設備投資が必須の管理策とは

システムの追加導入や改修が必須となる「WEBフィルタリング」と「監視活動」

2022年の改訂により、来年、2025年10月31日までに、旧規格を取得済みの企業も、ISMS新規格「ISO/IEC 27001:2022」に移行しなければなりません。

ISMS新規格では、11項目の管理策が追加されました。その中でも明確に設備投資など追加のコストをかけざるを得ないもので、ITシステムが必要になるものが2つあります。それは、「監視活動」と「WEBフィルタリング」です。

ISMS新規格への追加背景とは

多様化・高度化するサイバー攻撃

このような管理策が追加された背景には、サイバー攻撃の多様化と被害拡大があると考えられます。昨今のサイバー攻撃は、送りつけられてくる情報を単純に遮断するだけでは不十分になってきています。ファイアウォールなどの防衛機構の多くは、「意図せず社外から送りつけられてくる情報」を遮断することはできますが、社内で自ら取りに行った、あるいは、能動的に受け取った情報を遮断することは困難です。現実社会で例えると、前触れもなく送りつけられてきた差出人不明の怪しい小包は遮断できますが、社内の人が注文した商品が届くのを遮断するのは難しいのと同様です。

企業の情報環境と対策

「WEBフィルタリング」と「監視活動」の意義と役割

昨今猛威を振るっているフィッシングメールや標的型メールなどは、そのメール内のリンクをクリックしたり添付ファイルをクリックすることで、別サイトにアクセスさせます。この別サイトにウィルスやマルウェアソフトがあったり、個人情報などを入力させられたりします。このような攻撃は、本当はアクセスしてはいけないのに、あたかも「社内の人があえて商品を注文した」ことと同じような扱いになるため、前述の通りファイアウォールでは防ぎにくい攻撃になってしまいます。

このように多様化したサイバー攻撃に対応するためには、もっと通信される内容に踏み込んで確認しなければなりません。「WEBフィルタリング」は、上述ような不正な通信もうまく遮断できる仕組みの総称で、新しい管理策として追加されたものと考えられます。また、サイバー攻撃を受けたり、そのほか何かまずいことが起こった際に、それを検知して、初動対応や原因分析を行うためには、ログ情報が必須です。企業には、このような有事に備えて、ログをしっかり収集し、確認・管理する「監視活動」が求められています。