【最新版】ISMS 2022の変更点を網羅:担当者や管理責任者が押さえておくべき審査攻略のコツ
- 【監修者】金光壮太(ISOトラストのコンサルタント)
- 3月21日
- 読了時間: 12分
▼ 目次
1. はじめに
1.1. 本記事の目的と想定読者
本記事の目的は、ISO/IEC 27001:2022(以下、ISMS 2022と呼びます)の変更点をわかりやすく整理し、審査合格に向けたステップや注意点を解説することです。特に、これからISMSを導入しようとしている企業の担当者や、既にISMSを運用しているが2022年版へのアップデートを考えている方に向けて書いています。
想定読者
新たにISO 27001:2022を取得・更新したい企業の経営者・管理者
初心者レベルからISMSについて学びたい情報システム部門の方
現場で実務を担当する際に、具体的な運用方法を知りたい方
1.2. ISMS 2022で注目すべきポイントとは?
ISMSは企業の情報資産を守るための枠組みですが、サイバー攻撃の高度化やクラウド活用の増加など、社会情勢の変化に合わせて常にアップデートが求められます。2022年版は従来の管理策体系が整理・再編され、新しい管理策(コントロール)やアトリビュート(属性)による管理が取り入れられたことが大きな特徴です。
1.3. この記事を読むとわかること
ISMS 2022の具体的な変更点と、改訂の背景にある脅威環境の変化
従来版との違いや移行のポイント、審査対策のステップ
プロのISOコンサルタントが語る現場経験・他社事例から学ぶ成功のヒント
2. ISMS(ISO/IEC 27001:2022)の概要と改訂背景
2.1. ISMSの基本:ISO/IEC 27001とは?
ISMS(Information Security Management System)とは、組織の情報を守るためのマネジメントシステムです。ISO/IEC 27001は国際規格として、下記のようなポイントを重視します。
情報セキュリティ三要素
機密性(Confidentiality)
完全性(Integrity)
可用性(Availability)
リスクアセスメントと継続的な改善
情報資産やリスクを洗い出し、対策を実行
PDCAサイクルを回しながら常にセキュリティを強化
この枠組みを正式に取得すると、「外部から見ても情報セキュリティをしっかり管理している企業」と評価されやすくなり、ビジネス上の信頼や競争優位を得られるメリットがあります。
2.2. 2022年版への改訂の経緯
ISO/IEC 27001は世界中の企業が使う規格です。最新の攻撃手法や技術動向、働き方の変化を反映するため、数年おきに内容が見直しされます。2022年版では、リモートワークやクラウドサービスなど近年急増したリスクを考慮し、従来の管理策を統合・追加して、より実態に即した形へ変更されています。
2.3. ISO/IEC 27002:2022との連携
ISO/IEC 27002は、ISMSにおける管理策の実装ガイド的な位置づけです。27001で「これこれの管理策を導入しよう」と書かれていても、具体的に「どんな手段で実装するの?」という疑問には27002が役立ちます。2022年版は、27001と27002の変更が同じタイミングで行われたため、両方を理解することで運用設計をスムーズに進めやすくなっています。
3. 【最新版】ISMS 2022の主な変更点一覧
3.1. 全体構成の変更(管理策の統合・整理)
従来のISMSではコントロール(管理策)が14のカテゴリに分かれていましたが、2022年版ではそれが4つのテーマに再編されています。
組織的な管理策
人員に関する管理策
物理的管理策
技術的管理策
こうした再編により、管理策をまとめて把握しやすくなり、企業の規模や業種ごとに柔軟に運用を設計しやすくなりました。
3.2. 追加・削除・改名された管理策
追加された管理策
例)クラウドサービスのセキュリティ管理、リモートワーク端末の保護、脆弱性管理の強化 など
削除・統合された管理策
従来「重複」していた項目や、流れが似ているコントロールが一本化され、スリム化・明確化が進んでいます。
3.3. アトリビュート(属性)による管理の導入
2022年版の目玉の一つが、アトリビュート(属性)による分類です。これは各管理策に「組織の目的」「セキュリティ性質」など複数の属性を紐づけ、マッピングしやすくする方法です。たとえば「クラウドセキュリティ」に該当する管理策でも、「データ保護」「可用性確保」といった複数の観点で管理を行うことで、漏れなく対策を施すことができます。
3.4. その他細かな改訂点
用語の見直し(より国際的な表現への変更など)
各管理策の説明をわかりやすく再整理
旧版から新版本へ移行するための注意事項が追記
4. 改訂の背景:なぜISMSは変わったのか?
4.1. 脅威環境の変化(ランサムウェア、APT攻撃 など)
近年、ランサムウェアや高度な標的型攻撃(APT攻撃)が企業・官公庁を狙う事例が急増しています。これらの攻撃は組織的かつ長期的に行われるため、従来の静的なセキュリティ対策だけでは対応しきれません。ISMS 2022では、脅威情報の収集や脆弱性管理の強化など、継続的なアップデートを促す仕組みが拡充されました。
4.2. デジタルトランスフォーメーション(DX)との関わり
企業がクラウドやビッグデータ、AIを積極的に活用するDX(デジタルトランスフォーメーション)が進むなかで、境界のないセキュリティがテーマになっています。ISMS 2022は、クラウド環境やリモートワークでも安全性を維持できるよう、管理策を整理しており、DX時代の攻撃リスクに対応しやすい内容になっています。
4.3. 世界各国の規制・他フレームワークとの整合性
EUのGDPR(General Data Protection Regulation)や、アメリカのNIST CSFなど、世界規模でセキュリティやプライバシー保護の規制強化が進んでいます。ISMS 2022では、これら外部フレームワークとも整合性を高めており、グローバル企業にとっては統合的なマネジメントを行いやすくなっています。
5. 2022年版ISMSへの移行で気をつけるポイント
5.1. 既存運用とのギャップ分析(Gap Analysis)の重要性
既にISMSを導入している場合、旧版の管理策をどの程度カバーできているのかを確認するために、ギャップ分析が欠かせません。
手順書やルールが旧版管理策前提になっていないか?
新たに追加された管理策に対応する運用があるか?
こうしたギャップを洗い出し、不足している対策を重点的に補うことで、スムーズに2022年版へ移行できます。
5.2. 文書管理・管理策マッピングの見直し
ISMSの審査では、管理策に対応する運用や文書が整っているかが評価ポイントです。新版への移行に伴い、管理策番号が変わるケースも多々あるため、手順書やチェックリストを最新版へマッピングし直す必要があります。
5.3. 経営層・各部門を巻き込む運用体制づくり
大きな改訂を伴う場合、「情報システム部門だけ」で対応しようとするとリソースが足りません。経営層からの支援(予算・人員など)や、現場部門の協力を得るために、全社横断的なプロジェクト体制を構築するとスムーズです。アトリビュート(属性)管理を導入する場合も、各部署の業務をしっかり理解していないと正しい属性を付けにくいので、巻き込み力が重要です。
5.4. 移行スケジュールと審査対応
ISO認証を受ける際、審査機関によっては移行猶予期間が設定される場合があります。例えば「今後2〜3年以内に新版本へ更新しなければならない」など、具体的なスケジュールが決まっているかもしれません。内部監査や模擬審査を活用し、十分な時間をかけて準備するのが望ましいです。
6. 審査を乗り越えるための実践ステップ
6.1. ステップ1:リスクアセスメントと優先順位設定
リスクアセスメントはISMSの基本中の基本です。2022年版では管理策が再編されたことで、新たに注目すべき脅威や古い対策の見直しが必要になるでしょう。
例: リモートワークが増加したなら、VPNや端末管理のリスクを改めて評価
優先順位: ビジネス影響度が大きい資産から着手し、段階的に広げる
6.2. ステップ2:管理策の実装・運用テスト
新たに追加・変更された管理策を実際の運用に落とし込む段階です。例えば、「クラウド環境のアクセスログ管理」が追加されたなら、AWSやAzureなどのログ管理ツールの導入や運用テストを行う必要があります。
プロの視点: 「単にツールを導入するだけ」で終わらせず、定期的なログレビューや異常検知プロセスを明確にすることが大切です。
6.3. ステップ3:内部監査・経営レビューの徹底
ISMSを“形だけ”で終わらせないために、内部監査と経営レビューが不可欠です。
内部監査で「実際の運用」と「ドキュメント」の整合性を確認
経営層によるマネジメントレビューで、リスクと投資効果を見極め、必要な予算と優先度を設定
6.4. ステップ4:外部審査への臨み方と注意点
審査前に模擬審査を行い、指摘が出そうな部分を事前に潰しておく
新管理策の導入理由と運用実態を説明できるように、**エビデンス(証拠)**を準備
審査員は「トップマネジメントの関与」を重視する傾向が強いため、経営層がしっかり理解していることをアピールするとスムーズ
7. 失敗しがちなポイントと対処法
7.1. 対応が形骸化し、“形だけ”の管理策になる
文書や手順書は最新版に合わせて更新したものの、現場のオペレーションが全く変わっていないというケースです。
対策: 定期的な教育や訓練を実施し、実際の業務プロセスを検証する。フィッシングメール演習などの“実践型”が有効
7.2. 既存管理策を無理に改修して混乱を招く
旧版と新版本の管理策対応を短期間で一気にやろうとすると、部署間の連携不足や文書の重複が起きがちです。
対策: ステップを分け、ギャップ分析で優先度が高いものから着手する。全体マッピングを整理しつつ段階的に導入
7.3. 経営層や他部門が積極的に協力しない
経営層が「セキュリティはIT部門の仕事」と捉えると、予算承認や人員配置が後手に回り、運用が立ち行かないことが多いです。
対策: リスクを数値化し、ビジネスインパクトを経営層に示す。実際のセキュリティ事故が起きた場合の損失(信用失墜、顧客離脱など)を具体的に説明し、トップの理解を得る
7.4. 審査対応を直前に駆け込みで行い、検証不十分
「審査一週間前にマニュアルを全更新」などの駆け込み対応は、実際の運用と整合性が取れなくなるリスクが大。審査員から「絵に描いた餅」と見なされる可能性が高いです。
対策: 半年〜1年前から計画を立て、内部監査や模擬審査を複数回行って検証を重ねる
8. 他社事例:ISMS 2022変更対応で成功した企業のポイント
8.1. 製造業A社:クラウド活用とセキュリティ強化の同時進行
A社は生産管理システムを一部クラウドへ移行する際、ISMS 2022への移行を決定。ギャップ分析で足りない管理策を特定し、クラウドアクセス制御やログモニタリングを強化しました。製造部門が新システム活用に積極的で、現場からも改善提案が多数出たため、スピーディに移行を完了。審査でも「部門横断的な運用意識が高い」と評価されました。
8.2. 金融業B社:トップマネジメントの積極介入で短期導入に成功
B社は世界的に拠点を持つ金融機関で、セキュリティ事故のリスクが経営課題でした。経営層が直々にプロジェクトリーダーを任命し、週次で進捗報告と課題確認を実施。外部コンサルタントのサポートでドキュメント整備も効率化し、通常より短い期間(約6カ月)で新版移行ができました。審査後は海外拠点への横展開もスムーズに行われています。
8.3. ITサービスC社:アトリビュート管理で柔軟なセキュリティ運用
IT企業C社では、多種多様なサービスを提供しており、従来のコントロール番号だけでは管理しきれないという課題がありました。2022年版で導入されたアトリビュート(属性)管理を活用し、「ビジネスプロセス」「技術領域」「リスクレベル」などの属性で管理策を分類。審査員からも「サービスが多様化していても、一貫性のあるセキュリティ管理ができている」と高評価を得られました。
9. FAQ:ISMS 2022に関するよくある質問
9.1. 「2022年版への移行期限はいつまで?」
一般的に、審査機関が示す移行期間があります(例:2〜3年程度)。ただし詳細は認証機関によって異なるため、早めに確認するのがベスト。移行スケジュールを余裕をもって組みましょう。
9.2. 「旧版からの変更作業はどのくらいの期間が必要?」
企業規模やリスクレベル、既存の文書整備状況によりますが、6カ月〜1年くらいかけて準備するのが理想です。大規模企業や多拠点の場合は1年以上かかるケースもあります。
9.3. 「新規導入と既存運用のギャップは大きい?」
新規導入なら、最初から2022年版の基準で運用設計を行うのでスムーズです。一方、既存運用からの移行は、管理策マッピングや文書更新に工数がかかります。ただし、既存の仕組みを流用できるメリットもあるため、一概に手間が増えるわけではありません。
9.4. 「27001:2022と27002:2022、どちらを重視すべき?」
27001は認証基準として必須です。一方、27002は実装の手引きで法的拘束力はありませんが、より具体的な実践方法が書かれているため、27001で足りない部分を補う必読書と考えましょう。
10. まとめ:ISMS 2022を活かしてセキュリティ体制を強化しよう
10.1. 記事の総括:改訂内容と審査対策の要点
ISMS 2022(ISO/IEC 27001:2022)は、従来よりもクラウドやDX環境を念頭に置いた管理策を整備しており、新しい管理策の追加や属性管理が特徴です。審査対策では以下がポイントとなります。
ギャップ分析で不足管理策を明確化
文書やマニュアルを新版管理策に合わせて再編
内部監査・経営レビューで実運用と方針を整合
早めのスケジュールで移行計画を進める
10.2. 次のアクション:早めの計画と全社的な連携がカギ
ISMS 2022は企業規模や業種を問わず、柔軟に運用設計が可能な形に再整理されています。その分、自社に合ったやり方を構築するには経営層と現場が協力し、全社的に意識を高める必要があります。
経営層への早めの報告と予算確保
部門横断プロジェクトでのギャップ分析・マッピング作業
定期的な監査と教育で運用を定着
あとがき
ISMS 2022への移行は、単なる形式的な更新ではなく、自社のセキュリティ水準を一段高めるチャンスでもあります。クラウドやDXが進む現代では、情報資産を守る仕組みを持つことが、企業の信頼や競争力につながるからです。今回の記事を参考に、ぜひ早めの計画立案と全社的な連携で、ISMS 2022を自社にマッチした形で導入・更新してみてください。
この記事の監修者情報
金光壮太 (ISOコンサルタント)
大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている
Commentaires