ページの先頭です

ページ内を移動するためのリンク
本文(c)へ

セキュリティの部屋

ここから本文です。

【詳細解説】情報セキュリティ管理基準改訂(2025年)の詳細分析とISMSに基づくセキュリティポリシー作成での活用ガイド

【詳細解説】情報セキュリティ管理基準改訂(2025年)の詳細分析とISMSに基づくセキュリティポリシー作成での活用ガイド

掲載情報の概要

  • 掲載日: 2025年9月3日
  • 改訂日: 2025年9月18日
  • 掲載趣旨
    • 2025年8月に情報セキュリティ監査制度【METI】のページで、「情報セキュリティ管理基準」の改訂版が公開されました。
    • ISO/IEC 27001、27002の改訂がどのように反映されているのか、また、ISMSをベースとした企業によるセキュリティポリシー実施手順の策定においてどのように活用すべきかをまとめました。
  • 参照元
    • 生成AIにより原稿案を作成し、編集したものです。

エグゼクティブサマリー

  • 本レポートは、2025年8月に経済産業省(METI)によって公開された「情報セキュリティ管理基準」(令和7年版)の改訂内容について、詳細な分析を提供するものである。
  • この改訂は、国際標準であるISO/IEC 27001:2022およびISO/IEC 27002:2022の近代化を直接反映したものであり、従来のコンプライアンス遵守を主眼とした受動的なセキュリティ対策から、脅威を能動的に認識し、最新の技術動向に対応する動的なフレームワークへのパラダイムシフトを意味する。
  • 本レポートでは、改訂の核心となる構造的変更点を解体し、新たに追加された11の管理策を詳細に分析するとともに、組織が既存の情報セキュリティマネジメントシステム(ISMS)を再編成し、セキュリティポリシーと実施手順を整合させるための段階的かつ実践的なロードマップを提示する。
  • 本レポートの核心的論点は、2025年の改訂が単なるコンプライアンス上の障壁ではなく、日本企業がセキュリティ体制を成熟させ、事業のレジリエンスを強化し、自社のISMSを、複雑化するデジタル社会において信頼を構築する能動的かつ価値創造型の資産へと変革させるための戦略的機会であるという点にある。

第1章:2025年版情報セキュリティ管理基準改訂の解体

  • 本章では、改訂された基準の背景と核心的な変更点を明らかにし、グローバルなセキュリティ動向が国内の規制更新にどのように結びついているかを解説する。

1.1. 改訂の背景と推進要因:国内改訂のグローバルな文脈

  • 今回の改訂は、日本独自の取り組みではなく、サイバーセキュリティの脅威と実践における世界的な進化を反映したものであり、その内容は国際規格ISO/IEC 27001:2022および27002:2022の更新に直接起因するものである 。
  • この改訂を促した主要な推進要因は、現代のデジタル環境が直面する複合的な課題に集約される。
  • 第一に、サイバー攻撃の高度化が挙げられる。
    • 国家が関与する攻撃や、サプライチェーンの脆弱性を突く攻撃、未知のマルウェアなど、脅威の複雑性と巧妙さは増す一方である 。
    • 従来の静的な防御策では、これらの持続的かつ高度な脅威に対応することが困難となり、より能動的でインテリジェンスに基づいた防御メカニズムが不可欠となった。
  • 第二に、技術的・社会的変化である。
    • クラウドサービスの全面的な採用、IoTデバイスの爆発的な増加、5G通信の普及、そしてパンデミックを契機としたリモートワークの常態化は、従来の「境界防御モデル」を事実上無効化した 。
    • 企業のデータやシステムは、もはや物理的なデータセンター内に留まらず、地理的に分散した環境に存在しており、これに対応する新たなセキュリティモデルの構築が急務となっていた。
  • 第三に、IT資産の分散化である。
    • オンプレミスのデータセンター中心の考え方から、複数のクラウドプロバイダーを利用するマルチクラウド環境へと移行が進んだことで、資産の可視化、管理、保護に関するアプローチを根本的に見直す必要が生じた 。
  • 経済産業省による2025年8月の改訂公表は、これらの国際的なベストプラクティスを日本の「情報セキュリティ監査制度」の枠組みに正式に取り込むことを意味する 。
  • これにより、日本企業はグローバルスタンダードとの整合性を確保し、国際的なビジネス展開やサプライチェーンにおける信頼関係の構築を円滑に進めることが可能となる。
  • この改訂は、単なる国内規制の更新ではなく、日本企業が国際競争力を維持し、グローバルなデジタル経済圏で安全に活動するための基盤整備と位置づけられる。

1.2. 核心的な構造変更:箇条からテーマ別管理策へ

  • 今回の改訂における最も重要な構造的変更は、ISO/IEC 27002:2022のフレームワークを採用した点にある。これにより、従来の14の管理策分類(旧版のA.5からA.18)が、4つの高レベルなテーマに再編成された 。

  • 5. 組織的管理策 (Organisational Controls):

    • 情報セキュリティ方針、ガバナンス、資産管理、要員のセキュリティ、供給者関係といった組織運営の根幹に関わる管理策群。(37管理策)

  • 6. 人的管理策 (People Controls):

    • 従業員の意識向上、責任、リモートワーク、インシデント報告など、人に焦点を当てた管理策群。(8管理策)

  • 7. 物理的管理策 (Physical Controls):

    • 施設、設備、資産の物理的な保護、監視、媒体の安全な取り扱いなどに関する管理策群。(14管理策)

  • 8. 技術的管理策 (Technological Controls):

    • アクセス制御、ネットワークセキュリティ、暗号化、セキュアな開発・運用、ログ取得・監視といった技術的な側面に焦点を当てた管理策群。(34管理策)

  • 管理策の総数は114から93へと整理された。しかし、これは要求事項の削減を意味するものではない。

    • 実際には、内容が近しい24の管理策が統合され、58の管理策が現代の状況に合わせて更新され、そして新たに11の管理策が追加された結果である 。

  • 実質的に削除された管理策は存在しない。

  • この構造変更は、単なる分類の見直しに留まらない。

    • それは、セキュリティ対策を個別のドメイン(例:「アクセス制御」「暗号」)で捉えるサイロ化されたアプローチからの脱却を促すものである。

  • 4つのテーマは、セキュリティが組織、人、物理的環境、そして技術という複数の側面が統合されて初めて機能するという、より現実的で包括的な視点を組織に要求する。

  • さらに、今回の改訂では「属性(Attribute)」という新たな概念が導入された。

  • これにより、各管理策を異なる視点から分類・表示することが可能になった。

    • 例えば、「サイバーセキュリティ概念」という属性を用いれば、93の管理策を「識別(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」という5つの機能にマッピングできる 。
    • この機能は、NISTサイバーセキュリティフレームワーク(CSF)のような他のフレームワークとの連携を容易にし、組織が自社のセキュリティ能力を機能的な観点から評価・構築することを支援する。

  • これは、コンプライアンス遵守のための「チェックリスト」としてのISMSから、実際の脅威に対処するための「能力構築フレームワーク」としてのISMSへの進化を象徴している。

1.3. 新旧対照:平成28年版から令和7年版へ

  • 旧版である平成28年改正版は、JIS Q 27001:2014およびJIS Q 27002:2014を基礎としていた 。
  • これに対し、新しい令和7年版は、ISO/IEC 27001:2022(対応JISはJIS Q 27001:2023)およびその実践規範であるISO/IEC 27002:2022の内容を直接的に取り込んでいる。
  • この完全な整合により、経済産業省の基準における 「マネジメント基準」はISO 27001の本文(箇条4~10)の変更を反映し、「管理策基準」は附属書Aに記載された新しい93の管理策(4つのテーマで構成)と直接的に対応する ことになる 。
  • この整合性は、日本企業にとって二重のメリットをもたらす。
  • 国内の監査制度に準拠することが、そのまま国際標準への準拠を意味するため、グローバルに事業を展開する企業はコンプライアンス活動を大幅に効率化できる。
  • 特に、サプライチェーン全体でのセキュリティ確保が強く求められる現代において、国内外で共通の基準を持つことは、取引先との信頼関係を構築し、監査や評価の重複を避ける上で極めて重要である。
  • これは、国内法規制への対応が、そのままグローバルなビジネスにおける競争力強化に繋がることを意味している。
表1:情報セキュリティ管理基準の構造比較分析(平成28年版 vs 令和7年版)
  • セキュリティ管理者が改訂に対応する最初のステップは、既存の管理策が新しい構造の中でどこに位置づけられ、どのように変化したかを正確に把握することである。
  • 以下の表は、そのマッピング作業を支援し、ギャップ分析の出発点となることを目的としている。
旧管理策分類(平成28年版) 旧管理策の例(平成28年版) 新テーマ(令和7年版) 新管理策へのマッピング(令和7年版) 変更の種類
A.6 人的資源のセキュリティ A.6.2 雇用期間中 6. 人的管理策 6.3 情報セキュリティ意識向上教育及び訓練 更新・統合
A.8 資産の管理 A.8.1 資産に対する責任 5. 組織的管理策 5.9 情報及びその他の関連資産の目録 更新
A.9 アクセス制御 A.9.4 システム及びアプリケーションのアクセス制御 8. 技術的管理策 8.3 情報へのアクセス制限 更新・細分化
A.12 運用のセキュリティ A.12.4 ログ取得及び監視 8. 技術的管理策 8.15 ログ取得、8.16 監視活動 分割・詳細化
A.13 通信のセキュリティ A.13.1 ネットワークのセキュリティ管理 8. 技術的管理策 8.20 ネットワークのセキュリティ 更新
A.14 システムの取得、開発及び保守 A.14.2 開発及び支援のプロセスにおけるセキュリティ 8. 技術的管理策 8.25 セキュア開発ライフサイクル、8.28 セキュリティに配慮したコーディング 分割・新規追加
A.17 情報セキュリティインシデント管理 A.17.1 情報セキュリティインシデント管理の計画及び準備 5. 組織的管理策 5.24 情報セキュリティインシデント管理の計画及び準備 更新
A.18 事業継続マネジメント A.18.1 情報セキュリティにおける事業継続 5. 組織的管理策 5.29 事業中断・阻害時の情報セキュリティ、5.30 事業継続のためのICTの備え 分割・新規追加
(該当なし) (該当なし) 5. 組織的管理策 5.7 脅威インテリジェンス 新規
(該当なし) (該当なし) 5. 組織的管理策 5.23 クラウドサービスの利用における情報セキュリティ 新規
(該当なし) (該当なし) 8. 技術的管理策 8.12 データ漏えい防止 新規

第2章:新たに統合された管理策の詳細分析

  • 本章では、改訂によって新たに追加された11の管理策について、その目的、実装上の要点、そして戦略的な重要性を詳細に解説する。
  • これらの新しい管理策は、現代のサイバーセキュリティ環境における最重要課題に対応するために設計されている。

2.1. 組織的管理策:ガバナンスと将来予測の強化

管理策 5.7 脅威インテリジェンス (Threat Intelligence)
  • この管理策は、今回の改訂における最も象徴的な追加項目の一つであり、受動的な防御から能動的なセキュリティ体制への転換を強く促すものである。
  • 組織は、既存および新たな脅威に関する情報を体系的に収集・分析し、その結果をセキュリティに関する意思決定に活用することが求められる。
  • これは、単にセキュリティニュースを購読すること以上の活動を意味する。具体的には、攻撃者の戦術・技術・手順(TTPs)、標的となりやすい業界の動向、新たな脆弱性情報といった脅威データを分析し、自組織のリスク評価の精度向上、脆弱性対応の優先順位付け、セキュリティツール(SIEM, EDR等)の設定最適化に繋げるプロセスを確立する必要がある。
  • 脅威インテリジェンスは、経営層の戦略的意思決定を支援する「戦略的インテリジェンス」、CSIRTの活動を導く「運用的インテリジェンス」、そしてセキュリティ機器に具体的な防御ルールを提供する「戦術的インテリジェンス」の3つのレベルで活用される 。
管理策 5.23 クラウドサービスの利用における情報セキュリティ (Information security for use of cloud services)
  • クラウドサービスの普及という現代のIT環境を直接的に反映したこの管理策は、クラウドサービスの導入から利用、管理、そして利用終了に至るまでのライフサイクル全体にわたるセキュリティ要求事項を形式化するものである。
  • 組織は、クラウド利用に関する明確なセキュリティポリシーを策定することが求められる。
  • このポリシーには、クラウド上で取り扱うデータの分類基準、クラウドプロバイダーに求めるセキュリティ要件(契約上の要求事項を含む)、設定ミスを防ぐための構成管理基準、そしてサービスを終了する際のデータ消去手順などを定義する必要がある 。
  • これは、クラウド環境における「責任共有モデル」を組織が正しく理解し、自社の責任範囲におけるセキュリティ対策(特に設定ミスによる情報漏洩リスク)に確実に対処することを目的としている。
管理策 5.30 事業継続のためのICTの備え (ICT readiness for business continuity)
  • この管理策は、従来の事業継続計画(BCP)の概念を、ITインフラの技術的な側面にまで落とし込んだものである。
  • 単にデータのバックアップを取得するだけでなく、事業継続の目標を達成するために、ITインフラが実際に復旧可能であり、かつその能力が維持されていることを確実にすることが求められる。
  • 具体的には、事業影響度分析(BIA)の結果に基づき、システムごとの目標復旧時間(RTO)および目標復旧時点(RPO)を定義し、それらを実現するための技術的構成(例:システムの冗長化、災害対策サイト)を計画・実装し、定期的な復旧テストを通じてその有効性を検証することが含まれる 。

2.2. 物理的管理策:施設セキュリティの近代化

管理策 7.4 物理的セキュリティの監視 (Physical security monitoring)
  • この管理策は、オフィスやデータセンターといった物理的に重要なエリアへの不正アクセスを監視し、抑止するための技術的な監視システムの利用を要求するものである。
  • これは、警備員の配置といった人的な対策を補完し、より高度な物理的セキュリティを実現することを目的とする。
  • 具体的には、監視カメラ(CCTV)や入退室管理システム、侵入検知センサーなどを導入し、これらのシステムが生成するアラートを監視し、インシデント発生時に迅速に対応するための手順を整備することが求められる。

2.3. 技術的管理策:サイバー防御のための新たな武器

管理策 8.9 構成管理 (Configuration Management)
  • この管理策は、ハードウェア、ソフトウェア、サービス、ネットワークを含む全てのIT資産について、セキュリティを確保するための構成基準を確立し、文書化し、管理・監視することを義務付けるものである。
  • これは、脆弱性の発生源となる設定ミスや不正な変更を組織的に防止するための基礎となる。
  • 実装には、セキュリティ強化ガイドライン(ハードニングガイド)に基づいた標準構成(ベースライン)の定義、および構成管理データベース(CMDB)の維持、そしてクラウド環境においてはCSPM(Cloud Security Posture Management)ツールなどを活用した構成ドリフト(意図しない設定変更)の継続的な監視が含まれる。
管理策 8.10 情報の削除 (Information deletion)
  • この管理策は、組織が定める保持期間ポリシーに基づき、不要になった情報を安全かつ完全に削除することを要求する。
  • これは、GDPRなどに代表されるデータ最小化の原則に対応するものであり、不要なデータを保持し続けることによる情報漏洩リスクを低減することを目的とする。
  • 組織は、データ種別ごとの保持期間を定義したポリシーを策定し、そのポリシーに従ってデータを削除するための技術的な手順(例:暗号学的消去、物理的破壊)を確立・実行する必要がある。
管理策 8.11 データマスキング (Data masking)
  • この管理策は、本番環境以外の環境(例:開発、テスト環境)で機密データを利用する際に、個人情報や機密情報を保護するための技術の利用を推奨するものである。
  • 具体的には、データを意味のある別のデータに置き換える(仮名化、匿名化、トークン化など)ことで、万が一データが漏洩した場合でも、元の機密情報が露見することを防ぐ。
管理策 8.12 データ漏えい防止 (Data Leakage Prevention - DLP)
  • この管理策は、機密情報が組織の管理下から不正に持ち出されたり、送信されたりすることを検知・防止するための技術的対策の導入を要求する。
  • これは、メール、Web、USBメモリ、クラウドストレージなど、様々な経路(データ・イン・モーション、データ・イン・ユース、データ・アット・レスト)を監視対象とする。
  • 一般的には、コンテンツの内容を分析し、事前に定義されたポリシー(例:「個人情報を含むファイルを外部へ送信禁止」)に基づいて通信をブロックまたは警告するDLPツールの導入によって実装される。
管理策 8.16 監視活動 (Monitoring activities)
  • この管理策は、ログ取得(8.15)で収集された情報を活用し、ネットワーク、システム、アプリケーションにおける異常な振る舞いや潜在的なセキュリティインシデントを検知するための能動的な監視を要求する。
  • これは、単にログを保存するだけでなく、SIEM(Security Information and Event Management)のようなツールを用いてログを相関分析し、攻撃の兆候を示すアラートを生成し、セキュリティアナリストが脅威ハンティングを行うといった、プロアクティブな活動を意味する。
管理策 8.23 ウェブフィルタリング (Web filtering)
  • この管理策は、従業員がインターネットを閲覧する際に、マルウェア感染やフィッシングサイトといった悪意のあるコンテンツにアクセスすることを防ぐため、外部ウェブサイトへのアクセスを制御することを義務付ける。
  • これは通常、プロキシサーバーやセキュアウェブゲートウェイ(SWG)を導入し、既知の悪性サイトのカテゴリやURLをブロックするポリシーを適用することによって実現される。
管理策 8.28 セキュリティに配慮したコーディング (Secure coding)
  • この管理策は、「シフトレフト」の考え方を具体化したものであり、ソフトウェア開発ライフサイクル(SDLC)の全段階を通じて、セキュアコーディングの原則を確立し、適用することを要求する。
  • これには、開発者に対するセキュアコーディング教育の実施、組織としてのコーディング規約の策定、静的アプリケーションセキュリティテスト(SAST)や動的アプリケーションセキュリティテスト(DAST)といった脆弱性診断ツールの導入、そしてコードレビューの義務化などが含まれる。
  • これにより、開発の初期段階で脆弱性を発見・修正し、リリース後の手戻りコストやセキュリティリスクを大幅に削減することを目指す。
表2:11の新規管理策の概要と戦略的意義
  • 以下の表は、セキュリティ管理者が11の新規管理策を迅速に理解し、その導入計画を策定するためのクイックリファレンスである。
  • 各管理策の核心的な目的、具体的なアクション、そして組織にもたらす戦略的な価値を要約している。
管理策ID 管理策名 核心的な目的 即時アクション(ポリシー/手順) 必要な能力/ツール 戦略的意義
5.7 脅威インテリジェンス 受動的防御から、脅威情報を活用した能動的・予測的防御への転換 脅威情報の収集・分析・活用手順を策定。リスク評価プロセスに脅威インテリジェンスの入力を義務付け。 脅威インテリジェンスフィード(商用/OSS)、SIEM/SOARとの連携 セキュリティ投資の優先順位付けをリスクベースで最適化。セキュリティ部門をコストセンターからビジネスインテリジェンス機能へ転換。
5.23 クラウドサービスの利用における情報セキュリティ クラウド利用のライフサイクル全体にわたるセキュリティとガバナンスの確立 クラウド利用ポリシーを策定(承認プロセス、データ分類、プロバイダー選定基準を含む)。 CSPM、CASB、クラウドプロバイダーのセキュリティ評価チェックリスト クラウド移行を安全に加速させ、DXイニシアチブを支援。責任共有モデルにおける自社責任を明確化。
5.30 事業継続のためのICTの備え BCP目標達成のためのITインフラの回復力と可用性の確保 BIAに基づきRTO/RPOを定義。IT災害復旧計画を策定し、定期的なテストを義務付け。 冗長化構成、災害対策サイト、バックアップ・リストアソリューション サイバー攻撃や自然災害発生時の事業停止時間を最小化し、事業レジリエンスを向上。
7.4 物理的セキュリティの監視 重要な物理的エリアへの不正アクセスを技術的に監視・抑止 監視対象エリアと監視要件を定義。インシデント対応手順に物理的侵入シナリオを追加。 監視カメラ(CCTV)、入退室管理システム、侵入検知システム 内部不正や物理的破壊のリスクを低減し、情報資産の物理的な安全性を確保。
8.9 構成管理 IT資産のセキュリティ構成を標準化し、不正な変更や設定ミスを防止 主要なシステム/ネットワーク機器のセキュアな構成基準(ベースライン)を策定。変更管理プロセスとの連携を定義。 CMDB、CSPM、脆弱性スキャナ 攻撃対象領域を縮小し、一貫性のあるセキュリティレベルを維持。インシデント発生時の原因調査を迅速化。
8.10 情報の削除 データ保持期間を過ぎた情報を安全に削除し、データ最小化を実現 データ分類ごとの保持期間ポリシーを策定。安全なデータ削除手順(物理破壊、暗号学的消去)を定義。 データ分類ツール、媒体破壊サービス、データ消去ソフトウェア 不要なデータ保持による漏洩リスクとストレージコストを削減。プライバシー規制への準拠を支援。
8.11 データマスキング 非本番環境における機密データを保護し、内部漏洩リスクを低減 データマスキングの適用対象(個人情報、決済情報等)と手法を定義した規程を策定。 データマスキングツール、仮名化・匿名化技術 安全なテストデータ活用を可能にし、アジャイル開発やデータ分析を促進。
8.12 データ漏えい防止(DLP) 機密情報の不正な外部持ち出し・送信を検知・防止 DLPポリシーを策定(監視対象データ、検知ルール、インシデント対応フローを定義)。 ネットワークDLP、エンドポイントDLP、クラウドDLPソリューション 内部不正や従業員の過失による重大な情報漏洩インシデントを防止。知的財産や顧客情報を保護。
8.16 監視活動 ネットワークやシステムの異常な振る舞いを能動的に監視し、インシデントを早期検知 SIEMの監視ユースケースを定義。脅威ハンティングのプロセスを策定。 SIEM、SOAR、NDR/EDRツール 「侵入されること」を前提とした検知・対応能力を強化(Assume Breach)。インシデントの被害拡大を阻止。
8.23 ウェブフィルタリング 従業員をマルウェアやフィッシングサイトなどのWeb上の脅威から保護 Webアクセスに関する利用規定を策定。フィルタリングカテゴリと例外申請プロセスを定義。 セキュアウェブゲートウェイ(SWG)、プロキシサーバー マルウェア感染の主要な侵入経路の一つを遮断し、組織全体の感染リスクを大幅に低減。
8.28 セキュリティに配慮したコーディング 開発ライフサイクルの早期段階で脆弱性を排除し、セキュアなソフトウェアを構築 セキュアコーディング規約を策定。開発プロセスへのSAST/DASTスキャンの組み込みを義務付け。 SAST/DASTツール、開発者向けセキュリティ教育プラットフォーム ソフトウェアの脆弱性を根本から削減し、リリース後の修正コストとセキュリティリスクを低減(シフトレフト)。

第3章:セキュリティポリシーと実施手順の再編成に向けた実践的ロードマップ

  • 本章では、組織が既存のISMSを新しい基準に移行させるための、段階的かつ具体的な行動計画を提示する。
  • これは、単なる文書の更新作業ではなく、セキュリティ体制を近代化するための変革プロセスである。

3.1. フェーズ1:ギャップ分析とリスクの再評価

  • 移行プロセスの第一歩は、現状と新基準が要求する状態との差異(ギャップ)を正確に特定することである。
ギャップ分析の実施
  • まず、既存のISMS文書群(情報セキュリティ基本方針、対策基準、各種手順書など)を、新しい93の管理策と照らし合わせる。本レポートの表1をマッピングの出発点として活用することで、作業を効率化できる。
  • この分析の目的
    • ①全く対応できていない管理策(主に新規11項目)、
    • ②内容の大幅な更新が必要な管理策、
    • ③軽微な修正で対応可能な管理策を明確に分類することである。
  • この段階で、全ての管理策を網羅したチェックリストを作成し、各部門の担当者と協力して現状の実施状況を確認することが推奨される。
リスクアセスメントの再訪
  • 今回の改訂は、リスクアセスメントのプロセスそのものの見直しを要求している。
  • もはや、一般的な脅威(例:「マルウェア感染」「不正アクセス」)をリストアップするだけでは不十分である。
  • 新しいリスクアセスメントは、管理策5.7「脅威インテリジェンス」からの入力を必須とし、自組織が直面している具体的かつ現実的な脅威(例:「自社の業界を標的とする特定のランサムウェアグループ」「利用中のクラウドサービスの脆弱性を悪用する攻撃キャンペーン」)を特定し、評価する必要がある。
  • 同様に、管理策5.23に基づき、クラウドサービス利用に伴う特有のリスク(例:設定ミス、サプライヤーリスク)や、サプライチェーン全体に潜むリスクを明示的に評価対象に含めなければならない。
リスク対応計画の更新
  • 刷新されたリスクアセスメントの結果に基づき、リスク対応計画を全面的に更新する。
  • 新たに特定された、あるいは重要度が高まったと再評価されたリスクに対して、適切な対応策を選択する。
  • この際、新規追加された管理策(例:データ漏えいリスクに対しては8.12 DLP、Web経由のマルウェア感染リスクに対しては8.23 ウェブフィルタリング)が、有力な対応策の選択肢となる。
  • 各リスク対応策には、実施責任者、期限、必要なリソースを明確に割り当て、経営層の承認を得るプロセスが不可欠である。

3.2. フェーズ2:適用宣言書(Statement of Applicability)の改訂

  • 適用宣言書は、ISMS認証審査において最も重要な文書の一つであり、新基準への移行に伴い、完全な改訂が必要となる。
新規管理策の文書化
  • 11の新規管理策それぞれについて、自組織に適用するか否かを決定し、その判断を適用宣言書に明記する。
  • ほとんどの組織にとって、脅威インテリジェンスやクラウドセキュリティといった管理策は適用対象となるであろう。
  • 適用すると判断した管理策については、その管理策を具体的にどのように実施しているかを示す関連規程や手順書番号を明記する必要がある。
  • これにより、監査員は宣言された管理策が単なる宣言に留まらず、組織内で具体的に運用されていることを確認できる。
適用除外の再評価
  • 過去に適用除外としていた管理策についても、事業環境の変化を踏まえてその妥当性を再評価する必要がある。
  • 例えば、以前はソフトウェア開発を行っていなかったために開発関連の管理策を除外していた組織でも、現在オープンソースコンポーネントのカスタマイズやローコード/ノーコードプラットフォームを利用しているのであれば、管理策8.28「セキュリティに配慮したコーディング」の適用を検討しなければならない。
  • 適用を除外する場合、その正当な理由(例:「当該リスクが存在しないため」「他の管理策でリスクが受容可能なレベルまで低減されているため」)を、従来以上に明確かつ論理的に記述することが求められる。
  • このプロセスは、組織のリスク認識の成熟度を示す機会でもある。

3.3. フェーズ3:セキュリティポリシー階層の更新

  • 多くの組織が採用している「基本方針」「対策基準」「実施手順」の3階層のポリシー体系は、引き続き有効なベストプラクティスである 20。改訂は、この全ての階層に影響を及ぼす。
基本方針(トップポリシー)の改訂
  • 経営層によって承認される最上位の方針文書は、現代的な脅威環境を反映した内容に更新されるべきである。
  • 単なる「情報資産の保護」に留まらず、「サイバーセキュリティ」「プライバシー保護」、そして「能動的な脅威管理」へのコミットメントを明記することで、組織全体の方向性を示し、経営層のリーダーシップを明確にする。
対策基準(スタンダード)の更新
  • ここが文書改訂の中核となる部分である。新しい管理策やテーマに対応する形で、具体的な対策基準を新規作成または更新する。
  • 具体例1:新規「クラウドセキュリティ基準」の策定:
    • 管理策5.23に直接対応するため、この基準書を新たに策定する。
    • 内容には、クラウドサービス利用の承認プロセス、クラウドに保存してよいデータの分類基準、プロバイダーに求めるセキュリティ要件(契約条項案を含む)、設定管理の最低基準、そしてサービス終了時のデータ移行・消去手順などを盛り込む。
  • 具体例2:新規「セキュア開発ライフサイクル(SDLC)基準」の策定:
    • 管理策8.28に対応するため、全てのソフトウェア開発プロジェクトに適用される基準を策定する。
    • 脅威モデリングの実施、セキュアコーディング規約の遵守、SAST/DASTツールの利用、セキュリティ観点でのコードレビューなどを義務付ける。
実施手順(プロシージャ)の策定
  • 対策基準を現場の従業員が実行可能なレベルまで落とし込んだ、具体的なステップバイステップの指示書である。
  • これは、監査において管理策が実際に運用されていることを示す客観的証拠となる。
  • 脅威インテリジェンス(5.7)の実施手順例:
    • セキュリティチームが、JPCERT/CCや各種ISACからの注意喚起をどのように受信し、その情報を自組織の環境と照らし合わせて影響を分析し、関連部署(例:ネットワークチーム、サーバーチーム)に具体的な対応(例:悪性IPアドレスのブロック、脆弱性パッチの適用)を依頼するためのチケット発行プロセスを詳細に記述する。
  • データ漏えい防止(8.12)の実施手順例:
    • ITチームが、DLPツールを用いて「顧客レコードを100件以上含むファイルを、社外のメールアドレスに送信しようとした場合にブロックし、送信者とその上長、および情報セキュリティ担当者にアラートを通知する」というルールをどのように設定・テスト・適用するかを具体的に記述する。
    • これにより、高レベルなポリシーが具体的な技術的アクションに変換される。

3.4. 移行審査への準備

  • 新規格への移行期限は2025年10月31日である 4。全ての認証組織は、この日までに認証機関による移行審査を受け、認証を更新する必要がある。

  • 準備すべき主要な証拠(エビデンス): 審査員は、特に新規追加された11の管理策が、単なる「紙の上のポリシー」ではなく、組織内で完全に運用されていることを確認することに重点を置く。したがって、これらの管理策の運用を示す客観的な証拠を準備することが極めて重要である。

    • 5.7 脅威インテリジェンス:
      • 購読している脅威情報レポート、インテリジェンスを分析した会議の議事録、分析結果に基づいて実施されたアクションの記録(例:ファイアウォールルールの変更履歴、緊急パッチの適用記録)。
    • 5.23 クラウドセキュリティ:
      • 策定されたクラウドセキュリティポリシー、主要なクラウドプロバイダーに対するセキュリティ評価の記録、CSPMツールのダッシュボード画面(コンプライアンス遵守状況を示す)。
    • 8.28 セキュリティに配慮したコーディング:
      • 策定されたセキュアコーディング規約、開発者向け教育の受講記録、直近の開発プロジェクトにおけるSAST/DASTツールのスキャン結果レポート、コードレビューの実施記録。
    • 8.16 監視活動:
      • SIEMのダッシュボード画面、実際に調査されたアラートの事例、インシデント対応記録。

  • この移行プロセスは、単なるコンプライアンス活動と捉えるべきではない。

  • これは、セキュリティチームが開発、ITインフラ、調達、人事といった他部門との連携を深める絶好の機会である。

  • 例えば、「セキュリティに配慮したコーディング」を導入するには、開発部門との密な協力関係が不可欠であり、これはDevSecOps文化の醸成に繋がる。

  • 「クラウドセキュリティ」のルールを策定するには、事業部門がどのようなサービスを利用したいのかを理解し、調達部門と連携してベンダーを評価する必要がある。

  • このプロセスを通じて、セキュリティ部門は「ポリスポリス」から「ビジネスイネーブラー」へとその役割を進化させることができ、組織全体にセキュリティをより深く根付かせることが可能となる。

第4章:ISMSをコンプライアンスから戦略的資産へ昇華させる

  • 本章では、新しい基準をテコにして、多くの組織が抱えるISMSの課題を克服し、具体的なビジネス価値を創出するためのアプローチを探求する。

4.1. 「ISMS疲れ」の克服と能動的なセキュリティ文化の醸成

  • 多くの組織では、ISMSが認証取得そのものを目的とした「形骸化」した存在となり、現場の負担を増やすだけの文書作成作業に終始しているという課題を抱えている。
  • これは、ルールが複雑すぎたり、実際の業務とかけ離れていたりすることが主な原因である。
  • この「ISMS疲れ」を克服し、生きたマネジメントシステムを構築することが、今回の改訂を成功させる鍵となる。
解決策1:実践的でリスクベースのルール作り
  • 全てのルールは、リスクアセスメントの結果と直結しているべきである。
  • 特定の、識別されたリスクを軽減する目的を持たないルールは、その必要性自体を問い直すべきである。
  • ルールの策定プロセスには、実際にそのルールを遵守する現場の従業員を巻き込むことが不可欠である。
  • これにより、ルールが既存の業務フローに自然に組み込まれ、実践可能で受け入れられやすいものになる。
  • 例えば、データ分類ルールを策定する際には、実際にデータを扱う部門の意見を聞き、彼らが判断に迷わないようなシンプルで明確な基準を設けることが重要である。
解決策2:継続的で魅力的な教育プログラム
  • 年に一度の画一的な情報セキュリティ研修は、知識の定着に繋がりにくい。
  • これを、多様な手法を組み合わせた継続的な意識向上プログラムへと転換する必要がある。
  • マイクロラーニング:
    • 3~5分程度の短い動画やクイズを定期的に配信する。これにより、従業員は隙間時間を利用して学習でき、「年に一度の義務」から「日々の習慣」へと学びの形を変えることができる。
  • ゲーミフィケーション:
    • 標的型攻撃メール訓練の結果を部署対抗で競ったり、セキュリティクイズの正答率に応じてポイントを付与したりするなど、ゲームの要素を取り入れることで、従業員の学習意欲と参加意識を高めることができる。
  • ポジティブな文化醸成:
    • セキュリティは「禁止」や「罰則」の連続になりがちだが、これでは従業員は萎縮し、インシデントの隠蔽を助長しかねない。フィッシングメールを正しく報告した従業員やチームを表彰するなど、ポジティブな行動を評価する仕組みを導入することが重要である。
    • これにより、従業員をセキュリティの「監視対象」ではなく「味方」と位置づけ、組織全体で脅威に立ち向かう協力的な文化を醸成することができる。

4.2. 経営層の支持獲得と価値の証明

  • 情報セキュリティは、しばしばコストセンターと見なされ、必要な投資の確保に苦労することがある。経営層からの継続的な支持と予算を獲得するためには、セキュリティリーダーはビジネスの言語、すなわち「リスク」と「投資対効果」でその価値を語る必要がある 62。
セキュリティ投資対効果(ROSI)の算出
  • セキュリティ投資のROI(Return on Investment)を正確に算出することは困難であるが、定性的・定量的な根拠を組み合わせて説得力のある事業計画を構築することは可能である。
    • 算出アプローチ:
      • ROSIの基本的な考え方は、「(回避できた損失額 - 対策コスト) ÷ 対策コスト」で表される。
    • 実践的な応用:
      • 業界の統計データや過去の事例を活用する。例えば、「当業界における情報漏洩インシデント1件あたりの平均損害額は5億円と報告されています。
      • 今回提案する2,000万円のDLPソリューションは、最も発生可能性の高い内部からの情報持ち出しリスクを50%低減させることが期待でき、これは2億5,000万円の潜在的損失を回避する効果に相当します」といった形で説明する。
  • 重要業績評価指標(KPI)の活用:
    • ISMSの有効性と効率性を具体的に示すための指標を追跡し、経営層に定期的に報告する。
    • 運用的KPI:
      • インシデントの平均検知時間(MTTD)、平均対応時間(MTTR)、脆弱性パッチの平均適用日数、標的型攻撃メール訓練における従業員の開封率・報告率など。
      • ビジネス連携KPI:
        • 外部監査や取引先監査における指摘事項の削減数、ISMS認証を保有していることが要因で受注に繋がった案件数や金額、顧客からのセキュリティに関する問い合わせ対応工数の削減時間など。
    • これらのKPIをダッシュボードなどで可視化し、改善の進捗を示すことで、ISMSが単なるコンプライアンス活動ではなく、事業リスクの低減とビジネス機会の創出に貢献していることを具体的に証明できる。

4.3. 広範なフレームワークとの統合によるレジリエンス強化

  • 新基準の柔軟な構造と属性の導入は、ISMSを他のセキュリティやプライバシーのフレームワークと統合し、統一された管理環境を構築することを容易にする。
NISTサイバーセキュリティフレームワーク(CSF)との連携
  • 新しく導入された管理策の属性は、NIST CSFの5つの機能(識別、防御、検知、対応、復旧)と直接的に対応している。
  • これにより、組織は認証可能なマネジメントシステムとしてISO 27001を基盤としつつ、自社のサイバーセキュリティ能力をステークホルダーに説明するためのコミュニケーションツールとしてNIST CSFを活用することができる。
  • これは、特に米国を拠点とするパートナーとの間で、リスクに関する共通言語を確立する上で非常に有効である。
プライバシーフレームワーク(GDPR、改正個人情報保護法など)との連携
  • ISO 27001自体はプライバシー保護に特化した規格ではないが、そのリスクアセスメントや管理策導入のプロセスは、プライバシーコンプライアンスの強固な基盤を提供する。
  • 規格の正式名称に「プライバシー保護」が追加されたことは、この連携の重要性を示唆している。
  • 組織は、ISO 27001をベースとして、そのアドオン規格であるISO 27701(プライバシー情報マネジメントシステム - PIMS)を導入することで、ISMSをプライバシー管理体制へと拡張できる。
  • これは、GDPRをはじめとする複数のデータ保護法規制に対応する必要があるグローバル企業にとって、効率的かつ効果的なアプローチである。
成果
  • この統合的アプローチにより、ISMSは単なる「情報セキュリティ」の管理システムから、組織の「デジタル・トラスト」全体を統括する中枢神経系へと進化する。
  • セキュリティ、サイバーセキュリティ、プライバシー、事業継続といった、これまで個別に管理されがちだった領域を、ISMSという共通のガバナンスフレームワークの下で一元的に管理することが可能になる。
  • これにより、経営層は組織が直面するデジタルリスクを断片的にではなく、統合された視点で把握し、より戦略的な意思決定を下すことができるようになる。

第5章:将来展望:次世代のセキュリティ課題への備え

  • 本章では、目前の移行作業の先を見据え、改訂されたISMSを組織の将来性を確保するための基盤として位置づける方法について考察する。

5.1. AIの台頭:アルゴリズム時代のガバナンスとセキュリティ

  • 生成AIをはじめとするAI技術の急速な普及は、ISMSの枠組みの中で管理すべき新たなリスクをもたらしている。
  • これには、機密情報を学習データとして入力してしまうことによる情報漏洩リスク、プロンプトインジェクション攻撃のような新たなセキュリティリスク、そしてAIの出力における正確性やバイアスに関するリスクが含まれる。
  • 組織は
    • ISMSのリスクアセスメントプロセスを活用して、社内でのAIツールの利用に関するリスクを評価し、適切な管理策を導入すべきである。
    • 経済産業省の「AI事業者ガイドライン」や、ISO/IEC 42001(AIマネジメントシステム)といった新たな基準は、ISMSに統合可能な管理目的を提供する。
    • 逆に、AI技術はISMSの運用を高度化するためにも活用できる。
    • 例えば、AIを搭載したセキュリティツールによる脅威検知の自動化や、コンプライアンスチェックの効率化などが考えられる。
  • ISMSは
    • AIの安全な利活用を促進するためのガバナンスフレームワークとして機能するべきである。

5.2. 量子コンピュータの脅威:暗号の危殆化への備え

  • 今後10年以内に実用化が期待される大規模な量子コンピュータは、現代のデジタル社会を支える公開鍵暗号(RSA、ECCなど)の大部分を解読可能にすると予測されている。
  • これは、現時点では顕在化していないものの、長期的な視点では極めて重大なリスクであり、「Harvest Now, Decrypt Later(今、暗号化データを収穫し、将来解読する)」攻撃への備えが求められる。
  • この長期的リスクに対して
    • 組織は「暗号アジリティ(Crypto-Agility)」、すなわち暗号アルゴリズムを迅速に移行できる能力を計画的に構築する必要がある。
    • 米国国立標準技術研究所(NIST)は、耐量子計算機暗号(PQC)アルゴリズム(例:CRYSTALS-KYBER, DILITHIUM)の標準化を最終段階に進めている。
  • ISMSの観点からは
    • まず組織内の資産管理プロセスを活用し、「暗号インベントリ」を作成することから始めるべきである。
    • これは、組織内の全てのシステムやアプリケーションで使用されている暗号アルゴリズム、鍵長、証明書などを網羅した台帳である。
    • このインベントリは、将来、PQCへの移行計画を策定する際の基礎情報となり、リスクアセスメントにおいて暗号の危殆化リスクを具体的に評価することを可能にする。
  • ISMSは
    • このような未来の脅威に体系的に備えるためのマネジメントプロセスを提供する。

5.3. ゼロトラスト・アーキテクチャへの成熟

ゼロトラストは
  • 特定の製品ではなく、「決して信頼せず、常に検証する(Never Trust, Always Verify)」という原則に基づいたセキュリティの戦略的アプローチである。
  • これは、暗黙の信頼を排除し、デジタルなやり取りの全ての段階で継続的な検証を行うアーキテクチャ思想を指す。
ゼロトラストの原則は
  • NIST SP 800-207などのフレームワークで定義されており、近代化されたISMSの考え方と完全に一致する。
  • 「侵入されることを前提とする(Assume Breach)」、全てのアクセス要求を明示的に検証する、最小権の原則を徹底するといったゼロトラストの基本理念は、堅牢なリスクマネジメントを実践した結果そのものである。
改訂されたISMSは
  • 強力なID管理、厳格な構成管理、そして継続的な監視活動といった管理策を要求しており、これらはゼロトラスト・アーキテクチャを構築するための必須の構成要素である。
  • したがって、組織はISMSの導入・運用プロセスを、ゼロトラストの成熟度を段階的に高めていくためのロードマップとして活用することができる。
  • ISMSへの準拠は、ゼロトラスト実現に向けた具体的かつ体系的な第一歩となる。
これらの将来的な課題への対応は
  • ISMSが単に今日の脅威に対応するための93の管理策の集合体ではないことを示している。
  • ISMSの根幹をなすリスクアセスメント、資産管理、継続的改善といったマネジメントプロセスは普遍的であり、AI、量子コンピュータ、ゼロトラストといった未知の技術や新たな脅威にも適用可能である。
  • このことは、ISMSが組織の長期的な持続可能性とデジタル社会における信頼性を確保するための、将来を見据えた戦略的フレームワークであることを証明している。

結論

  • 2025年の「情報セキュリティ管理基準」改訂は、日本の情報セキュリティマネジメントにおける分水嶺となる。
  • これは、単なる管理策の更新に留まらず、現代のデジタル環境の現実に即した、根本的な思想の再構築を促すものである。
  • 組織が、脅威インテリジェンスを核とした能動的なセキュリティへの転換を受け入れ、組織・人・物理・技術の各テーマ領域にまたがる管理策を統合的に実践し、そしてISMSを戦略的なガバナンスフレームワークとして活用することにより、セキュリティを単なるコンプライアンス遵守の負担という認識から脱却させることが可能となる。
  • この移行は、よりレジリエントで、アジャイル、かつ信頼性の高い企業体を構築するための明確な機会を提供する。
  • それは、今日の脅威のみならず、明日の挑戦にも対応できる体制を築くための設計図である。
  • 本レポートで提示したロードマップは、セキュリティリーダーがこの変革を主導し、自社のISMSを組織の持続的な成功の礎石、そして真の競争優位性へと昇華させるための確かな道筋を示すものである。
引用文献
  1. 第1回 情報セキュリティマネジメントシステムISO/IEC 27001改訂の背景と歴史 - TWS総合研究所, 9月 3, 2025にアクセス、 https://twsri.co.jp/consulting/columnisms_1/
  2. 2023年9月20日更新:ISMS(ISO27001)認証の規格改定内容をチェック, 9月 3, 2025にアクセス、 https://www.raku-toru.com/knowledge/revision.html
  3. ISO/IEC 27001:2022への改訂―対応のためのポイントを解説 - GSX, 9月 3, 2025にアクセス、 https://www.gsx.co.jp/securityknowledge/column/202305.html
  4. 【2025最新】ISO/IEC27001(ISMS)の改訂内容を解説, 9月 3, 2025にアクセス、 https://activation-service.jp/iso/column/7146
  5. 情報セキュリティ管理基準(令和七年改正版)(経産省告示第124号)(29日) | 商事法務ポータル NEWS, 9月 3, 2025にアクセス、 https://wp.shojihomu.co.jp/archives/145179
  6. 情報セキュリティ監査制度(METI/経済産業省), 9月 3, 2025にアクセス、 https://www.meti.go.jp/policy/netsecurity/is-kansa/
  7. 情報セキュリティ監査とは?必要性や監査基準、関連資格も紹介 - アビタス, 9月 3, 2025にアクセス、 https://www.abitus.co.jp/column_voice/cisa/column_voice16.html
  8. 情報セキュリティ監査制度 | JASA (Japan Information Security Audit Association), 9月 3, 2025にアクセス、 https://www.jasa.jp/audit/
  9. 監査制度関連文書 (経済産業省公開文書) | JASA (Japan Information Security Audit Association) - 日本セキュリティ監査協会, 9月 3, 2025にアクセス、 https://www.jasa.jp/audit/meti_docs/
  10. 【ISMS改訂】最新版ISO/IEC 27001:2022の変更点、対応ポイントとは? | Codebook, 9月 3, 2025にアクセス、 https://codebook.machinarecord.com/info-security/certification/23908/
  11. ISO/IEC 27002とは?2022年の改定やISO/IEC 27001との関連性を紹介 - クミコミ, 9月 3, 2025にアクセス、 https://www.kumikomi.jp/iso-iec-27002/
  12. (パート 1) ISO/IEC 27001:2022 変更点は? 情報セキュリティと管理策の重要性 - IRCA JAPAN, 9月 3, 2025にアクセス、 https://japan.irca.org/media/category02/27001-what-changed-1
  13. ISO27001と27002の2022年改訂:管理策が114個から追加含め93個に統合, 9月 3, 2025にアクセス、 https://pdcatovision.com/iso27001-27002-2022/
  14. ISO27001附属書Aとは?役割や内容をわかりやすく解説 | ISOプロ, 9月 3, 2025にアクセス、 https://activation-service.jp/iso/column/7980
  15. 【ISO27001】最新版の改訂内容・スケジュール・移行手順を徹底解説 - TD SYNNEX株式会社, 9月 3, 2025にアクセス、 https://jp.tdsynnex.com/blog/security/iso27001-adoption/
  16. JIS Q 27001(ISO/IEC 27001)改正情報 | 日本規格協会 JSA Group Webdesk, 9月 3, 2025にアクセス、 https://webdesk.jsa.or.jp/common/W10K0700/?post_type=special&page_id=ms-sp-1_jisq27001
  17. ISO27002の改訂と変更点|DQS|ドイツ品質システム認証株式会社, 9月 3, 2025にアクセス、 https://www.dqsglobal.com/jp-jp/seminars-and-announcements/%E3%83%96%E3%83%AD%E3%82%B0/iso27002%E3%81%AE%E6%94%B9%E8%A8%82-%E5%A4%89%E6%9B%B4%E7%82%B9
  18. 講演レポート「ISO/IEC 27001:2022移行に係わる審査のポイント」, 9月 3, 2025にアクセス、 https://www.jipdec.or.jp/library/report/20230703-2.html
  19. ISO/IEC27002とは?2022年版の改訂内容も紹介 | 【公式】統合ログ管理システム Logstorage, 9月 3, 2025にアクセス、 https://logstorage.com/case/iso27002/
  20. 情報セキュリティ管理基準とは?経済産業省によるガイドラインを解説 | AvePoint Japan 株式会社, 9月 3, 2025にアクセス、 https://www.avepoint.co.jp/blog/about-security-management-standards/
  21. 情報セキュリティ管理基準とは - IT用語辞典 e-Words, 9月 3, 2025にアクセス、 https://e-words.jp/w/%E6%83%85%E5%A0%B1%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E7%AE%A1%E7%90%86%E5%9F%BA%E6%BA%96.html
  22. 情報セキュリティ管理基準 (平成28年改正版) - 経済産業省, 9月 3, 2025にアクセス、 https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf
  23. 情報セキュリティ監査とは? 概要と必要性など | 株式会社 日立ソリューションズ・クリエイト, 9月 3, 2025にアクセス、 https://www.hitachi-solutions-create.co.jp/column/security/security-audit.html
  24. 製造業の信頼を守る|情報セキュリティ監査とは?必要性から基準、資格まで徹底解説, 9月 3, 2025にアクセス、 https://www.daiko-xtech.co.jp/daiko-plus/security/informationsecurity-audit/
  25. サプライチェーン強化に向けたセキュリティ対策評価制度 構築に向けた中間取りまとめ, 9月 3, 2025にアクセス、 https://www.meti.go.jp/press/2025/04/20250414002/20250414002-2.pdf
  26. 情報セキュリティマネジメントシステム(ISMS)ISO/IEC 27001:2022への移行認証取得のお知らせ, 9月 3, 2025にアクセス、 https://1000plateaux.com/news/2024-08-27-isms-iso27001-2022-transition/
  27. サプライチェーンセキュリティの重要性と企業が実施するべき4つの取り組み - NRIセキュア, 9月 3, 2025にアクセス、 https://www.nri-secure.co.jp/blog/supply-chain-security
  28. 脅威インテリジェンスとは?主なタイプ、メリット - Zscaler, Inc., 9月 3, 2025にアクセス、 https://www.zscaler.com/jp/zpedia/what-is-threat-intelligence
  29. 組織のセキュリティ対策をより強固にする、「脅威インテリジェンス」活用に向けたステップ, 9月 3, 2025にアクセス、 https://www.lac.co.jp/lacwatch/report/20241105_004186.html
  30. 脅威インテリジェンスとは?メリットと使いどころを徹底解説 - ESET, 9月 3, 2025にアクセス、 https://www.eset.com/jp/topics-business/threat-intelligence/
  31. ISMSに追加された「脅威インテリジェンス」の活用方法 とは - インテリジェント ウェイブ, 9月 3, 2025にアクセス、 https://www.iwi.co.jp/blog/security/threat_intelligence/20240731-threat-intelligence-isms/
  32. 脅威インテリジェンスの全体像を基本から活用法まで徹底解説 | ISMS(ISO27001) 規格最新情報 コラム | 認証パートナー, 9月 3, 2025にアクセス、 https://ninsho-partner.com/isms/column/threat-intelligence/
  33. ISMSを強化する脅威インテリジェンスとは?導入メリットと失敗しない実践手順をわかりやすく解説, 9月 3, 2025にアクセス、 https://www.iso-trust.com/post/___91
  34. 【ブログ】ISMSにおける脅威インテリジェンス(1/22) - SOMPO CYBER SECURITY, 9月 3, 2025にアクセス、 https://www.sompocybersecurity.com/column/column/ti-for-isms
  35. クラウドセキュリティガイドラインとは?内容を簡単に解説 - wiz LANSCOPE ブログ, 9月 3, 2025にアクセス、 https://www.lanscope.jp/blogs/cloud_security_sca_blog/20220726_2947/
  36. 【最新版】クラウドセキュリティガイドライン|策定ポイントと運用事例, 9月 3, 2025にアクセス、 https://cybersecurity-jp.com/column/109898
  37. クラウド環境でのセキュリティの必要性と8つのセキュリティ対策|Bizコラム - インテック, 9月 3, 2025にアクセス、 https://www.intec.co.jp/column/eins-05.html
  38. CSPMとは?CWPPやSSPM、CASBとの違いや機能、ツールの選び方を解説 | yamory, 9月 3, 2025にアクセス、 https://yamory.io/blog/about-cspm
  39. CSPMとは?機能やCNAPP・CWPPとの関係、選定ポイントや導入時の注意点を解説 - 東京エレクトロンデバイス, 9月 3, 2025にアクセス、 https://esg.teldevice.co.jp/iot/azure/column/column78.html
  40. ISO27001:2022 何がどう変わったのか? - インターネットプライバシー研究所, 9月 3, 2025にアクセス、 https://jtrustc.co.jp/knowledge/iso27001-221108/
  41. ISMS審査基準 (ISO/IEC 27001)が改定される?今後の動向を予想 - SecureNavi, 9月 3, 2025にアクセス、 https://secure-navi.jp/blog/000024
  42. ISO27002:2022の管理策を導入してデータ保護を強化 - 日本ファインアート株式会社, 9月 3, 2025にアクセス、 https://www.fineart.co.jp/index.php/jp/new/column/764-iso27002-2022
  43. クラウドセキュリティポスチャマネジメント(CSPM)とは何か? | IBM, 9月 3, 2025にアクセス、 https://www.ibm.com/jp-ja/topics/cspm
  44. DLP製品徹底比較!機能やメリット、選び方まで詳しく解説 - ITトレンド, 9月 3, 2025にアクセス、 https://it-trend.jp/dlp/article/400-4762
  45. DLPとは?機密情報を守る仕組みと機能・企業が導入するメリットを解説 - SCSK, 9月 3, 2025にアクセス、 https://www.scsk.jp/sp/itpnavi/article/2023/11/dlp.html
  46. DLPとは?情報漏洩を防ぐためのセキュリティ対策方法 - NTTドコモビジネス, 9月 3, 2025にアクセス、 https://www.ntt.com/business/services/rink/knowledge/archive_82.html
  47. SIEMとは?特徴とSOARとの違い | Proofpoint JP, 9月 3, 2025にアクセス、 https://www.proofpoint.com/jp/threat-reference/security-information-event-management-siem
  48. EDR、XDR、SIEM、MDR、SOARの比較 - Sysdig, 9月 3, 2025にアクセス、 https://sysdig.jp/learn-cloud-native/edr-vs-xdr-siem-vs-mdr-vs-sor/
  49. 金融分野でも求められる「セキュリティ・バイ・デザイン」|脆弱性を減らす開発の進め方とは?, 9月 3, 2025にアクセス、 https://www.nri-secure.co.jp/blog/security-by-design-requirements-of-the-fsa-guidelines
  50. セキュアコーディングとは?10個の原則や必要なスキルについて解説 - HBLAB JSC, 9月 3, 2025にアクセス、 https://hblab.co.jp/blog/secure-coding/
  51. DASTとは? 必要性やSASTとの違いなど | 株式会社 日立ソリューションズ・クリエイト, 9月 3, 2025にアクセス、 https://www.hitachi-solutions-create.co.jp/column/security/dast.html
  52. アジャイル開発におけるセキュリティテストとIAST - NEC, 9月 3, 2025にアクセス、 https://jpn.nec.com/cybersecurity/blog/220304/index.html
  53. SASTとDASTの違いと活用法を解説!脆弱性診断ツールの選び方と効果的な併用方法, 9月 3, 2025にアクセス、 https://envader.plus/article/491
  54. ISMS(ISO/IEC27001)の2022年版規格改定について詳しく解説します!, 9月 3, 2025にアクセス、 https://gcerti.jp/column/isms-isoiec27001-2022-kikakukaitei/
  55. 2025年10月までにISO 27001:2022への移行に備える - LRQA, 9月 3, 2025にアクセス、 https://www.lrqa.com/ja-jp/insights/articles/preparing-for-iso-270012022-transition-by-october-2025/
  56. ISMS新規格への対応状況と課題 ~企業調査結果から見る現状と未来~ - ハンモック, 9月 3, 2025にアクセス、 https://www.hammock.jp/assetview/media/isms_research.html
  57. 【2025年最新】ISO27001規格改訂に伴う変更点を徹底解説 - 認証パートナー, 9月 3, 2025にアクセス、 https://ninsho-partner.com/isms/column/isms_latest/
  58. ISO27001:2022(ISMSマニュアル)サンプル文書 - ISOマネジメント研究所, 9月 3, 2025にアクセス、 https://www.iso-mi.com/category/1300146.html
  59. 【サンプルあり】ISMS適用宣言書とは?必要性や作成方法を解説 | ISOプロ, 9月 3, 2025にアクセス、 https://activation-service.jp/iso/column/8134
  60. ISMS(ISO27001)適用宣言書とは?実際の作り方と作成例を紹介! - 認証パートナー, 9月 3, 2025にアクセス、 https://ninsho-partner.com/isms/column/isms_c_a_sheme/
  61. ISO27001:2022 適用宣言書 抜粋サンプル - ISOマネジメント研究所, 9月 3, 2025にアクセス、 https://www.iso-mi.com/_p/acre/26359/documents/ISMStekiyousenngennsyo_27001_2022_sample.pdf
  62. 【2025最新版】ISMS(ISO27001)取得企業とは?数・推移・特徴から目的・メリットまで徹底解説, 9月 3, 2025にアクセス、 https://www.iso-trust.com/post/____3
  63. パブリッククラウドのセキュリティ設定ガイド|インシデントを防ぐ実践的なポイントを解説, 9月 3, 2025にアクセス、 https://www.nri-secure.co.jp/blog/security-settings
  64. 政府情報システムにおける セキュリティ・バイ・デザインガイドライン 2024(令和 6)年 1 月 31 - デジタル庁, 9月 3, 2025にアクセス、 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/7e3e30b9/20240131_resources_standard_guidelines_guidelines_01.pdf
  65. ISO/IEC27001 - エイエスアール, 9月 3, 2025にアクセス、 https://www.armsr.co.jp/iso/iso27001/ikou_guide.pdf
  66. ISO/IEC27001:2022の移行審査について, 9月 3, 2025にアクセス、 https://bl-iso.jp/announcement/examination/
  67. ISO/IEC 27001:2022への対応について - ISMS審査登録センター, 9月 3, 2025にアクセス、 https://www.jate.or.jp/jp/isms/2022ikou.html
  68. ISMS(ISO27001)の内部監査とは?目的・進め方・成功させるポイント | Startup JAM, 9月 3, 2025にアクセス、 https://www.legalon-cloud.com/startup-jam/isms-audit
  69. ISMSの内部監査とは?目的、外部監査との違い、やり方などを徹底解説 - IPOサポートメディア, 9月 3, 2025にアクセス、 https://biz.moneyforward.com/ipo/basic/12968/
  70. ISMSは意味がない?形骸化を防ぐためのポイントとは | Codebook|Security News, 9月 3, 2025にアクセス、 https://codebook.machinarecord.com/info-security/certification/39575/
  71. ISMS認証は取得しても意味がない?その理由とは?, 9月 3, 2025にアクセス、 https://www.raku-toru.com/knowledge/no-meaning.html
  72. ISMS取得の必要性はあるのか?意味がないと感じた時に読む記事 - キャククル, 9月 3, 2025にアクセス、 https://www.shopowner-support.net/customer_attraction_information/online/tool/isms-necessary/
  73. ISMSの認証は意味がない?企業がISMSを取得する3つの理由 - ISO NEXT, 9月 3, 2025にアクセス、 https://cert-next.com/isms/column/isms_no_meaning/
  74. 事例から学ぶ情報セキュリティルールの 作成・守らせ方の作法, 9月 3, 2025にアクセス、 https://www.pcnw.gr.jp/archive/bunkakai_2008/SECU_naiyou_20090128.pdf
  75. 情報セキュリティ教育とは?形骸化させない効果的な手法を解説, 9月 3, 2025にアクセス、 https://www.lightworks.co.jp/media/information-security-education/
  76. 情報セキュリティ教育は本当に必要?教育方法やコンテンツ例を紹介, 9月 3, 2025にアクセス、 https://group.gmo/security/security-all/information-security/blog/information-security-education/
  77. 情報セキュリティ教育とは?具体的な実施手順と、おすすめ教育コンテンツを紹介, 9月 3, 2025にアクセス、 https://www.ntt.com/business/services/security/security-management/wideangle/lp/lp14.html
  78. セキュリティ意識向上トレーニングにおけるエンゲージメントの重要性 | Proofpoint JP, 9月 3, 2025にアクセス、 https://www.proofpoint.com/jp/blog/security-awareness-training/engagement-critical-security-awareness-training-success
  79. ゲーミフィケーションとは?導入の流れや成功事例を紹介 - NordVPN, 9月 3, 2025にアクセス、 https://nordvpn.com/ja/blog/what-is-gamification/
  80. teampassword.com, 9月 3, 2025にアクセス、 https://teampassword.com/ja/blog/creating-a-company-culture-for-security-ja
  81. The Security Culture How-to Guide - KnowBe4, 9月 3, 2025にアクセス、 https://www.knowbe4.jp/hubfs/JP-Security-Culture-How-To-Guide-WP.pdf?hsLang=ja
  82. ROIとは?計算式や高めるための取り組み・成功事例について解説 | 営業DX Handbook by Sansan, 9月 3, 2025にアクセス、 https://jp.sansan.com/media/roi/
  83. ROIとは?指標やメリット、マーケティングでの計算方法・改善方法・指標一覧を解説! - List Finder, 9月 3, 2025にアクセス、 https://promote.list-finder.jp/article/marke_all/roi/
  84. 投資効果を測る「ROI」の基本。活用のメリットや注意点を知ろう - TUNAG, 9月 3, 2025にアクセス、 https://biz.tunag.jp/article/67805
  85. ROIとは?意味や計算式、ROASとの違いや改善方法を解説 | NECソリューションイノベータ, 9月 3, 2025にアクセス、 https://www.nec-solutioninnovators.co.jp/sp/contents/column/20221216_roi.html
  86. ROI(投資対効果)とは?計算方法・重要性・目安・改善策・ROASとの違いまで解説 - Salesforce, 9月 3, 2025にアクセス、 https://www.salesforce.com/jp/marketing/lead-generation-guide/what-is-roi/
  87. ISMSのパフォーマンス評価とは?具体例で学ぶ測定手順と改善のコツをわかりやすく解説!, 9月 3, 2025にアクセス、 https://www.iso-trust.com/post/__116
  88. 情報セキュリティ対策の効果測定 - BIPROGY, 9月 3, 2025にアクセス、 https://www.biprogy.com/pdf/tec_info/9808.pdf
  89. SOCメトリクス:SOCの成果を測定するためのセキュリティメトリクスとKPI | Splunk, 9月 3, 2025にアクセス、 https://www.splunk.com/ja_jp/blog/security/security-operations-metrics.html
  90. 経営者の心を動かす サイバーセキュリティ投資の説得術, 9月 3, 2025にアクセス、 https://www.digitalsales.alsok.co.jp/col_persuade
  91. ISMSとは? 認証に必要な取り組みやメリット、取得の流れを解説 - SKYSEA Client View, 9月 3, 2025にアクセス、 https://www.skyseaclientview.net/media/article/873/
  92. ISO/IEC-27001:2022-to-Cybersecurity-Framework-v2.0 - National Online Informative References Program | CSRC, 9月 3, 2025にアクセス、 https://csrc.nist.gov/projects/olir/informative-reference-catalog/details?referenceId=154
  93. NIST CSF vs. ISO 27001: What's the difference? - Vanta, 9月 3, 2025にアクセス、 https://www.vanta.com/collection/iso-27001/nist-csf-vs-iso-27001
  94. ISO 27001 and the NIST CSF (Cybersecurity Framework) - IT Governance USA, 9月 3, 2025にアクセス、 https://www.itgovernanceusa.com/iso27001-and-nist
  95. ISO/IEC 27001:2022で何が新しくなったのか? - Nemko, 9月 3, 2025にアクセス、 https://www.nemko.com/ja/blog/whats-new-in-iso/iec-270012022-0
  96. データ保護と情報セキュリティ - ISO 27001とISO 27701|DQS|ドイツ品質システム認証株式会社 - DQS Inc., 9月 3, 2025にアクセス、 https://www.dqsglobal.com/jp-jp/seminars-and-announcements/%E3%83%96%E3%83%AD%E3%82%B0/data-protection-and-information-security-iso-27001-and-iso-27701
  97. GDPRとISO27701の関係性について徹底解説! - LRM株式会社, 9月 3, 2025にアクセス、 https://www.lrm.jp/iso27701/information/gdpr-iso27701/
  98. 各国・地域データ規制対応支援 - KPMGジャパン, 9月 3, 2025にアクセス、 https://kpmg.com/jp/ja/home/services/advisory/risk-consulting/global-privacy-compliance/global-data-regulations.html
  99. ISMS認証とは?その目的と重要性、そして認証取得の意義, 9月 3, 2025にアクセス、 https://gigxit.co.jp/blog/blog-15556/
  100. 【2025年最新】ISMS取得と国際規制対応の完全ガイド |domonjo - note, 9月 3, 2025にアクセス、 https://note.com/domonjo01/n/ncee1aa70c18e
  101. 情報セキュリティ白書2024について、近年のセキュリティ動向や注目トピックを解説 - Rentec Insight, 9月 3, 2025にアクセス、 https://go.orixrentec.jp/rentecinsight/it/article-632
  102. AI 事業者ガイドライン - 経済産業省, 9月 3, 2025にアクセス、 https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20240419_1.pdf
  103. 生成AIセキュリティガイドライン:導入から安全な利用まで, 9月 3, 2025にアクセス、 https://aisecurity.co.jp/article/3253
  104. AIマネジメントシステムの認証を対象とした認定の開始について, 9月 3, 2025にアクセス、 https://isms.jp/topics/news/20250131.html
  105. AIマネジメントシステムの国際規格が発行されました - 経済産業省, 9月 3, 2025にアクセス、 https://www.meti.go.jp/press/2023/01/20240115001/20240115001.html
  106. AI事業者ガイドライン (第1.1版) 概要 - 経済産業省, 9月 3, 2025にアクセス、 https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20250328_2.pdf
  107. AIセキュリティに関するガイド等まとめ - Zenn, 9月 3, 2025にアクセス、 https://zenn.dev/secwork/articles/a89a542ef7c760
  108. AIセキュリティのChillStack、国際規格に基づく情報セキュリティマネジメントシステム(ISMS)認証を取得 - PR TIMES, 9月 3, 2025にアクセス、 https://prtimes.jp/main/html/rd/p/000000040.000046548.html
  109. 《前編》AIで再燃した技術への想い セキュリティコンサルタントがDifyでつくったISMS新旧移行BOT, 9月 3, 2025にアクセス、 https://note.shiftinc.jp/n/n822f76072d10
  110. 米国商務省標準化技術研究所(NIST)が耐量子暗号標準を発表:最新の状況 | DigiCert, 9月 3, 2025にアクセス、 https://www.digicert.com/jp/blog/nist-pqc-standards-are-here
  111. 耐量子計算機暗号(PQC)と NICTの研究開発 - 総務省, 9月 3, 2025にアクセス、 https://www.soumu.go.jp/main_content/000948621.pdf
  112. 耐量子計算機暗号(PQC)へ移行する際の留意点をまとめたホワイトペーパーを公開 - NTT Data, 9月 3, 2025にアクセス、 https://www.nttdata.com/global/ja/news/topics/2023/100301/
  113. NIST が最初の量子耐性暗号化アルゴリズムの選定を発表 - DigiCert, 9月 3, 2025にアクセス、 https://www.digicert.com/jp/blog/nist-announces-selection-of-first-quantum-resistant-cryptographic-algorithms
  114. 技術の信頼性:量子コンピューターがもたらす脅威への備え、日本企業が今やるべきこと - IBM TechXchange Community, 9月 3, 2025にアクセス、 https://community.ibm.com/community/user/japan/blogs/provision-ibm1/2025/06/02/vol101-002-computing
  115. NIST SP800-207から見るゼロトラストの7原則を徹底解説! - サイバーセキュリティ.com, 9月 3, 2025にアクセス、 https://cybersecurity-jp.com/column/94311
  116. NIST Special Publication 800-207 ゼロトラスト・アーキテクチャ - PwC, 9月 3, 2025にアクセス、 https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/assets/pdf/zero-trust-architecture-jp.pdf
  117. NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳 | PwC Japanグループ, 9月 3, 2025にアクセス、 https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html
  118. ゼロトラストのガイドライン「NIST SP800-207」を紐解く | トレンドマイクロ - Trend Micro, 9月 3, 2025にアクセス、 https://www.trendmicro.com/ja_jp/jp-security/23/e/security-strategy-20230529-02.html
  119. 【エバンジェリスト・ボイス】NIST SP800-207 Zero Trust Architecture, 9月 3, 2025にアクセス、 https://www.idnet.co.jp/column/page_105.html

本文ここまでです。

ページトップへ