【2025年最新】ISO27001規格改訂の全貌を徹底解説！変更点から具体的な対応まで

「ISO27001の規格改訂って何が変わったの？具体的にどう対応すればいいの？」

このような疑問をお持ちではないでしょうか。

情報セキュリティを取り巻く環境が急速に変化する中、ISO27001の規格改訂が行われ、2022年に最新版が発行されました。この改訂により、情報セキュリティ管理策の見直しや新たな管理策の追加が行われ、組織が対応すべきポイントが大きく変わっています。

しかし、改訂内容や具体的な対応方法を正しく理解しないまま進めると、移行作業が滞ったり、審査に不適合が発生したりするリスクがあります。

この記事では、ISO27001の基本知識から、今回の規格改訂の背景や変更点、具体的な対応方法までを体系的に解説します。

最後までお読みいただくことで、ISO27001：2022へのスムーズな移行に必要な知識が身につき、組織の情報セキュリティ体制を強化するための具体的なアクションプランを立てられるようになります。

最新の規格に対応し、信頼性の高いセキュリティ体制を構築する第一歩を踏み出しましょう。

１．ISO27001とは？基本と役割の整理

ISO/IEC 27001は、情報セキュリティマネジメントシステム（ISMS）の国際規格であり、組織が保有する情報資産を適切に保護し、情報セキュリティを管理するための枠組みを提供します。

この規格に基づいてISMSを構築・運用することで、「機密性」「完全性」「可用性」という情報セキュリティの3要素をバランスよく維持し、情報漏洩やサイバー攻撃などのリスクを低減します。

【ISO27001の主な役割】

リスク低減

情報セキュリティリスクを特定し、組織的な対策を講じることで、事業継続性を確保する。

信頼性の向上

認証取得により、取引先や顧客に対して情報セキュリティへの取り組みを証明し、企業の信頼性を向上させる。

法的・規制要件の遵守

個人情報保護法などの関連法規や規制要件に準拠するための基盤を提供する。

また、ISO27001は、リスク評価や管理、セキュリティポリシーの策定、関係者とのコミュニケーション、セキュリティ意識の向上など、情報セキュリティに関する包括的なガイドラインを示しており、組織の情報セキュリティ体制を強化するための重要なツールとなります。

２．ISO27001・ISO27002・JIS Q 27001の関係性

ISO 27001、ISO 27002、JIS Q 27001の関係性について、以下のように整理できます。

【ISO27001】
情報セキュリティマネジメントシステム（ISMS）の「要求事項」を定めた国際規格です。
組織はこの規格に基づき、情報セキュリティを管理する仕組みを構築・運用します。

【ISO27002】
ISO27001の附属書Aに記載されている「管理策」について、具体的な実践方法や手引きを示したガイダンス規格です。要求事項ではなく、参考として活用されます。

【JIS Q 27001】
ISO27001を日本語に翻訳した「日本産業規格」です。
内容はISO27001と同一で、日本国内での認証に使用されます。

【関係性のポイント】

• ISO27001は「何をすべきか」を示す規格。
• ISO27002は「どうすればよいか」を具体的に解説するガイダンス。
• JIS Q 27001はISO 27001の日本語版であり、国内での認証に用いられる。

これらの規格は相互に補完し合い、情報セキュリティの管理と運用を効果的にサポートします。

３．今回の規格改訂の背景と目的

ISO27001の規格改訂は、情報セキュリティを取り巻く環境の変化に対応するために行われます。国際標準化機構（ISO）では、原則として5年ごとに規格の見直しを行い、現状に即したルールへと更新しています。

今回の改訂（ISO/IEC 27001：2022）は、テレワークの普及、クラウドサービスの活用、サプライチェーンリスクの増大、サイバー攻撃の高度化といった現代の課題を反映することを目的としています。

具体的には、情報セキュリティ管理策の追加や構造の見直しを通じて、リスクに応じた柔軟で効果的なISMS（情報セキュリティマネジメントシステム）の構築を支援する内容となっています。

このような改訂により、組織が最新のセキュリティ課題に対応し、より強固な情報セキュリティ体制を整えることが期待されています。

４．最新の改訂（ISO27001：2022）の概要

（１）改訂の時期と移行期間

ISO 27001：2022は、2022年10月25日に正式に発行されました。この改訂版への移行には3年間の移行期間が設定されています。

つまり、2025年10月31日までに新しい規格での認証を完了させる必要があります。この期限を過ぎると、旧規格（ISO 27001：2013）での認証は無効になりますので、計画的な移行が不可欠です。

（２）ISO27002の改訂との関係

ISO27001に先行して、ISO27002は2022年2月に改訂されました。今回のISO27001：2022の附属書Aは、このISO27002：2022の内容に準拠して見直されています。したがって、ISO27001：2022の改訂対応は、実質的にISO27002：2022の内容を理解することから始まります。

５．規格改訂で変わった主なポイント

今回の改訂は、要求事項（本文の箇条4〜10）には大きな変更はありません。

最も大きな変更点は、附属書A（管理策）の見直しです。

（１）管理策の大分類の見直し

これまでの14の管理策カテゴリが、4つの新しいカテゴリに整理されました。

【新カテゴリ】

• 組織的（Organizational）
• 人的（People）
• 物理的（Physical）
• 技術的（Technological）

この再分類により、リスクに対してより体系的に管理策を検討し、文書化しやすくなりました。

（２）新たに追加された管理策

ISO27001：2013の附属書Aには、情報セキュリティリスクを軽減するための114の管理策が記載されています。
これらの管理策の詳細や具体的な例は、既に改訂が行われたISO27002に記載されており、その内容は大幅に変更されています。

ISO27001の改訂は、これらの管理策の変更に伴う附属書Aの改訂となります。

旧規格のISO27002では、A.5～A.18までの14項目からなる114の管理策が設けられていました。
しかし、新規格ではA.5～A.8の4項目に絞り込まれ、93の管理策に変更されています。

具体的な管理策の変更点は

• 新規　11
• 統合　24
• 更新　58
• 削除　 0

となっています。

114の管理策から93の管理策になったため、減ったように見えますが、新たに11の管理策が追加されたため、実質的には内容が増えています。

新たに追加された11の管理策についての詳細は以下の通りです。

①5.7　脅威インテリジェンス

サイバー攻撃やフィッシング、ハッキングなど情報セキュリティの脅威に関連する情報を収集・分析し、対応することが望ましい

②5.23　クラウドサービス利用のための情報セキュリティ

クラウドサービスの取得、利用、管理、および終了に関するプロセスは、組織の情報セキュリティ要求事項に基づいて確立することが望ましい

③5.30　事業継続のためのICTの備え

有事の際に情報セキュリティを維持するだけでなく、情報通信技術の事業が継続できるように対策を設定し、それらを試験などで検証するのが望ましい

④7.4　物理的セキュリティ監視

監視カメラや警備員を配置するなど敷地内を物理的に監視するのが望ましい

⑤8.9　構成管理

ハードウェア、ソフトウェア、サービスおよびネットワークのセキュリティ構成を含む構成は、確立し、文書化し、実施し、監視し、レビューすることが望ましい

⑥8.10　情報の削除

情報システムや機器、その他の記憶媒体に保存された情報は、必要がなくなった時点で削除されることが望ましい。データ消去の方針を定めて実施する

⑦8.11　データマスキング

データマスキングは、適用される法律を考慮した上で、アクセス制御に関する組織のトピック固有の方針、およびその他の関連するトピック固有の要求事項、ならびにビジネス要求事項に従って使用することが望ましい

⑧8.12　データ漏洩の防止

外部からの攻撃だけでなく、内部流出の脅威への対策を実施する

⑨8.16　監視活動

ネットワーク、システム、およびアプリケーションの異常な挙動を監視するのが望ましい

⑩8.23　ウェブフィルタリング

外部のウェブサイトへのアクセスは、悪意のあるコンテンツへさらされることを減らすために管理することが望ましい

⑪8.28 セキュリティに配慮したコーディング

ソフトウェア開発には、セキュリティに配慮したコーディングの原則を適用することが望ましい

（３）統合・削除された管理策

今回の改訂では、既存の管理策が統合され、全体数が削減されました。これにより、管理策は従来の114個から93個に再編されました。管理策の数が減ったからといって、対策が簡略化されたわけではありません。

類似の管理策がより包括的な1つの項目にまとめられ、より効率的な運用が可能になりました。 例えば、モバイル機器とテレワークは統合されました。

６．担当者が対応すべき具体的なステップ

（１）文書・フォーマット上の見直し

今回の規格改訂に伴い、既存のISMS文書を新規格に合わせて見直す必要があります。

以下のポイントを中心に対応を進めましょう。

適用宣言書の更新

新たに定められた93個の管理策に基づき、自社に適用する管理策を選定し、その理由や適用しない場合の理由を明確に記載します。これは最も重要な作業です。

リスクアセスメントの見直し

クラウド利用やサプライチェーンリスクなど、新たな脅威やリスクを考慮し、リスクアセスメントを再実施します。

関連規程・手順書の改訂

既存の「パスワード管理規程」や「アクセス制御手順」などに、新たな管理策の内容を反映させます。特にクラウド利用に関する規程は、新規作成が必要になる場合があります。

これらの見直しを通じて、改訂された規格に適合したISMSを構築し、運用の実効性を高めることが求められます。

（２）組織内での体制・運用対応

規格改訂の情報収集

ISMS担当者は、規格改訂に関する最新情報を定期的に確認し、認証機関からの通知やガイドラインもチェックして、審査基準の変更に備えます。

担当者の教育・周知

改訂内容をISMS担当者だけでなく、関連部署にも共有し、新しい管理策に基づいた運用が定着するよう教育を実施します。

新たな管理策の運用開始

「構成管理」や「安全なコーディング」など、改訂で追加された管理策について具体的な運用方法を策定し、実際の業務に反映させます。

体制の見直し

改訂内容に対応するため、必要に応じて組織内の役割分担や運用体制を再構築します。

（３）内部監査・マネジメントレビューの実施

規格改訂への対応は、単なるルールの見直しにとどまらず、内部監査とマネジメントレビューを通じてPDCAサイクルを完了させることが重要です。

以下の対応が求められます。

内部監査の実施

新しい管理策に対応した監査チェックリストを作成し、改訂部分や未確認の範囲を重点的に監査します。

マネジメントレビューでの報告

規格改訂への対応状況や、新たに運用を開始した管理策の有効性を経営層に報告し、承認を得ます。

改訂部分の重点確認

規格改訂により変更された部分や新たに追加された管理策について、内部監査での確認を徹底します。

これらのプロセスを通じて、規格改訂に対応したISMSの有効性を組織全体で確認し、継続的な改善を図ります。

７．ISO27001改訂の移行期限と対応すべきこと

（１）移行期間

新規格であるISO/IEC27001：2022への移行期限は、2025年10月31日までです。

すでにISMS認証を取得し運用している企業は、移行審査を受ける必要があります。移行審査を受ける際は、手続きに時間がかかることも考慮に入れ、できるだけ早めに審査を受けることが望ましいでしょう。

（２）移行対応策

ISMSの規格改訂に伴い、対応すべき事項は2つあります。

まず1つ目は、適用宣言書の改訂です。

新規格への移行により、附属書Aの管理策の構成が変更されるため、適用宣言書を新規格に合わせて更新する必要があります。ただし、管理策の基本的な意味合いは大きく変わらないため、適用や適用除外が大幅に変動することは少ないと考えられます。主に、組織の運用ルールとの関連性を再評価する作業が中心となるでしょう。

2つ目は、ルールの見直しと追加です。

新規格により新たに11の管理策が追加されるため、それらが適用されているかどうかの再確認が必要です。運用ルールの見直しを行い、不足している場合は新たなルールの追加や適用除外の検討が求められます。ただし、適用除外を行う際には、適切な理由を明確に示す必要があります。

８．改訂対応におけるよくある課題と失敗例

課題1：専門知識の不足
新しい管理策への理解が不十分で、形だけの対応になってしまう。

課題2：担当者への負担集中
ISMS担当者のみが対応を進め、他の部署との連携が不足する。

失敗例：期限間際の対応
移行期限ギリギリに作業を始め、審査に間に合わない、または不適合が多発する。

これらの課題を避けるためには、早期の計画策定と、組織全体を巻き込んだ取り組みが不可欠です。

まだ、改訂作業に取り組めていない企業は、早急に対応する必要があります。

当社は、月額4万円でISO27001（ISMS）の新規認証・運用を支援しております。
規格改訂についてお困りの方は是非、お気軽にご相談ください。

９．中小企業が効率的に対応するための工夫

大企業と比較してリソースが限られる中小企業は、効率的な対応が特に重要となってきます。

専門家（コンサルタント）の活用

規格解釈や文書作成に不安がある場合は、外部の専門家を一時的に活用し、効率的な移行をサポートしてもらう。

既存のISMSの活用

ゼロから作り直すのではなく、既存のISMSの強みを活かし、不足している部分だけを補強する。

クラウドサービスのセキュリティ機能の活用

新管理策に対応するため、クラウドサービスが提供するセキュリティ機能を積極的に利用し、運用負荷を軽減する。

１０．まとめ

本記事では「ISO27001の改訂」について解説しました。

要点を以下にまとめます。

ISO27001の基本と役割
ISO27001は、情報セキュリティマネジメントシステム（ISMS）の国際規格であり、情報資産を保護し、リスクを低減するための枠組みを提供します。認証取得により、リスク低減、信頼性向上、法的要件の遵守が可能となります。

ISO27001・ISO27002・JIS Q 27001の関係性
ISO27001は「何をすべきか」を示す規格、ISO27002はその管理策の具体的な実践方法を示すガイダンス規格、JIS Q 27001はISO27001の日本語版です。これらは相互に補完し合い、情報セキュリティの管理を支援します。

規格改訂の背景と目的
2022年の改訂は、テレワークの普及やサイバー攻撃の高度化など、現代の課題に対応するために行われました。新たな管理策の追加や構造の見直しにより、柔軟で効果的なISMSの構築が可能になります。

改訂の主なポイント
附属書Aの管理策が114から93に再編され、新たに11の管理策が追加されました。これにより、管理策がより体系的かつ効率的に運用できるようになりました。

移行期限と対応策
新規格への移行期限は2025年10月31日です。適用宣言書や運用ルールの見直し、内部監査・マネジメントレビューの実施が必要です。早期の計画策定と対応が求められます。

中小企業が効率的に対応するための工夫
専門家の活用や既存のISMSの強みを活かすこと、クラウドサービスのセキュリティ機能を活用することで、効率的な移行が可能です。

本記事を参考に、ISO27001の改訂対応をスムーズに進め、情報セキュリティ体制の強化に役立てていただければ幸いです。

ISO/Pマークの認証・運用更新を180時間も削減！
認証率100%の認証パートナーが無料問い合わせを受付中！

認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。

経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。

▼認証パートナーが削減できること(一例)

• マニュアルの作成・見直し：30時間→0.5時間
• 内部監査の計画・実施：20時間→2時間
• 審査資料の準備：20時間→0.5時間

認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

認証パートナーに無料で相談する