▼ 目次
1. はじめに:2022年版ISO27001改訂の背景と全体像
1.1 なぜ2022年に改訂が行われたのか
ISO27001(情報セキュリティマネジメントシステム)は、サイバー攻撃の高度化やクラウド活用の急増、リモートワークの普及など、日々変化するデジタル環境に対応するため、数年ごとにアップデートされます。
背景:
グローバルレベルでサイバーリスクが急速に変化し、既存の管理策だけではカバーしきれない領域が出てきた。
EUのGDPRや米国のプライバシー法など、法規制の強化が進み、セキュリティ対策に求められる水準が上がっている。
企業の**DX(デジタルトランスフォーメーション)**加速で、新技術(AI、IoT、クラウドなど)に対するセキュリティ意識が高まった。
コンサル視点:「今回の改訂は、これまで現場で抱えてきた“クラウドやリモートワークへの曖昧な管理策”を明確化する大きな役割がある」と感じています。
1.2 これまでの改訂との違いと世界的なセキュリティ動向
これまでの改訂: ISO27001:2005 → ISO27001:2013 というように、おおよそ8~10年のスパンでアップデートされてきました。
2022年改訂が特に注目される理由:
附属書Aの管理策(コントロール)が大幅に再編成され、114→93策へと整理・追加・削除が行われた。
クラウドやリモートワークなど、ここ数年で急増した新たなリスクに対応すべく、新設された項目(脅威インテリジェンスなど)が目立つ。
DX時代のセキュリティ基準としてグローバル企業からも高い関心を集めている。
1.3 改訂版の適用スケジュールと既存認証企業・新規取得企業への影響
審査機関からの移行期限: 2022年版への完全移行に猶予期間(2~3年程度)が設定される場合が多い。
既存認証企業: 旧版(ISO27001:2013)で運用している場合、改訂版に準拠した文書の修正やリスクアセスメントの見直しが必要。
新規取得企業: 初期から改訂版対応で構築すれば、将来的な移行コストを削減できるメリットがある。
コンサル事例:大手金融機関の子会社で、旧版取得直後に改訂のアナウンスがあり、1年後の更新審査タイミングで改訂版移行を進めることになったケースがありました。移行時の文書修正と教育に3か月を要し、内部監査で細かい指摘を受けたため、早めの着手が肝心だと痛感しています。
2. 改訂の要点総まとめ:大枠の変更と新規・修正ポイント一覧
2.1 本体要求事項(4章~10章)の大筋はどう変わった?
ISO27001の本体要求事項(組織の状況、リーダーシップ、計画、支援、運用、評価、改善)に大きな構造的変更はありません。ただし、以下のような細かな補強が行われています。
4章~5章:組織の状況とリーダーシップ
改訂版では、トップマネジメントのコミットメント強化がさらに求められる。
6章:計画
新たなリスク(クラウド、リモートワーク、外部委託など)を考慮した具体的な目標設定。
9章:パフォーマンス評価
内部監査やマネジメントレビューで、追加・統合された管理策の運用実績を確認する必要がある。
2.2 注目すべき用語や定義の変更・追加
Threat Intelligence(脅威インテリジェンス): 改訂版で明示的に言及され、サイバー脅威情報を収集・分析・活用する管理策が加わった。
リモートワーク/在宅勤務関連の定義や運用上のポイントが随所で強調(人的コントロール・物理的コントロールにも波及)。
Shared Responsibility Model: クラウドサービス利用時の責任分担について、文書化を徹底する重要性が増している。
2.3 附属書Aの再編成:管理策の新規追加・削除・統合リスト
旧版:114の管理策 → 新改訂版:93策
統合・削除:類似する管理策がまとめられ、重複を削減。
新設:クラウドや脅威インテリジェンスなど、近年のセキュリティ課題に対応する管理策が複数追加。
4つのテーマ(組織的/人的/物理的/技術的)に整理され、管理策をカテゴリー別に捉えやすくなった。
コンサル視点:「旧版の14ドメインが覚えにくかった」という声があったため、シンプル化された面は評価できます。ただし、移行時にSoA(適用宣言書)の番号マッピングをきちんと行わないと混乱が生じる点に注意が必要です。
3. 旧版との比較を徹底深掘り!改訂内容1つ1つの詳細解説
3.1 リスクアセスメント関連:新しい脅威と脆弱性への言及
改訂版の強調点:
クラウド利用時の責任分担(SaaS, PaaS, IaaS)を含めたリスク洗い出し。
新たな脅威(高度化したランサムウェア、サプライチェーン攻撃など)を反映したリスク評価手順。
実務例: 大手製造業では、下請け業者も含めたサプライチェーン全体のリスクアセスメントを新たに設け、クラウド上の共有設計図面への不正アクセスリスクを洗い出した。
3.2 トップマネジメントの責務:改訂で強化されたリーダーシップ要件
改訂版では、リーダーシップとコミットメントがより明確に要求され、経営層がセキュリティ目標を設定・監視し、必要リソースを確保する姿勢が重要視される。
コンサル事例: あるIT企業で、セキュリティ責任者(CISO)を役員クラスに配置し、予算承認や教育方針をトップダウンで決定する仕組みを導入。審査でも高評価を得た。
3.3 組織の状況と利害関係者への配慮:具体的な条文変更点と実装例
4章(組織の状況) で示される外部・内部要因や利害関係者のニーズ・期待が、クラウドサービス事業者や海外パートナーを含めた広範囲に拡大。
実装例: 海外の法規制(EUのGDPRなど)に対応するため、個人情報の取扱いプロセスを明確化し、審査での適用範囲をグローバルに拡張する企業が増えている。
3.4 支援(7章)・運用(8章)の改訂事項:文書化要求や教育訓練の細分化
7章(支援): 改訂版では、教育訓練の頻度や内容を最新のリスク状況に合わせて更新することがより強く求められる。
8章(運用): クラウドやリモートワークの運用手順書を文書化する際、脅威インテリジェンスや脆弱性情報をどう取り入れるかがポイントに。
3.5 パフォーマンス評価(9章)・改善(10章):内部監査やレビューの強化点
監査での注目: 改訂後の管理策が正しく実装されているか、SoAが最新リスクと合致しているかをチェック。
是正措置: 不適合指摘があれば、改訂で新設されたコントロールをどう運用していくかを具体的に示すことが必要。
4. 附属書Aのすべての管理策を徹底解剖:新旧対照表と深堀り解説
4.1 旧版→改訂版への大規模再編の概要
4テーマ(組織的/人的/物理的/技術的)への再編により、従来14ドメイン・114管理策 → 93管理策に集約。
統合・新設例: 暗号化と鍵管理が一つのコントロールに統合。脅威インテリジェンスやクラウド責任分担に関する管理策が新規追加。
移行注意点: 旧版の番号をそのまま使用している文書(SoA、手順書)を改訂版の番号にマッピングして整合をとる必要がある。
4.2 組織的コントロール(Organizational Controls)の全管理策
経営層のコミットメント、リスクマネジメント体制、BCP/DRの連携など、組織レベルで定める管理策が集約。
具体例: 「情報セキュリティ方針の策定」「リスク評価手順」「サプライチェーン管理」「外部委託先管理」など。
実務ヒント: 大手IT企業では、リスク評価時にクラウド提供ベンダーのセキュリティレベルを必ず確認し、契約書に“Shared Responsibility Model”を明示的に追加。
4.3 人的コントロール(People Controls)の全管理策
採用前チェック、セキュリティ教育、責任分掌、退職者管理など、人的な観点のコントロールが統合。
改訂版での強化: リモートワークやモバイルワーク者への教育、海外人材の採用時における確認事項が明確化。
事例: スタッフの入退社時にアカウント管理や機密保持契約を徹底しないと、審査で不適合指摘を受けるケースが多い。
4.4 物理的コントロール(Physical Controls)の全管理策
入退室管理、物理的障壁、設備管理、環境リスク対策などを一括管理。
リモートワーク増加への対応: 在宅勤務での紙資料管理や端末の物理保護をどう確保するかが新たな焦点に。
コンサル視点: ある企業は「従業員が自宅でプリントした機密文書を廃棄し忘れ」インシデントが起こり、改訂版で追加された人的・物理的観点の管理策を再整備した。
4.5 技術的コントロール(Technological Controls)の全管理策
アクセス制御、暗号化、ログ監視、ネットワークセキュリティ、マルウェア対策などが中心。
新コントロール: 脅威インテリジェンス、クラウドセキュリティ責任分担、ゼロトラストモデルへの対応が強調。
実務例: SIEMツールの導入やMFA(多要素認証)、暗号化キー管理の一元化など、審査での好評価事例が多数。
4.6 クラウド・リモートワーク対応策の拡充:実務で押さえるべきポイント
契約と責任分担: SaaSやIaaSベンダーとのセキュリティ責任を文書化。
ログ収集・監視: 在宅・モバイルユーザーの活動ログをどう取得・分析するか。
脆弱性管理: 新しい脆弱性が日々発見されるため、パッチ管理と脆弱性情報の収集(Threat Intelligence)の連動が必須。
4.7 物理・人的セキュリティの変更点:具体的ケーススタディ
在宅勤務のプリント管理: 不要書類のシュレッダー利用を義務化、監査ログ確認を行う例。
外国人スタッフ増加: 言語バリアによる誤解リスクを回避するため、多言語のセキュリティ研修を実施。
多拠点勤務・共有オフィス: オフィスの入退室管理と社員証ICカードを連動させ、フリーアドレスでもデバイス管理を徹底。
4.8 新旧対照表の作り方と活用法
SoA更新: 旧版番号とのマッピング表を作り、採用・不採用の理由を明確化。
内部監査チェックリスト: 新設・削除されたコントロールを漏れなく反映し、不適合の見逃しを防ぐ。
教育アップデート: 改訂版で強化されたクラウドや脅威インテリジェンスを研修資料に盛り込み、社内浸透を促進。
5. 改訂版への移行手順:実務担当者が行うべき対応プロセス
5.1 文書類(SoAなど)の修正方法:旧管理策番号→新管理策番号へのマッピング
ステップ:
旧版のコントロールと新規改訂版のコントロールを対照表で整理
変更箇所が多い管理策(暗号化、脅威インテリジェンスなど)を優先的に修正
SoAの不採用策が、改訂版で名称変更・統合されていないかチェック
コンサル経験: 大企業は文書数が膨大。社内ポータルや自動スクリプトを駆使して一斉更新する事例がある。
5.2 リスク評価の見直し:新たな脅威や技術変化への対応
新たな脅威: サプライチェーン攻撃、ゼロデイ脆弱性、複雑化したランサムウェア手法など。
技術変化: Container環境やサーバレスなど、クラウドネイティブな開発方式への対応。
実務ポイント: 年1回の定例リスク評価に加え、重大システム変更時の追加評価を行う仕組みを導入すると審査で高評価。
5.3 現場運用への影響:教育資料・手順書・監査基準のアップデート
教育資料: リモートワークやクラウド利用に関する新コントロールを追加。
手順書: 物理入退室管理や人的リスク(採用/退職など)を改訂版の視点でブラッシュアップ。
監査基準: 内部監査チェックリストにも新管理策を取り入れ、不適合指摘の見逃しを防ぐ。
5.4 移行審査の進め方とスケジュール:既存認証企業向けポイント
移行期限: 2~3年の移行期間中に、ステージ1・2審査で改訂版に準拠した運用を示す必要がある。
優先度: まずリスクの高い領域(クラウド、リモートワーク、脅威インテリジェンス等)を対応し、文書化と社内教育を完了させてから審査申請。
コンサル実例: 移行審査直前に焦って文書を修正し、現場が追いつかず不適合になった事例があるので、早期着手が推奨される。
6. 改訂内容と密接に関連する実務的注意点
6.1 PDCAサイクルの回し方がどう変わる?
Plan: 改訂版で新たに盛り込まれたリスクや管理策を考慮し、セキュリティ目標を再設定。
Do: 現場で新コントロールを運用し、クラウド・リモートワーク教育を定期実施。
Check: 内部監査で改訂版項目の運用実績と文書整合を丁寧にチェック。
Act: 指摘事項に応じて手順書や教育プログラムを継続改善。
6.2 外部委託先管理やクラウドセキュリティ対策に見る改訂の反映例
外部委託: SLAs(サービスレベル合意)にセキュリティ項目を追加し、委託先の物理・人的・技術的管理策を監査する仕組みが重要。
クラウド: Shared Responsibility Modelを明文化し、クラウド事業者側の責務と社内責任を切り分ける。
6.3 インシデント管理やBCP(事業継続計画)との連動性
インシデントハンドリング: 新コントロールで推奨される脅威インテリジェンスを活用し、インシデント対応速度を上げる。
BCP連動: 改訂版では、サプライチェーンやリモート環境も含めた事業継続をどの程度網羅しているかが注目される。
6.4 改訂で強化された法令・規制対応:GDPRや国内法との整合
GDPR対応: 個人データ保護が強化されたクラウド管理策やログ監視策が盛り込まれ、欧州取引にも準拠しやすくなっている。
国内法: 個人情報保護法など国内規制とも整合をとるため、改訂版ISO27001を基盤にPマークやISMS認証を併用する企業が増えつつある。
7. 改訂の深堀り事例紹介:企業で実際に行われた対応策
7.1 グローバル展開企業の附属書Aマッピング事例:統合時に苦戦した点と解決策
ケース: 従業員5000名超、海外子会社10拠点の製造業。
苦戦点: 旧版で大量の運用ドキュメントが存在し、新版番号とのマッピング作業が煩雑化。
解決策:
専任チームが旧版→新版の管理策対照表を作成。
自動テキスト置換ツールを活用して文書修正を効率化。
統合監査リストを作り、全拠点でシステム的に共有。
7.2 中小企業が改訂を機にクラウド活用を最適化したケース
ケース: 従業員30名のITベンチャーが、リモートワーク主体に移行しながらISO27001取得を目指した。
対応策:
新設のクラウド管理策に合わせ、AWSやGoogle Workspaceのセキュリティ設定を総点検。
脅威インテリジェンスを意識し、脆弱性情報を自動取得するツールを導入。
結果: 審査で「最新リスクへの迅速な対応」が高く評価され、短期(5か月)で認証取得に成功。
7.3 新規取得企業が最初から改訂版対応で成功したプロジェクト
ケース: 従業員100名のコンサルファームが、改訂版リリース後にISO27001導入を開始。
メリット:
旧版→新版への移行作業不要、最初から附属書Aの93コントロールを前提にSoAを作成。
クラウド人事システムやオンライン会議ツールなど、リモートワーク環境をまとめてリスク評価。
結果: 移行コストが発生せず、認証取得後の維持審査でも不適合が少なかった。
7.4 コンサルタント視点:移行審査でよく見落とされる管理策と指摘事例
落とし穴:
「暗号化」と「鍵管理」を旧版の別々の策として運用していたが、改訂で統合された新策への対応が追いついていない。
在宅勤務者の物理的セキュリティ(書類廃棄・端末保護など)がカバーできていない。
指摘事例: ログ収集ポリシーを見直していなかったため、「クラウド上の操作ログが未取得」と不適合になった企業があった。
8. 新規取得企業にとっての2022年改訂メリットと戦略
8.1 旧版対応より効率的?初期から最新フレームワークを採用する利点
利点: アップデートの手間が不要、クラウドやリモートワークの管理策を最初から織り込める。
コンサルアドバイス: 「どうせ取得するなら最新バージョン」で始める方が、長期的にコスト削減になることが多い。
8.2 リスクアセスメントの段階で考慮するべき改訂された脅威・対策
クラウドリスク: アクセス権の制御やログ管理、データ保護の責任分担を早期に整理。
脅威インテリジェンス: 日々変化するサイバー攻撃手口を踏まえた対策をリスク表に反映。
8.3 トップマネジメントの巻き込み方:改訂ポイントを上層部に理解させるコツ
ROI訴求: 信頼度向上や取引先要件、入札加点でのビジネスメリットを数字で示す。
経営視点: インシデント発生時のコスト(賠償・ブランド失墜)を防ぐ保険としてのセキュリティ投資。
8.4 外注・コンサル活用で短期取得を狙う方法
メリット: 最新改訂版の要求事項を熟知した専門家がいると、リスク評価・文書整備が短期完了。
事例: 4か月でステージ1審査を通過した企業は、コンサルが旧版→新版の差分をまとめたテンプレートを使い効率化した。
9. 既存認証企業向け:改訂対応にかかる費用とスケジュール感
9.1 旧版からの移行スケジュール:審査機関が設定する期限と段階的対応
一般的な移行期限: 改訂後2年以内に移行審査を受ける必要があるケースが多い。
段階的対応: 大企業の場合、部門ごとに改訂対応を進め、不備を潰しながら最終的に全社移行を完了させる。
9.2 社内リソースを活用するかコンサルに依頼するか:費用対効果の考え方
自社対応: 文書更新や教育、内部監査をすべて社内で行えばコストは安いが、時間と労力がかかる。
コンサル利用: 不足部分をピンポイントでサポートしてもらう「部分的サポート」か、全工程を任せる「フルサポート」かで費用が変動。
9.3 文書化コストと部署間調整の事例:成功・失敗事例から学ぶポイント
成功例: 文書管理システムで一元管理し、改訂箇所を自動トラッキング。週次ミーティングでチーム共有し、スムーズに移行。
失敗例: 部署ごとに独自ルールが乱立しており、旧版→新版移行時に衝突。結果的に審査直前に大量修正が発生し、審査延期。
9.4 更新審査・サーベイランス審査で求められる改訂版運用実績
サーベイランス審査: 年に1回行われる維持審査では、改訂後の管理策が運用されているかが重点確認される。
更新審査: 3年ごとの再認証タイミングで、改訂版対応が完了していないと認証継続が難しくなるリスクがある。
10. よくある質問Q&A:2022年改訂に関する疑問を一挙解消
10.1 「どの管理策が新設・削除されたのか知りたい」→主な変更点まとめ
新設: 脅威インテリジェンス、クラウド責任分担関連策など。
削除/統合: 暗号化と鍵管理を一つにまとめる、類似するアクセス制御策を統合するケースが多い。
コンサルアドバイス: 公開されている新旧対照表を活用し、社内文書と整合性をとる作業が必須。
10.2 「改訂版に対応しないと認証が失効する?」→移行期限と審査ルール
移行期限: 通常2~3年。期限後は旧版での維持審査が行えず、新規格への移行審査が必須。
失効リスク: 期限を過ぎると認証取り消しや更新審査不合格になる可能性があるため、早めの着手が理想。
10.3 「クラウドやリモートワークの対応は必須?」→実務でのチェックポイント
必須ではないが、実際にクラウドを使っている企業なら責任分担やアクセス制御策を適切に文書化しないと不適合が出やすい。
リモートワーク: BYODや在宅勤務時のデバイス管理、物理セキュリティ、VPNやMFA導入が焦点。
10.4 「PマークやISO27017との併用はどうなる?」→他規格との統合運用
Pマーク: 個人情報保護に特化。ISO27001改訂版とセットで運用すれば、組織全体のセキュリティ+個人情報保護を同時にカバーできる。
ISO27017(クラウドセキュリティ): 改訂版ISO27001のクラウド管理策と合わせると、より包括的なクラウドセキュリティを証明可能。
11. まとめ:2022年版ISO27001改訂をチャンスに、セキュリティ体制をさらに強化しよう
11.1 各改訂内容を深掘りする意義とメリットの再確認
意義: 旧版ではカバーしきれない新たな脅威やクラウド・リモートワークの特殊性を踏まえた最新基準にアップデートできる。
メリット: より実効的なセキュリティ運用が可能となり、取引先・顧客への信頼度向上、法令遵守強化などビジネス面でも恩恵が大きい。
11.2 改訂対応を通じて得られるリスク低減・ビジネス拡大効果
リスク低減: 脅威インテリジェンスの導入やアクセス制御の厳格化でインシデントリスクを最小化。
ビジネス拡大: 入札・コンペでの競争力アップ、海外取引での信頼度向上、DX推進時の安全性確保など。
11.3 次のステップ:具体的に行動を始めるための優先タスクリスト
旧版→新管理策の対照表作成
SoA更新とリスク評価の再実施
内部監査・教育資料のアップデート
移行審査のスケジュール立案&社内周知
11.4 今後のセキュリティトレンドを見据えた継続改善の重要性
改訂はあくまで通過点: 新版取得後もPDCAサイクルを回し続け、常に最新の脅威に対応する柔軟性が大切。
コンサルからの提言: 「2022年版へ移行して終わり」ではなく、次回改訂や新しいリスクへも常にアンテナを張り、継続的なセキュリティ強化を目指してください。
【総括】
2022年改訂版ISO27001では、クラウド・リモートワーク対応や脅威インテリジェンス、外部委託先管理など、これまで各企業が独自に対応していたリスクを正式な管理策として整理・追加しました。
旧版を運用中の企業は、ソース文書(SoA、手順書、監査チェックリストなど)の改訂が不可欠。
新規取得を目指す企業は、最初から改訂版準拠のISMSを構築することで、将来的な移行負担を回避しつつ、最新の脅威にも対応可能な堅牢なセキュリティ体制を整えられます。
いずれにしても、改訂版への対応を機に、セキュリティ体制をレベルアップさせる絶好の機会です。ここで紹介した各改訂内容や実務的アドバイスをぜひ参考にしていただき、企業価値の向上とリスク低減を両立する強固なISMS運用を目指していきましょう。
この記事の監修者情報
金光壮太 (ISOコンサルタント)
大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている。
Comments