「5.7 脅威インテリジェンス」について、少人数の会社での具体的な対応策がわかりかねている状態です。
ISO/IEC 27001:2022 新規追加事項『5.7 脅威インテリジェンス』について質問させてください。
- ① 情報セキュリティの脅威についての情報収集をする
- ② 集めた情報を整理・分析する
- ③ 利用することができるようにする
という要求内容かと思いますが、詳しいスタッフや専門のチームがいなくとも自社内で対策可能でしょうか。
対策ができる外部の専用サービスや、オプションで脅威インテリジェンス対策ができるウイルス対策ソフト等を導入する必要がありますでしょうか。
少人数の会社のため専門チームの設置は難しく、特に②・③について自社内での具体的な対応策がわかりかねている状態です。
ご質問の①から③に関して、ご指摘のとおりの考えでお間違えないかと思います。
ご購入頂いた商品に収録している「付録_新旧JIS規格対比表_Q27001_2023.pdf」の「5.7_脅威インテリジェンス」の「追加および変更された内容」も、あわせてご参考ください。
「脅威インテリジェンス」とは、攻撃者の動機、標的、攻撃方法を理解するために組織で収集・分析されたデータのことです。
これを活用することで、従来のセキュリティ対策では見過ごされていた高度なサイバー攻撃の検知、特定の業界・業種を標的とした巧妙なサイバー攻撃の防御が可能となります。
要は、脅威となりそうな情報を収集し、事前に対策を講じましょうということになります。
情報としては、以下のようなものがあります。
- 戦略的情報(サイバーセキュリティ戦略の立案に活用される脅威情報)
例えば、IPAが公表している「情報セキュリティ10大脅威」などがありますね。
これらの情報をもとに、定期的に委員会などで協議し、経営層に対して報告し、組織としての方向性を決定する。 - 運用管理情報(リスク評価やインシデント対応時に活用される脅威情報)
例えば、同一業種・公共機関・その他社会的影響の大きい企業から脅威情報など。
ネットニュースやメールマガジンなどでも構わないと思います。
これらの情報をもとに、リスクアセスメントを実施し、対策を決定する。 - 技術情報(セキュリティ機器に反映し、攻撃の検知やグロックに利用される脅威情報)
例えば、セキュリティ対策ソフトのアップデートやその他アプリケーションのアップデートなど。
これらは、機器に自動的に取り組み適用されることになるかと思います。
よって、詳しいスタッフや専門のチームが無くても対応することは可能かと思います。
以上、ご参考ください。
最新規格に対応したISMSやPマーク、ISO9001の取得支援のためのマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売しています。また、取得及び構築支援として、無料にてメールサポートも実施しております。
経歴
- 商品の提供年数:ISO9001は2000年から現在までの25年間。ISMSは2002年から現在までの23年間。プライバシーマークは2006年から現在までの20年間。
- 商品利用者数:5,000件以上(2025年6月時点)。
- 商品利用者の業種:各業種企業、ISOコンサルタント、審査員、審査員研修機関など。
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
