました。
・附属書A:個人情報保護に関する管理策(規定)
・附属書B:マネジメントシステムに関する補足(参考)
・附属書C:附属書Aの管理策に関する補足(参考)
・附属書D:安全管理措置に関する管理目的及び管理策(参考)
・附属書E:JIS Q 15001:2023とJIS Q 15001:2017との対応(参考)
旧規格の「附属書B」が新規格の「附属書B」「附属書C」に分けられました。その影響で旧規格の「附属書C」は、新規格では「附属書D」に相当します。
「附属書D」は「JIS Q 27002:2014」がベースとなっていますが、もとになっている「ISO/IEC 27002」は2022年2月に改正されており、14分野114項目の管理策が4分野93項目に大幅に整理されています。今後、この内容を反映した「JIS Q 27002」改正版が発行されると、「附属書D」の内容が古くなるため、「JIS Q 15001」の改正が検討されるものと考えられます。また、個人情報保護法も3年毎に見直すことが定められているため、法改正に伴い、「JIS Q 15001」のアップデートが必要となると考えられます。
なお、プライバシーマーク制度では「JIS Q 15001」をもとに「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」を定め、審査基準として用いられています。
今回の規格改正に伴い、この「構築・運用指針」も改定される予定です。プライバシーマーク取得事業者としては、「構築・運用指針」の改定後に改正対応を行うのが手戻りがなくて良さそうです。
ISOマネジメントシステム認証数(2022)
皆さん、こんにちは。
(株)マネジメント総研の小山です。
ISO(国際標準化機構)から「ISO Survey 2022」が公表されましたので、ご紹介します。
これは、ISOが毎年、前年末時点のISOマネジメントシステム認証数を調査・報告しているもので、今回は2022年12月31日時点のものとなります。なお、調査に参加した認証機関は各回で変動があります。
以下、主な調査結果です。
(1) ISO 9001:2015(QMS/品質)
・認証数:1,265,216(前年 1,077,884、前々年 916,842)
・前年対比:117%(前回 118%)
(2) ISO 14001:2015(EMS/環境)
・認証数:529,853(前年 420,433 、前々年 348,218)
・前年対比:126%(前回 121%)
(3) ISO/IEC 27001:2013(ISMS/情報セキュリティ)
・認証数:71,549(前年 58,687、前々年 44,486)
・前年対比:122%(前回 132%)
(4) ISO/IEC 20000-1:2018(ITSMS/ITサービス)
・認証数:27,009(前年 11,769、前々年 7,846)
・前年対比:229%(前回 150%)
(5) ISO 22301:2019(BCMS/事業継続)
・認証数:3,200(前年 2,559、前々年 2,205)
・前年対比:125%(前回 116%)
(6) ISO 22000:2018(FSMS/食品安全)
・認証数:45,459(前年 36,124、前々年 33,735)
・前年対比:126%(前回 107%)
(7) ISO 39001:2012(RTSMS/道路交通安全)
・認証数:1,550、(前年 1,285、前々年 936)
・前年対比:121%(前回 137%)
(8) ISO 45001:2018(OHSMS/労働安全衛生)
・認証数:397,339(前年 294,420、前々年 190,429)
・前年対比:135%(前回 155%)
各規格とも認証数は前年対比で増えています。
「ISO/IEC 20000-1」が前年対比200%超となっているのは、中国の認証数増が影響しているようです。
(前年 9,247、当年 24,152、前年対比14,905増)
いずれの規格もマネジメントのツールとして役立つ仕組みですので、より多くの組織に取り入れられればと考える次第です。
詳しくは、以下のサイトから元資料をご確認ください。
▼ISO:The ISO Survey
https://www.iso.org/the-iso-survey.html
「JIS Q 27001:2023」発行
皆さん、こんにちは。
(株)マネジメント総研の小山です。
2023年9月20日に「JIS Q 27001:2023」が発行されました。
(情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項)
この規格は、2022年10月25日に発行された「ISO/IEC 27001:2022」に対応する日本産業規格です(技術的内容及び構成を変更することなく作成されたもの)。
情報セキュリティマネジメントシステム(ISMS)の認証基準であり、「JIS Q 27001:2014(ISO/IEC 27001:2013)」の改正版に当たります。
変更のポイントは以下のとおりです。
(1) 「附属書A」(情報セキュリティ管理策)の更新
(2) 「ISO/IEC 専門業務用指針 第1部 統合版ISO補足指針」
の附属書SLへの準拠
(1)は、元となる「ISO/IEC 27002」が改正(2022年2月)されたことに伴う同期対応です。これにより、14分野114項目の管理策が、4分野93項目(新規11項目を含む)に整理されました。
・5 組織的管理策 (37項目、うち新規3項目)
・6 人的管理策 (8項目、新規項目なし)
・7 物理的管理策 (14項目、うち新規1項目)
・8 技術的管理策 (34項目、うち新規7項目)
(2)は、規格本編について細かい部分が変更されました。
・「6.3 変更の計画策定」の追加
・「10 改善」の細分箇条の順序変更
(10.1 継続的改善、10.2 不適合及び是正処置)
・その他(微修正)
附属書Aの分野・項目が整理されて分かりやすくなったこと、時代の流れに合わせて新規に管理策が追加されたことから、改正版に対応することで管理の効率・効果の向上が見込めます。
なお、認証審査については、2025年10月31日までに新規格への移行が必要となります。
個人情報の取扱いにおける事故報告集計結果(2022年度)
皆さん、こんにちは。
(株)マネジメント総研の小山です。
JIPDEC(一般財団法人日本情報経済社会推進協会)より、「2022年度 個人情報の取扱いにおける事故報告集計結果」が7月24日に公表(8月2日に更新)されました。
この資料は、毎年、JIPDECがプライバシーマーク付与事業者からの事故報告を集計し公表しているものです。これまでは、傾向と注意点がまとめられていましたが、今回は集計結果の報告に特化した形となりました。また、集計項目も見直されています。
以下、報告件数です。
・2022年度:1,460付与事業者から7,009件の報告
(2021年度:1,045付与事業者から3,048件の報告)
以下、発生事象別の内訳です。
| 発生事象 | 割合 |
|---|---|
| 漏えい | 76.1% |
| 紛失 | 9.7% |
| 滅失・き損 | 2.1% |
| 改ざん、正確性の未確保 | 1.2% |
| 不正・不適正取得 | 0.3% |
| 目的外利用・提供 | 1.3% |
| 不正利用 | 0.6% |
| 開示等の求め等の拒否 | 0.0% |
| 上記事象のおそれ | 8.6% |
以下、事象分類別の内訳です。
| 事象分類 | 割合 |
|---|---|
| 誤配達・誤交付 | 43.0% |
| 誤送信 | 24.7% |
| 紛失・滅失・き損 | 11.2% |
| 不正アクセス | 6.2% |
| 誤表示 | 5.8% |
| 誤登録 | 4.7% |
| マルウェア・ウイルス | 1.8% |
| 誤廃棄 | 1.6% |
| 盗難 | 0.5% |
| 内部不正行為 | 0.5% |
以下、原因別の内訳です。
| 原因 | 割合 |
|---|---|
| 手順・ルール違反の作業・操作 | 29.0% |
| 作業・操作ミス | 25.3% |
| 確認不足 | 20.5% |
| 従業員教育不十分 | 9.7% |
| リスク特定・分析・評価不十分 | 2.4% |
| 簡易なパスワード設定 | 0.3% |
| アクセス制御不備 | 0.4% |
| プログラム設計、設定の不備 | 1.3% |
| バージョン・パッチ適用の不備 | 0.2% |
| SQL対策の不備 | 0.1% |
| クロスサイトスクリプティング対策の不備 | 0.0% |
| パスワードの平文保持 | 0.1% |
| 原因分類その他 | 10.9% |
以下、媒体別の内訳です。
| 媒体 | 割合 |
|---|---|
| 紙 | 49.4% |
| 電子データ | 37.8% |
| その他 | 12.9% |
▼「2022年度 個人情報の取扱いにおける事故報告集計結果」(JIPDEC)
https://privacymark.jp/system/reference/pdf/2022JikoHoukoku_230802.pdf
(PDFファイル)
「ISO/IEC 27005:2022」の概要
皆さん、こんにちは。
(株)マネジメント総研の小山です。
2022年10月25日に改正された「ISO/IEC 27005:2022」について紹介します。
「ISO/IEC 27005:2022」は『情報セキュリティリスクの管理に関する手引』という規格で、情報セキュリティマネジメントシステム(ISMS)に取組む組織や、情報セキュリティのリスク管理を強化したい組織にとって有用な規格です。
2008年の初版発行後、2011年、2018年に改正され、今回の改正により第4版となります。
改正による主な変更点は、以下のとおりです。
・「ISO/IEC 27001:2022」及び「ISO 31000:2018」に整合された(「ISO 31000:2018」の専門用語、「ISO/IEC 27001:2022」の箇条構造への適合等)。
・リスクシナリオの概念が導入された。
・「事象ベースのアプローチ」と「リスク特定への資産ベースのアプローチ」を対照させて整理された。
・附属書の内容が改訂され、単一の附属書に再構成された。
目次は、以下のとおりです。
1 適用範囲
2 引用規格
3 用語及び定義
3.1 情報セキュリティリスクに関連する用語
3.2 情報セキュリティリスクマネジメントに関連する用語
4 この文書の構成
5 情報セキュリティリスクマネジメント
5.1 情報セキュリティリスクマネジメントプロセス
5.2 情報セキュリティリスクマネジメントサイクル
6 状況の確定
6.1 組織の考慮事項
6.2 利害関係者の基本要求事項の特定
6.3 リスクアセスメントの適用
6.4 情報セキュリティリスク基準の確立及び維持
6.4.1 一般
6.4.2 リスク受容基準
6.4.3 情報セキュリティリスクアセスメントを実施するための基準
6.5 適切な方法の選択
7 情報セキュリティリスクアセスメントプロセス
7.1 一般
7.2 情報セキュリティリスクの特定
7.2.1 情報セキュリティリスクの特定及び記述
7.2.2 リスク所有者の特定
7.3 情報セキュリティリスクの分析
7.3.1 一般
7.3.2 起こり得る結果のアセスメント
7.3.3 起こりやすさのアセスメント
7.3.4 リスクレベルの決定
7.4 情報セキュリティリスクの評価
7.4.1 リスク分析の結果とリスク基準との比較
7.4.2 リスク対応のための分析したリスクの優先順位付け
8 情報セキュリティリスク対応プロセス
8.1 一般
8.2 適切な情報セキュリティリスク対応の選択肢の選定
8.3 情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策の決定
8.4 決定した管理策とISO/IEC 27001:2022,附属書A の管理策との比較
8.5 適用宣言書の作成
8.6 情報セキュリティリスク対応計画
8.6.1 リスク対応計画の策定
8.6.2 リスク所有者による承認
8.6.3 残留している情報セキュリティリスクの受容
9 運用
9.1 情報セキュリティリスクアセスメントプロセスの実施
9.2 情報セキュリティリスク対応プロセスの実施
10 関連するISMS プロセスの活用
10.1 組織の状況
10.2 リーダーシップ及びコミットメント
10.3 コミュニケーション及び協議
10.4 文書化した情報
10.4.1 一般
10.4.2 プロセスに関する文書化した情報
10.4.3 結果に関する文書化した情報
10.5 監視及びレビュー
10.5.1 一般
10.5.2 リスクに影響を与える要因の監視及びレビュー
10.6 マネジメントレビュー
10.7 是正処置
10.8 継続的改善
附属書A (参考) リスクアセスメントプロセスを支援する手法の例
A.1 情報セキュリティリスク基準
A.1.1 リスクアセスメントに関連する基準
A.1.1.1 リスクアセスメントの一般的考慮事項
A.1.1.2 定性的アプローチ
A.1.1.2.1 結果の尺度
A.1.1.2.2 起こりやすさの尺度
A.1.1.2.3 リスクレベル
A.1.1.3 定量的アプローチ
A.1.1.3.1 有限尺度
A.1.2 リスク受容基準
A.2 実践的手法
A.2.1 情報セキュリティリスクの構成要素
A.2.2 資産
A.2.3 リスク源及び望ましい最終状態
A.2.4 事象ベースのアプローチ
A.2.4.1 エコシステム
A.2.4.2 戦略的シナリオ
A.2.5 資産ベースのアプローチ
A.2.5.1 脅威の例
A.2.5.2 ぜい弱性の例
A.2.5.3 技術的ぜい弱性のアセスメント方法
A.2.5.4 運用シナリオ
A.2.6 両方のアプローチで適用可能なシナリオの例
A.2.7 リスク関連事象の監視
掲載されている図表は、以下のとおりです。
図A.1 情報セキュリティリスクアセスメントの構成要素
図A.2 資産の依存関係のグラフの例
図A.3 エコシステムの利害関係者の特定
図A.4 リスクシナリオに基づくリスクアセスメント
図A.5 SFDTモデル適用の例
表A.1 結果の尺度の例
表A.2 起こりやすさの尺度の例
表A.3 リスク基準に対する定性的アプローチの例
表A.4 対数の起こりやすさ尺度の例
表A.5 対数の結果尺度の例
表A.6 3色のリスクマトリクスと組み合わせた評価尺度の例
表A.7 攻撃の例及び通常の方法
表A.8 DESを表現する動機の分類の例
表A.9 ターゲット目的の例
表A.10 典型的な脅威の例
表A.11 典型的なぜい弱性の例
表A.12 両方のアプローチにおけるリスクシナリオの例
表A.13 リスクシナリオとリスク関連事象監視との関係の例
目次及び図表のタイトルからも分かるとおり、情報セキュリティのリスク管理に関して詳細にまとめられています。
情報セキュリティリスク管理を改善したいとお考えの際には、この規格に目を通されることをおススメします。
「システム監査基準」及び「システム管理基準」の改訂(2023年4月)
皆さん、こんにちは。
(株)マネジメント総研の小山です。
経済産業省が策定・公表している「システム監査基準」及び「システム管理基準」が、2023年4月26日に改訂されました。
「システム監査基準」には、システム監査人の行為規範や監査手続の規則として、監査人の独立性・客観性等に関する基準や監査計画・監査報告などの監査全般に関する基準が規定されています。
「システム管理基準」には、システム監査人の判断の尺度として、ITシステムの利活用のあるべき姿を示すIT戦略の方針や体制等のガバナンスに関する基準と開発・運用等のマネジメントに関する基準が規定されています。
今回、参照する国際基準の改訂や技術の進展に伴う状況の変化等を踏まえ、5年ぶりに改訂されました。いずれの基準も、構成が見直され、中身が更新・整理されました。
「システム監査基準」の構成概要は、以下のとおりです。
1.システム監査の意義と目的
2.監査人の倫理
(倫理に関して監査人が守るべき原則)
(1) 誠実性
(2) 客観性
(3) 監査人としての能力及び正当な注意
(4) 秘密の保持
3.システム監査の基準
(システム監査の属性に係る基準)
(1) システム監査に係る権限と責任等の明確化
(2) 専門的能力の保持と向上
(3) システム監査に対するニーズの把握と品質の確保
(4) 監査の独立性と客観性の保持
(5) 監査の能力及び正当な注意と秘密の保持
(システム監査の実施に係る基準)
(6) 監査計画の策定
(7) 監査計画の種類
(8) 監査証拠の入手と評価
(9) 監査調書の作成と保管
(10) 監査の結論の形成
(システム監査の報告に係る基準)
(11) 監査報告書の作成と報告
(12) 改善提案(及び改善計画)のフォローアップ
4.用語集
「システム管理基準」の構成概要は、以下のとおりです。
1.ITガバナンス編
(1) ITガバナンスの実践
(2) ITガバナンス実践に必要な要件
2.ITマネジメント編
(組織全体に係るプロセス)
(1) 推進・管理体制
(プロジェクト管理に係るプロセス)
(2) プロジェクト管理
(システムライフサイクルプロセス遂行に係るプロセス)
(3) 企画プロセス
(4) 開発プロセス
(5) 運用プロセス
(6) 保守プロセス
(7) 廃棄プロセス
(IT部門以外の部門のマネジメントとの関連が深いプロセス)
(8) 外部サービス管理
(9) 事業継続管理
(10) 人的資源管理
3.用語集
なお、今回の改訂に伴い管理等について、以下のとおり変更されました。
1.経済産業省
・原則(What)、趣旨、解釈指針、達成目標、管理活動の例等
>>「システム監査基準」、「システム管理基準」
2.日本システム監査人協会
・実施方法(How)、実施・書式の例、管理活動の着眼点(必要な観点や留意事項等)
>>「システム監査基準ガイドライン」、「システム管理基準ガイドライン」
原則部分は「システム監査基準」「システム管理基準」が、実践部分は「ガイドライン」が参考になりますので、必要に応じてそれぞれをご確認ください。なお、「ガイドライン」の方は2023年8月に公表される予定です。
▼システム監査制度(経済産業省)
https://www.meti.go.jp/policy/netsecurity/sys-kansa/
情報セキュリティ10大脅威 2022
皆さん、こんにちは。
(株)マネジメント総研の小山です。
2023年1月25日にIPA(独立行政法人情報処理推進機構)より、「情報セキュリティ10大脅威 2023」が公表されました。
これは、情報セキュリティ専門家を中心に構成する「10大脅威選考会」の協力により、2022年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から脅威候補を選出し、審議・投票により順位付けされたものです。
『個人』と『組織』の各視点で10大脅威が選出されていますが、ここでは、『組織』の10大脅威について紹介します。
| 順位 | 脅威 | 前年順位 |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 1位(→) |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 3位(↑) |
| 3位 | 標的型攻撃による機密情報の窃取 | 2位(↓) |
| 4位 | 内部不正による情報漏えい | 5位(↑) |
| 5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4位(↓) |
| 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7位(↓) |
| 7位 | ビジネスメール詐欺による金銭被害 | 8位(↓) |
| 8位 | 脆弱性対策情報の公開に伴う悪用増加 | 6位(↓) |
| 9位 | 不注意による情報漏えい等の被害 | 10位(↑) |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | 圏外(↑) |
9位以上の脅威は、前年の10大脅威で構成されています。
2位の「サプライチェーンの弱点を悪用した攻撃」は、前年3位、前々年4位でしたので、ランクアップを続けています。10 位の「犯罪のビジネス化(アンダーグラウンドサービス)」は5年ぶりのランクインとなりました
なお、10大脅威の内容は、総合的に関心度の高いものが取り上げられていますが、それぞれの環境によって対応すべき脅威の優先順位は異なります。また、ランクインした脅威が全てではありません。
トレンドを把握しつつ、自社の環境を踏まえて脅威を想定し、対策を点検し、適宜、強化していくことが肝要です。
IPAのサイトでは、より詳しい情報が掲載されていますので、ぜひご確認ください。
▼情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/10threats/10threats2023.html
2023年のテーマは「仕掛」
皆さん、明けましておめでとうございます。
(株)マネジメント総研の小山です。
2022年は、「整頓」に着目し、
必要な時に取り出せる、一目でわかるように配置する等、
使いやすくすることにこだわって参りました。
「必要な時」「一目でわかる」「使いやすい」は、
いずれも要点を押さえることから始まります。
結果、何事においても要点を考えることを
習慣化することができました。
そのような中、ある言葉がよく浮かぶようになりました。
それは「仕掛」です。
要点を押さえ、効果につなげるには、
自然と力を注ぎたくなる「仕掛け」が肝要。
また、すぐに「仕掛かる」ことも重要。
時には「仕掛ける」ことも必要。
ということで、
2023年は「仕掛」をテーマに取組んで参ります。
そして、より期待に応えられるよう、
より多くの機会にお役立ちできるよう、励んで参ります。
2023年もどうぞよろしくお願いいたします。
「ISO/IEC 27001:2022」発行
皆さん、こんにちは。
(株)マネジメント総研の小山です。
情報セキュリティマネジメントシステム(ISMS)の認証基準である「ISO/IEC 27001」の改正版が2022年10月25日に発行されました。
変更のポイントは以下のとおりです。
(1) 「附属書A」の更新
(2) 「ISO/IEC 専門業務用指針 第1部」附属書SLへの準拠
「附属書A」には、「ISO/IEC 27002」をもとにした「情報セキュリティ管理策」が規定されています。
この「ISO/IEC 27002」が2022年2月に改訂されたことを受け、今回、差替えられました。
これまで箇条5~18にわたって114項目の管理策が規定されていましたが、
新しい規格では箇条5~8に統合され、管理策も93項目に整理されました。
・5 組織的管理策 (37項目)
・6 人的管理策 (8項目)
・7 物理的管理策 (14項目)
・8 技術的管理策 (34項目)
規格本編の変更は、附属書Aに比べて限定的です。
主な変更点は以下のとおりです。
・「6.3 変更の計画策定」の追加
・「10 改善」の細分箇条の順序変更
(10.1 継続的改善、10.2 不適合及び是正処置)
・その他、微修正
(4.2 利害関係者のニーズ及び期待の理解、
4.4 情報セキュリティマネジメントシステム、
6.2 情報セキュリティ目的及びそれを達成するための計画策定、
7.4 コミュニケーション、
8.1 運用の計画及び管理、
9.2 内部監査、
9.3 マネジメントレビュー、等)
なお、認証審査については、2025年10月31日までに新規格への移行が必要となります。
「ISO/IEC 27001:2022」対訳版は発行されていますので、ギャップ分析を行い対応することも可能ですが、JIS規格の発行を待っても間に合うものと考えられます。