2024年6月20日に、ようやく!!
JIS Q 27002:2024が発行されました。
ISO/IEC27002が2022年に改訂されてから、
かなり時間がかかりましたね。
先に発行されているJIS Q 27002:2023の手引書として参照するために待っていた方も多いのでは?
経産省のニュースリリースは以下の通り。
↓
(https://www.meti.go.jp/press/2024/06/20240620002/20240620002-d-2.pdf)
実際の規格書は有料ですので、
一般財団法人日本規格協会から購入できます。(
↓
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS+Q+27002%3A2024
なかなかお高いのですが、
法令マニアとしてはいち早く中を見たい!
ということで早速購入しましたよ(`・ω・´)キリッ
かなりのボリュームなので、
軽々しく出力してびっくりの188ページ(笑)
一気に全部は読めないので・・・
新設された11項目についてまずは読んでみました。
例えば、「脅威インテリジェンス」って結局何したらいいの?
といったことが具体的に解説されています。
「しなければならない」ではなく「望ましい」という書き方なので、
やり方は指定されているわけではありませんが参考になります。
「脅威インテリジェンス」って、
脅威に関する情報を収集して、それを活用する仕組みが求められているのですが、
以下の3つの観点を含むことが望ましいらしいです(内部・外部の情報源から)。
①脅威の動向に関する大局的な情報
②攻撃者が使う手法、ツールおよび技術に関する情報
③技術的特徴を含む特定の攻撃に関する詳細
私は法令マニアでセキュリティ事故事例収集マニアなので、
日々いろんなところから情報収集していますが(笑)、
最近のランサム攻撃の多さを見ても、
情報を素早くキャッチして組織内で予防処置を取ることは必要だなと思います。
そして、「クラウドサービスの利用における情報セキュリティ」についても見てみました。
「クラウドサービスの合意」という言葉がよく出てくるのですが、
これは「利用規約」等のことですね。
これをしっかりとレビューして、
そして残留リスクがある場合は、組織の管理層が受容することが望ましい、とあります。
クラウドサービスの障害や不正アクセスの事例も多いので、
無料のサービスも含め利用開始の際のルールを決めることが第一ですね。
(それが意外と難しかったり・・・)
ということで、一つの管理策に対して2ページくらいの解説があるので、
どういうことだろう?と迷ったら見てみると良いかも。
でも、ほんと言葉遣いが難しいなぁ・・・規格書って(-ω-;)ウーン
