▼ 目次
1. はじめに
1.1. 記事の目的と想定読者
本記事では、**2023年版JIS Q 27001(ISO/IEC 27001:2022をベースにした日本版ISMS規格)で示される管理策(主要部分のみ)**をカテゴリ別に整理し、わかりやすく解説します。
想定読者:
これからISMS(情報セキュリティマネジメントシステム)を導入したい中小企業・スタートアップの担当者
すでにISO27001を運用しているが、2023年版の管理策一覧をまとめて俯瞰したい人
JIS27001とISO27001の違いを含め、全体の流れを把握したい初心者
1.2. 2023年版JIS27001管理策の背景と特徴
背景: サイバー攻撃やクラウド活用の増加に伴い、新たな脅威(IoT機器、リモートワークなど)に対応するためISO/IEC 27001が改定され、それに準じてJIS Q 27001も更新。
特徴: 従来よりも**4つのカテゴリ(組織的・人的・物理的・技術的)**に再整理され、重複項目を統合し、新設された管理策も加わった。
効果: 企業が情報セキュリティを現代的な脅威に合わせ、抜け漏れなく管理できる仕組みを提供する。
1.3. 本記事で得られるメリット(全項目一覧&導入手順の理解)
全93項目の管理策をカテゴリごとにわかりやすく把握し、自社のリスクアセスメントに活かせる。
「どんな対応策をすればよいか?」という実務的なポイントを参考にでき、ISMS導入や審査合格に役立つ。
2. JIS27001(ISO27001:2022)管理策一覧の全体構成
2.1. 4カテゴリ(組織的・人的・物理的・技術的)と93項目の概要
大分類:
組織的(Organizational)
人的(People)
物理的(Physical)
技術的(Technological)
合計93項目: 従来版では114項目でしたが、統合や新設を経て再編。
コンサル視点: カテゴリ分けがシンプルになったため、リスクアセスメントや内部監査時に項目を整理しやすい。
2.2. 従来版との違い(クラウド・IoTなどの新たな脅威への対応)
クラウドサービス管理策の新設(例: ICT準備と事業継続、構成管理、Webフィルタリング など)
脅威インテリジェンスや**データ漏えい防止(DLP)**など現代の攻撃手法を想定した管理策の追加
多くの旧項目を再整理し、番号を変えてわかりやすくした
2.3. 管理策を俯瞰するメリット(リスク対策の抜け漏れ防止)
俯瞰効果: 全項目を見ることで「どこが自社に足りないか」を発見可能。
リスク体系との連動: 資産や脅威を洗い出す際、これら管理策をチェックリストとして使うと便利。
審査でも高評価: 規格を理解し、自社の状況に合わせて適用度を決めている企業は、外部審査で不適合が少ない。
3. 【組織的】管理策一覧(5項)
3.1. A.5.1 情報セキュリティポリシー策定
この項目は「組織がトップの承認を得たセキュリティポリシーを整備し、周知すること」が求められています。
おすすめ対応策:
A4数枚にまとめた基本ポリシーをトップマネジメントが承認
社内サイト・朝礼で分かりやすく告知し、全社員が共有
3.2. A.5.2 情報セキュリティの役割と責任
この項目は「ISMSの役割分担を明確にし、責任者と担当者をはっきり決める」ことが求められています。
おすすめ対応策:
セキュリティ委員会を設置し、委員長・各部門代表を配置
職務記述書や組織図に役割を明記→ 認証審査でも確認される
3.3. A.5.7 脅威インテリジェンス(新設)
この項目は「最新の脅威情報を継続的に収集・分析し、リスク対応に反映する」ことが求められています。
おすすめ対応策:
JPCERT/CCのメルマガやベンダー脆弱性情報を購読
月1回のセキュリティ定例会で新たな脅威を紹介→ 必要ならルール修正
3.4. A.5.23 クラウドサービス利用の情報セキュリティ(新設)
この項目は「クラウド利用時に責任分界点を把握し、適切なアクセス制御・暗号化・監視を行う」ことが求められています。
おすすめ対応策:
AWSやAzureなどクラウドのベストプラクティス(多要素認証、IP制限)を導入
契約時にSLA(サービスレベルアグリーメント)や監査レポート提供を確保
4. 【人的】管理策一覧(6項)
4.1. A.6.1 Screening(採用時の身元確認)
この項目は「採用・外部委託スタッフを雇う際、必要な身元確認や適正チェックを行う」ことが求められています。
おすすめ対応策:
新規採用時に簡易経歴・反社チェック
重要職務は厳格な審査(推薦状や前職経歴証明など)
4.2. A.6.3 情報セキュリティ意識向上・教育
この項目は「社員がセキュリティルールを理解し、誤操作を防ぐため定期研修を行う」ことが求められています。
おすすめ対応策:
新入社員研修・定期研修にフィッシング演習やパスワード管理講座を組み込み
SNS使用ガイドライン・リモートワーク注意点をわかりやすく解説
4.3. A.6.7 リモートワーク(Remote working)【新設強化】
この項目は「在宅勤務や外出先での作業を安全に行うルールを定め、リスクを管理する」ことが求められています。
おすすめ対応策:
VPN接続必須、端末のフルディスク暗号化、パスワードロック設定
公共Wi-Fi利用禁止 or 追加認証などリスクレベルに応じて対策
5. 【物理的】管理策一覧(7項)
5.1. A.7.1 物理セキュリティ境界
この項目は「オフィスやサーバールームの境界を明確にし、未承認の立ち入りを防止する」ことが求められています。
おすすめ対応策:
入退室カードや来訪者記録簿を導入
休日・夜間の不審動きを監視カメラやアラームで通知
5.2. A.7.10 安全な廃棄(Secure disposal)【重要強化】
この項目は「不要になった機器・媒体を安全に廃棄し、情報が漏れないようにする」ことが求められています。
おすすめ対応策:
HDDやSSDは物理破壊 or ソフトウェアで複数回上書き消去
廃棄証明書をファイリングし、監査時に提出可能に
5.3. A.7.11 物理的セキュリティモニタリング
この項目は「防犯カメラやセンサーで施設を監視し、異常を早期発見する」ことが求められています。
おすすめ対応策:
CCTVの映像を30日以上保存、深夜や休日に動体検知アラートを設定
月1回映像が正常記録されているかテスト
6. 【技術的】管理策一覧(8項)
6.1. A.8.3 マルウェア対策
この項目は「ウイルス・ランサムウェアなどのマルウェアからシステムを守る仕組みを整える」ことが求められています。
おすすめ対応策:
ウイルス対策ソフトを最新状態にし、リアルタイム検知を有効化
メールゲートウェイでスキャン、危険URLや添付を自動ブロック
6.2. A.8.4 バックアップ
この項目は「大事なデータを定期的にバックアップし、障害・誤操作時に復元できるようにする」ことが求められています。
おすすめ対応策:
重要サーバーはクラウド or 別拠点へ週1回以上バックアップ
月1回「復元テスト」を行い、実際に戻せることを確認
6.3. A.8.9 構成管理(Configuration management)【新設】
この項目は「システムやネットワーク機器の設定を記録・管理し、無許可の変更や誤設定を防止する」ことが求められています。
おすすめ対応策:
Git等のバージョン管理で構成ファイルを管理し、差分を記録
変更前後で承認フローを通し、リーダーが確認
6.4. A.8.11 データマスキング(Data masking)【新設】
この項目は「個人情報や機密データをテスト・分析で使う際に仮データに変換し、漏えいリスクを下げる」ことが求められています。
おすすめ対応策:
テスト環境に移す前に個人情報をダミー化するツールを導入
経営指標に必要な属性(年代や地域)以外は伏せ字にし、実データを扱わない
7. 管理策の活用例:ISMS導入に必要な手順
7.1. リスクアセスメントとの連動
手順: リスクアセスメントで重要リスクを選定→ 該当する管理策を「適用 or 非適用」判断→ 非適用の場合は理由を記録
効果: 規格上「抜け漏れのない対策」を検討でき、審査でも「なぜ適用しないのか」を明確に説明できる
7.2. 文書整備と実運用
ポイント: 管理策を社内規程や手順書に反映し、社員が実務で守れるよう分かりやすく書く
失敗事例: 文書だけ分厚く作成→ 現場が知らずに運用していない→ 外部審査で不適合指摘
7.3. 内部監査・マネジメントレビューでPDCAサイクルを回す
内部監査: 管理策が実行されているかチェックリストで確認
マネジメントレビュー: 経営層がリスクと対策の優先度を認識し、予算や大きな方針を決定
8. 2023年版の改訂ポイント:従来版からの主な変更
8.1. クラウド・リモートワークへの注目度上昇
新設管理策: ICT readiness, Data leakage prevention, Configuration managementなど
プロのアドバイス: クラウド利用企業はSaaS、IaaSごとに責任分担を整理し、認証審査で根拠を示すと評価が高い
8.2. IoT・脅威インテリジェンス対応
IoT機器: ネットワークに多数接続される時代、設定不備や脆弱なパスワードがリスクに
脅威インテリジェンス: 速いペースで変わるサイバー攻撃手法を追うことが必須
8.3. 番号・カテゴリ構成の刷新
4つのカテゴリ: 組織的、人的、物理的、技術的に分類 → 企業規模やリスク分野で使いやすい
コンパクト化: 114→93項目に集約し、重複を減らした
9. 不適合を防ぐポイント:各管理策のよくあるミスと対策
9.1. 文書と運用が乖離
例: 施錠必須と書いてあるが実際は施錠していない
対策: 内部監査で現場確認を徹底し、教育や周知を強化
9.2. 新規リスクに未対応(クラウド・IoTなど)
例: 新規クラウド導入が決まったのにリスクアセスメントを更新せず、管理策を適用していない
対策: 主要な環境変更時に随時リスクアセスメントを再実施し、該当管理策を適切に取り込む
9.3. マネジメントレビューが形骸化
例: 経営層が出席しない or 形だけのレビュー
対策: 資料を簡潔に、経営指標とリスクを関連づけ、レビューで意思決定がなされる仕組みを作る
10. まとめ:JIS27001管理策を理解し、ISMSを効果的に導入しよう
10.1. 項目を理解する意義
2015年版(旧版)からの変化点が一目で分かる
審査合格だけでなく、実質的なセキュリティ向上に活かせる
10.2. 具体的対応策が成功の鍵
「この項目は○○が求められています」→ 自社の運用ルールや手順に落とし込み、守りやすい仕組みを作る
社内教育や内部監査で定期確認→ 形骸化を防ぎ、常に最新の脅威に対応
10.3. これからのステップ:内部監査・外部審査・持続的PDCA
内部監査: 重点管理策が実行されているかチェック
外部審査: 不適合指摘を最小限に抑えつつ、改善を進める
最終メッセージ: 「管理策一覧」は単なるチェックリストで終わらず、企業リスクに合わせた実務的運用をぜひ実践してみてください
おわりに
JIS27001(ISO27001:2022)の管理策は、組織的・人的・物理的・技術的の4カテゴリに再編され、主要項目をカバーします。
主旨: 新たな脅威(クラウド、リモートワーク、IoTなど)に備え、企業が抜け漏れなくリスク対策を行えるように設計。
行動: 自社のリスクアセスメントに合わせ、必要な管理策を適用し、不要なものは正当な理由をつけ非適用→ 「運用しやすいISMS」を作り上げる。
成果: こうした管理策をしっかり実行すると、外部審査合格だけでなく、実際のセキュリティ事故低減や顧客信頼度向上にもつながります。ぜひ本記事の一覧と対応策を参考に、2023年版のJIS27001を活かしたISMS導入を進めてみてください。
この記事の監修者情報
金光壮太 (ISOコンサルタント)
大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている。
Comments