公開:

ISO/IEC27001:2022附属書A新管理策「8.23ウェブフィルタリング」解説

情報セキュリティマネジメントシステム(ISMS)の要求事項であるISO/IEC27001の改訂版が、2022年版として2022年10月25日に発行されました。また、JIS版が、JIS Q 27001:2023として2023年9月20日に発行されました。管理策とは、ISO/IEC27001の附属書Aに記載された情報セキュリティリスク対策です。

このコラムでは、新規格であるJIS Q 27001:2023(ISO/IEC27001:2022)への改訂にあたり新たに設けられた管理策を順次解説します。

前回のテーマは「8.16監視活動」の解説でした。10回目のテーマは、「8.23 ウェブフィルタリング」の解説です。

「8.23 ウェブフィルタリング」内容

マルウェアの感染及び感染による被害を予防するための管理策です。

旧規格でも同様の趣旨を含む管理策はありましたが、独立したテーマとして取り上げられることになりました。具体的には、認可しないウェブサイトへのアクセスそのものを防ぐ管理策であり、アクセス状況そのものの監視は別の管理策(8.16 監視活動)となります。

なお、業務上必要なサイトへのアクセスまで全面的に禁止するものではなく、組織毎に認可しないウェブサイトの基準を設ける必要があります。その基準は、「5.7 脅威インテリジェンス」に従って収集分析した脅威情報などから設定し、また、例外的にアクセスを許可する際の手順などを設けるのが現実的です。

【実装例】

  • IPアドレス、ドメイン、機能(例えば情報をアップロードする機能を持つウェブサイト)その他の基準によるブラックリスト方式のアクセスの制限
  • ホワイトリスト方式によるアクセスの許可
  • 危険なサイトにアクセスするリスクの周知や啓発、関連する対応策の周知や訓練の実施

「8.23 ウェブフィルタリング」などのISMS管理策の解説や規格改訂について、その他ご質問・ご相談がありましたら、ご遠慮なくお声がけください。

次回は、「8.28 セキュリティに配慮したコーディング」を解説します。

一覧へ

まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください

受付時間:平日 9:00~18:00