情報セキュリティマネジメント・セミナー2024
「マネジメントシステム規格に追加された気候変動への対応」と
「NIST OSCALが切り開く、ISMSと情報セキュリティの未来」について考える
2024年12月6日開催セミナーの質問・回答
(日本ISMSユーザグループ)

2025.2.7
  
情報セキュリティマネジメントセミナー2024にご参加頂き、ありがとうございました。
セミナー中に回答のお時間がなかったご質問について回答させて頂きます。
質問1はリスクアセスメントについて、残りの質問2から質問6まではすべて気候変動に関する質問となります。
気候変動については「気候変動に関する規格解釈の前提条件について」ということで共通事項についてまとめています。質問2から質問6の各回答を参照の際には「気候変動に関する規格解釈の前提条件について」も併せてご覧下さい。
セミナーの講演資料、講演動画はこちらからご覧いただけます。セミナーページを見る>>
質問1
リスクアセスメントはセキュリティレベルを向上させる要であると考えております。リスクアセスメントのアプローチに関する今日のお話は大変意義深いと思います。一方で、現場においては情報セキュリティの知識がないことから公的ガイドラインによるベースラインアプローチも形だけになりやすく、リスクベースアプローチに至ってはそれをやる技術(例えば脅威のシナリオと課題、対策が作れない)もないケースが多いと認識しております。結果として、管理策のレベルアップができず、ISMSの形骸化につながっていると思いますが、何かの解決策について、分科会にて議論になったことはございますでしょうか?
ご質問ありがとうございます。
リスクアセスメントについての特効薬は残念ながらありませんが、それぞれの組織で工夫して対応している認識です。
ベースラインアプローチで一定のレベルの管理策で対応可能なものと外れるものを識別して詳細リスクアセスメントと組み合わせしてコストバランスを取るようにしています。
今回の発表でも言及しているリスクアセスメントのトリガーを明確にすることでどのタイミングでどのように実施するか主要な項目について定義することで観点が明確になり、それに基づくプロセスを構築することでベースラインと詳細リスクアセスメントとの中間的な位置付けを狙うことが可能となります。
リスクアセスメントのやり方については組織の特性に合わせた形を模索することも重要となります。
参考に2022年のテーマ発表の資料のリンクを貼っておきますので、各社の事例をご確認頂ければ幸いです。
https://www.jnsa.org/seminar/2022/isms2022/kouen4.pdf
【気候変動に関する規格解釈の前提条件について】
個別の質問に対する回答の前に、気候変動に関するISO/IEC 27001:2022, 4.1追補で規定する要求事項について説明し、また、その運用の考え方について説明します。
ISO/IEC 27001:2022, 4.1 追補の要求事項について
気候変動については、二つの取り組みがあります。一つは、「1. a.(気候変動を)人類の課題と認識し、原因に働きかける」取り組みです。もう一つは、「2.(気候変動の)結果が組織にもたらす影響に対処する」取り組みです。(講演資料17ページを参照。)
また、ISO/IEC 27001:2022, 4.1追補は、次のとおりです。「組織は、気候変動が関連する課題かどうかを決定しなければならない。」
(1)「1. a.(気候変動を)人類の課題と認識し、原因に働きかける」取り組みについて
この取り組みで対応する課題は、追補に基づき、ISMSにおいて課題ではないと決定することになります。1. a.の課題への具体的な対応は、温室効果ガスの排出削減です。これは、ISO/IEC 27001;2022, 4.1における「ISMSの意図した成果を達成する組織の能力に影響を与える」に該当しないためです。
(2)「2.(気候変動の)結果が組織にもたらす影響に対処する」取り組みについて
この取り組みで対応する課題は、追補に基づきISMSにおける課題であると決定する場合があります。この点については、質問6への回答をご覧ください。
ISMS-UGにおける規格の適用や運用についての対応方針
選択肢として下記の2点が考えられますが、組織の状況に応じて選択することになりますが、項番Aの方向性が望ましいのではと日本ISMSユーザグループでは考えます。
@気候変動はISMSの課題ではないと判断
課題ではないと判断したことに対する理由を問われた時に説明することが必要となるケースがあります。
A組織として気候変動に対して取り組む(すでに取り組んでいるケースも含む)ことに対してISMSとして連携して気候変動に対して取り組みを行う。
気候変動についてはマネジメントシステム全体に気候変動について付記された背景を考慮するとISMSにおいても気候変動の原因に働きかける活動に取り組むことが望ましいと考えます。
ただし、気候変動の原因に働きかける活動(温室効果ガス排出削減)の背景に「一般的な意味における気候変動の課題があること(組織として課題として設定)」を理解しておく必要があります。(「ISO/IEC 27001:2022, 4.1(追補を含む)で規定する限定された意味での課題には該当しないこと」)
参考情報
講演資料の17ページに記載したとおり、気候変動がISMSに関係する場面が二つあります。一つは「1. a. (気候変動を)人類の課題と認識し、原因に働きかける。」であり、もう一つは「2. (気候変動の)結果が組織にもたらす影響に対処する。」です。
(1)「気候変動を人類の課題と認識し、原因に働きかける活動」とISMSの関係
(a)ISMS (ISO/IEC 27001:2022, 4.1) における課題ではないこと
この活動は、温室効果ガスの排出を抑制したり、温室効果ガスを大気中から回収したりすることによって、大気中の温室効果ガス濃度を管理することにつながる活動です。国、社会、組織、人々がこの活動に取り組むとき、その背景にある「課題」は、「気候変動の原因の除去や緩和に貢献することが求められていること」です(これを「課題1」とします。)。他方、ISO/IEC 27001:2022, 4.1 においては、課題は「かつ、そのISMSの意図した成果を達成する組織の能力に影響を与える」ものです(これを「課題2」とします。)。「課題1」と「課題2」は違うことに注意する必要があります。課題1はISMSの文脈に限るものでなく、かつ、課題2の条件(「かつ、そのISMSの意図した成果を達成する組織の能力に影響を与える」)に合致しません。4.1追補では、気候変動が課題であるかどうかを決定することを求めています。このISMSの要求事項に対して、「気候変動の原因の除去や緩和に貢献することが求められていること」は、ISO/IEC 27001:2022, 4.1における意味で課題ではないと決定することになります。
(b)組織全体の取組みをISMSの活動にも適用する例
その上で、組織が気候変動のこの側面に取り組む場合に、その取り組みの場は、ISMSの活動も例外ではありません。次の例があります。
@)[講演資料18ページの例1] 情報システム関係設備は、電力消費の少ないものを選ぶ。(情報システム及び関係する設備についての施策が、ISMSの活動にも適用される。)
A)[講演資料18ページの例2] 製品・サービスの選定は、供給者の気候変動への取組みを考慮した組織全体の調達基準・手続きに従う。(組織全体の基準・手続きが、ISMSの活動にも適用される。)
(2) 「気候変動の結果が組織にもたらす影響に対処する活動」とISMSの関係
(a)ISMS (ISO/IEC 27001:2022, 4.1) における課題であると決定する場合があること
この活動を、講演資料の15ページ及び17ページでは、「2. 結果が組織にもたらす影響に対処する。」と記載しました。この活動は、ISO/IEC 27001:2022, 4.1 に基づき気候変動が課題であると決定し、これに対処する活動です。この場合、気候変動についてより具体的に課題を示すことによって、活動との?がりが理解しやすくなります。以下に、課題を具体的に示す例を挙げます。
1)気候変動によって、組織の施設がある地域の気温が上昇しており、今後も上昇が続くことが見込まれる。
2)施設の立地について、気候変動に伴う海面上昇と異常気象を考慮することが必要になりつつある。
他方、気温上昇、海面上昇、異常気象その他の気候変動の結果の程度が、ISMSにおける情報セキュリティリスクアセスメント及び情報セキュリティリスク対応を変えるほどのものではないと判断すれば、その観点では、気候変動はISO/IEC 27002:2022, 4.1における課題ではないと決定することになります。例えば、「気候変動による気温上昇は課題ではない」「気候変動による海面上昇は課題ではない」と決定します。気候変動のどのような結果についても課題でなない場合は、「気候変動がもたらす様々な結果は、課題ではない」、あるいは「気候変動は課題ではない」と決定することになります。
(b)ISMS (ISO/IEC 27001:2022, 4.1) における課題であると決定した場合の活動の例
気候変動が課題であると決定する場合、「気候変動の結果が組織にもたらす影響に対処する活動」に次の例があります。いずれも、情報や施設、機器等の可用性を維持する、ISMSの施策です。
1)データセンターやサーバルームの温度が上昇して情報システム及び機器が動作不全に陥ることを避けるために、空調設備を更新する。
2)気温上昇やその他の異常気象が進むこと、またその程度について予測が難しいことを考慮して、外部サービスを利用し、又は外部サービスを併用することによって情報及び業務システムの可用性を維持する対策の検討に着手する。
質問2
最初に質問したものです。文書を廃棄する際、専門の業者に委託していますが、ペーパレス化によりその部分のリスク回避になるというように結びつけるといいでしょうか?
ご質問をいただいた状況について、二つの側面に分けてご説明します。一つは、業者から情報が漏えいするリスクの低減です。もう一つは、ペーパレス化による森林保護です。
(1)業者から情報が漏えいするリスクの低減
ご質問における情報セキュリティリスクの回避とは、廃棄する文書を業者に渡すことがなくなる結果、業者から情報が漏えいするリスクがなくなることを指しているものと理解しました。ペーパレス化の結果として実現されるこの側面は、情報セキュリティリスクを低減する施策ですが、気候変動とは別の話題であると考えます。
(2)ペーパレス化による森林保護(本題)
ペーパレス化は森林保護に?がり、大気中のCO2を吸収して炭素を固定することに貢献します。この点で、ペーパレス化は、気候変動の原因に働きかける側面があり、全体の背景で説明したように1. a. の課題は、ISO/IEC 27001:2022, 4.1(追補を含む)に基づき課題であると決定することにはなりませんが、ISMSにおけるペーパレス化についてISMSの活動についての報告や説明で触れるのであれば、例えば、「組織全体の気候変動への対応におけるペーパレス化活動が、ISMSの活動にも適用されている」となります。
質問3
気候変動とISMSについて、どういったアクションが情報セキュリティを考慮した気候変動対策とお考えでしょうか?
これまで「悩ましい」等のお声は聞かれるのですが、具体的にどのような行為を指すのかがイメージできずにいます。
講演資料の17ページに記載したとおり、気候変動がISMSに関係する場面が二つあります。一つは「1. a. (気候変動を)人類の課題と認識し、原因に働きかける。」であり、もう一つは「2. (気候変動の)結果が組織にもたらす影響に対処する。」です。
【気候変動に関する規格解釈の前提条件について】を一読の上、下記のISMSにおける活動(アクション)の例をご確認ください。
(1)組織全体の取組みをISMSの活動にも適用する例
その上で、組織が気候変動のこの側面に取り組む場合に、その取り組みの場は、ISMSの活動も例外ではありません。次の例があります。
[講演資料18ページの例1]
情報システム関係設備は、電力消費の少ないものを選ぶ。(情報システム及び関係する設備についての施策が、ISMSの活動にも適用される。)
[講演資料18ページの例2]
製品・サービスの選定は、供給者の気候変動への取組みを考慮した組織全体の調達基準・手続きに従う。(組織全体の基準・手続きが、ISMSの活動にも適用される。)
(2)「気候変動の結果が組織にもたらす影響に対処する活動」とISMSの関係
ISMS (ISO/IEC 27001:2022, 4.1) における課題であると決定する場合があること
この活動は、ISO/IEC 27001:2022, 4.1 に基づき気候変動が課題であると決定し、これに対処する活動です。この場合、気候変動についてより具体的に課題を示すことによって、活動との?がりが理解しやすくなります。以下に、課題を具体的に示す例を挙げます。
@気候変動によって、組織の施設がある地域の気温が上昇しており、今後も上昇が続くことが見込まれる。
A施設の立地について、気候変動に伴う海面上昇と異常気象を考慮することが必要になりつつある。
他方、気温上昇、海面上昇、異常気象その他の気候変動の結果の程度が、ISMSにおける情報セキュリティリスクアセスメント及び情報セキュリティリスク対応を変えるほどのものではないと判断すれば、その観点では、気候変動はISO/IEC 27002:2022, 4.1における課題ではないと決定することになります。例えば、「気候変動による気温上昇は課題ではない」「気候変動による海面上昇は課題ではない」と決定します。気候変動のどのような結果についても課題でなない場合は、「気候変動がもたらす様々な結果は、課題ではない」、あるいは「気候変動は課題ではない」と決定することになります。
(a)ISMS (ISO/IEC 27001:2022, 4.1) における課題であると決定した場合の活動の例
気候変動が課題であると決定する場合、「気候変動の結果が組織にもたらす影響に対処する活動」に次の例があります。いずれも、情報や施設、機器等の可用性を維持する、ISMSの施策です。
@データセンターやサーバルームの温度が上昇して情報システム及び機器が動作不全に陥ることを避けるために、空調設備を更新する。
A気温上昇やその他の異常気象が進むこと、またその程度について予測が難しいことを考慮して、外部サービスを利用し、又は外部サービスを併用することによって情報及び業務システムの可用性を維持する対策の検討に着手する。
質問4
気候変動について自社のISMSの課題とするか否かについて、経営陣はISMSの課題であるとすることに納得できていない状況です。事務局メンバーも説得するに知識が不足しています。
どのように説明したらよいでしょうか
気候変動を自社の「ISMSの課題である」とする前に、「組織として気候変動を課題とするか?」を考えるべきだと思います。気候変動の原因に働きかける緩和的対策(CO2排出削減等)が直接ISMSに関連するというのではなく、組織全体として気候変動を課題と認識することが自然だと考えます。
また、講演資料の17ページに記載したとおり、気候変動がISMSに関係する場面が二つあります。一つは「1. a. (気候変動を)人類の課題と認識し、原因に働きかける。」であり、もう一つは「2. (気候変動の)結果が組織にもたらす影響に対処する。」です。
気候変動のこれらの場面を区別して、また「課題」が上記のどちらの意味であるかも区別して説明することができればと思います。
詳しくは質問3への回答をご覧ください。
(【気候変動に関する規格解釈の前提条件について】もご覧ください)
質問5
2025年2月にISMSの規格の更新審査を行うのですが、更新審査において規格4.1、4.2で気候変動について「決定すること」「考慮すること」が未実施ですと、監査不適合を受ける可能性はありますか。
規格要求事項の立場から見た場合、規格本文の箇条4から箇条10は除外できないため、「決定すること」が未実施であれば不適合に相当します。従って。箇条4.1の気候変動が組織の課題であるかどうかを決定することは必須になります。しかし、箇条4.2は注記ですから、適合・不適合の評価対象ではありません。
箇条4.1の要求事項は、規格書上では文書化を要求していないため、一般に行われているトップインタビューでの確認であれば、トップ(経営陣)の方が自分の考えで気候変動が組織の課題であるかどうかについて回答されれば、少なくても不適合にはなりません。課題であるとすると決定する場合も、また課題でないと決定する場合も、求められたならばその理由が説明できるように準備するとよいでしょう。
質問6
山下さんの資料15ページ(資料ページへリンクしています)に記載の2についてのみISMSの課題とすることも可能と理解しました。その場合、インプットには気候変動に関する情報も必要になると思います。
一方、ISMSの課題としない場合、気候変動に関する情報はインプットに必要な情報としないでも問題にならないでしょうか
ご確認のとおり、講演資料15ページの「2. 気候変動の結果が組織にもたらす影響に組織が対処する。」に関して、気候変動をISO/IEC 27001:2022, 4.1における課題であると決定する場合があります。その場合は、インプットとして、気温上昇、海面上昇、異常気象などの中で、ISMSで対処が必要になりうる(情報セキュリティリスクアセスメント及び情報セキュリティリスク対応の変更が必要になりうる)状況を挙げることになります。
また、同じ講演資料15ページの2.に関して、気候変動をISO/IEC 27001:2022, 4.1における課題としない場合もあります。この場合は、例えば、気候変動の結果である気温上昇や海面上昇が、その組織のISMSで実施している情報セキュリティリスクアセスメント及び情報セキュリティリスク対応の変更を必要とする規模のものではないと判断したことが説明できれば十分です。
以上について、質問3への回答もあわせてご覧ください。
(【気候変動に関する規格解釈の前提条件について】もご覧ください)