【2025最新版】ISMS(ISO27001)改訂の概要とポイントを解説
2022年10月、情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO/IEC27001が約9年ぶりに改訂され、最新版として「ISO/IEC27001:2022」が発行されました。この新規格では、附属書Aにおける管理策(セキュリティコントロール)の分類や構成に大きな変更が加えられ、企業のISMS運用にも影響を与えています。
2023年9月には、国内向けの日本語版規格「JIS Q 27001:2023」も公示され、これを受けて各企業では現行のISMSの見直しや新規格への対応を進める動きが加速しています。
本記事では、ISMS(ISO27001)の改訂内容のポイント、具体的な変更点、移行スケジュール、対応方法などを2025年時点の最新情報としてわかりやすく解説します。すでに認証を取得している企業の担当者はもちろん、これからISMSの導入や認証取得を検討している方もぜひ参考にしてください。
※ISO27001の対訳版(日本語訳)とJIS Q 27001に大きな差異はなく、いずれを参考にしても問題ありません。
ISO27001とは
ISO27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。情報資産の機密性・完全性・可用性を確保するために、組織が管理すべき仕組みやプロセスを体系的にまとめたものであり、グローバルで信頼性の高い情報セキュリティ体制を構築するための指針となります。
つまり、ISO27001は、企業がISMSを構築・運用・監視・見直し・維持・継続的に改善していくための枠組み(フレームワーク)となっています。
ISMSとの関係性
ISMSとは、「Information Security Management System(情報セキュリティマネジメントシステム)」の略称であり、組織内の情報資産を保護するための仕組み全体を指します。
一方で、ISO27001はISMSを実現するための規格であり、ISMSの設計・導入・運用・監視・改善といったプロセスを体系立てて実行するための「ルールブック」のような存在です。
つまり、ISMSは「仕組みそのもの」、ISO27001は「その仕組みをどう作るかの国際的な基準」と考えるとわかりやすいでしょう。
また、ISO27001は認証規格であり、規格に基づいて構築されたISMSが第三者認証機関により審査・認証されることで、情報セキュリティに対する信頼性を対外的にアピールすることが可能になります。
ISO27001、ISO27002、JIS Q 27001の関係性
ISMSに関連する代表的な規格には、主に以下の3つがあります。それぞれ役割が異なるため、混同せずに理解しておくことが重要です。
- ISO/IEC 27001
ISMSの要求事項(マネジメントシステムそのもの)を定めた認証規格です。企業がISMSを構築・運用する際に「満たすべき基準」として機能します。認証審査の対象となるのはこの規格です。 - ISO/IEC 27002
ISO27001の附属書Aにある「管理策(セキュリティ対策)」について、より詳細な実施手順やベストプラクティスを解説しているガイドライン規格です。認証対象ではありませんが、実務的な対応において参考にされる重要な資料です。2022年2月に改訂され、「ISO/IEC 27002:2022」が最新です。 - JIS Q 27001
ISO27001を日本語に翻訳した国内対応規格で、内容は基本的に原文のISO27001と同じです。2023年9月に「JIS Q 27001:2023」として改訂され、日本国内でのISMS構築・審査にも適用されています。
【2025年】ISO27001最新版は?
ISO27001の最新版は「ISO/IEC 27001:2022」です。このバージョンは、情報セキュリティ対策の最新動向や実務に即した改善を取り入れる形で改訂されており、特に管理策(附属書A)の構成や分類方法に大きな変更が加えられています。
現在、多くの企業が新しい規格への移行対応を進めており、2025年はその対応期限の最終年にあたります。
直近の改訂:2022年
ISO27001の最新バージョン「ISO/IEC 27001:2022」は、2022年10月25日に国際標準化機構(ISO)より発行されました。
前回の改訂である2013年版(ISO/IEC 27001:2013)からは約9年ぶりの見直しとなり、近年のクラウド活用やリモートワークの普及、多様化するセキュリティリスクへの対応が強く意識された内容となっています。
特に、附属書Aにおける「管理策(セキュリティコントロール)」の再構成が注目ポイントで、従来の114項目・14分類から、93項目・4分類へと再編成されました。これにより、情報セキュリティ対策の実務との整合性が高まり、管理しやすくなっています。
改訂の対応期限:2025年10月31日
ISO/IEC 27001:2022への移行に関する公式な移行期限は2025年10月31日と定められています。
これは、従来の2013年版に基づく認証の有効期限を意味しており、それ以降は新規格(2022年版)に基づく運用と認証が求められます。
すでにISO27001認証を取得している企業は、期限までに、リスクアセスメントや文書類の見直し、新しい管理策の構成に沿った再整理を行ったうえで、外部審査機関での移行審査に備える必要があります。
一方で、新たに認証取得を目指す企業については、2024年後半から2025年時点にかけては原則としてISO/IEC 27001:2022が審査基準となるため、初めから新規格に準拠した体制づくりが前提として求められます。
ISO27001改訂の変更点
2022年に発行された「ISO/IEC 27001:2022」では、情報セキュリティの実務に即した構成に刷新されており、特に附属書A(管理策)における構成の見直しが大きなポイントです。
従来版(2013年版)では、やや形式的で煩雑だった管理策の構成が、最新のリスク環境に即してよりシンプルかつ柔軟なものへと再設計されました。
カテゴリーの分類・項目数
もっとも大きな変更点のひとつが、管理策の分類方法と項目数の見直しです。
旧版(ISO/IEC 27001:2013)では、附属書Aにおける管理策は114項目・14カテゴリに分類されていました。
これに対し、最新版(2022年版)では、93項目・4カテゴリ(「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」)に再編されています。
この変更により、同じような性質の管理策が統合されるなどの整理が行われ、重複の解消や構造のシンプル化が図られています。
管理策(附属書A)の変更点
管理策の「内容」そのものにも多くの変更が加えられました。
再構成だけでなく、文言の修正・表現の統一・重複の削除なども行われており、より実践的かつ直感的な管理項目へと改善されています。
たとえば、旧版で別々に扱われていた「モバイル機器」や「テレワーク」に関する管理策は、より包括的な項目に統合されており、現代の働き方を反映した構成へと変化しています。
また、新たに導入された管理策には、制御目標が設定されていない点も特徴的です。これにより、企業はそれぞれの管理策の目的を自社のリスクに応じて柔軟に解釈・実装できるようになっています。
結果として、管理策全体が「規則に従うためのリスト」から「リスクに基づいた運用方針を組み立てるツール」へと進化したと言えるでしょう。
管理策の新規追加
今回の改訂では、完全に新しい管理策が11項目追加されています。これらの新規項目は、従来の規格では十分にカバーしきれていなかった最新のセキュリティリスクや技術の進化に対応するために導入されたものです。
たとえば、脅威インテリジェンスの活用に関する管理策では、外部の脅威情報をもとに攻撃手法や潜在的なリスクへの理解を深める取り組みが求められています。また、クラウドサービスの利用に伴うセキュリティ対策についても、従来よりも具体的かつ実践的な管理内容が新たに明文化されました。さらに、施設や拠点の安全性を保つための物理的な監視体制に関する管理策も追加されており、リモートワークや多拠点展開を前提とした環境に対応する内容となっています。
このように、組織が直面する脅威の変化やテクノロジーの進化を正しく捉えたうえで、より現実的かつ有効な管理策を導入できるよう、規格自体がアップデートされています。
ISO27001改訂で組織が対応すべきポイント
ISO27001の改訂にともない、企業や組織は既存のISMSの運用体制や文書を見直し、2022年版への適合性を確保するための対応が求められます。
特に、適用宣言書や管理策の見直しは、移行審査でも重点的に確認される部分です。
ISMS適用宣言書の改訂
適用宣言書(SoA:Statement of Applicability)は、組織が採用する管理策を明確にし、その選定理由や適用/非適用の根拠を記載する重要な文書です。
ISO27001の改訂によって管理策の構成や表現が大きく変わったため、旧版に基づいて作成された適用宣言書は、そのままでは新しい規格に適合しません。
対応にあたっては、新たに追加された11項目を含む93の管理策に対して、現行の運用状況を確認し、どの管理策を適用するかを再評価する必要があります。その上で、適用/非適用の判断理由を明確にし、新しい形式に沿って適用宣言書を改訂することが求められます。
管理策変更への対応
ISO27001:2022では管理策の数や構成だけでなく、内容そのものにも見直しが入っているため、単なる置き換えでは不十分です。組織の実際の運用やリスクに照らして、管理策全体の再評価と再設計が必要になります。
変更点の分析
まず必要となるのは、新旧の管理策の対応関係を明確にし、それぞれの変更点を把握することです。統合・削除された管理策がどのように扱われるべきか、新設された項目が自社にどう関係するかといった視点で、影響度を評価する必要があります。
変更点を分析することで、どの部分にギャップがあるのか、何を追加・修正すべきかが見えてきます。これにより、改訂の影響を最小限にとどめつつ、ISMSの実効性を維持することが可能になります。
マニュアルの見直し
管理策に変更があれば、それを支える内部文書やマニュアル類の見直しも不可欠です。
具体的には、情報セキュリティポリシー、手順書、教育資料などが該当します。新しい管理策の内容を実際の業務にどう落とし込むかを検討し、必要に応じてマニュアルの修正や追加を行います。
このプロセスを後回しにすると、現場の運用と文書が乖離し、監査での指摘リスクが高まります。文書の改訂と教育・浸透をセットで進めることが、スムーズな移行の鍵になります。
ISO27001の改訂で受ける必要がある移行審査について
規格改訂にともなう移行審査は、既存の認証をISO/IEC 27001:2022へと更新するためのプロセスです。
この審査は、あくまでも“更新”であり、ゼロからの取得ではないものの、準備にはそれなりの工数と時間がかかるため、計画的に進める必要があります。
移行審査にかかる工数
移行審査にかかる工数は、管理策の適用範囲や既存文書の整備状況、対応体制の成熟度によって大きく異なります。
一からすべてを作り直す必要はありませんが、新しい管理策への対応状況を説明できるように文書や記録を整理し直す必要があります。
特に、適用宣言書やリスクアセスメント結果の更新には時間がかかるケースが多く、小規模な組織でも数週間〜1ヶ月程度の準備期間が想定されます。大規模組織や多拠点展開をしている場合は、さらに長期の計画が必要になるでしょう。
なお、移行審査は定期審査(サーベイランス審査)や更新審査と併せて実施することが一般的です。実際、審査自体にかかる工数として、サーベイランス審査と同時に実施する場合は少なくとも 1.0人日、更新審査と同時の場合は 0.5人日程度の追加が発生するとされています。移行審査を単独で受けることも可能ですが、追加の工数がかさむため、既存の定期審査と併せて受審する方が効率的です。
移行審査の開始時期・費用
移行審査は、2025年10月31日の移行期限までに完了している必要があります。そのため、少なくとも審査希望日の数ヶ月前には準備を始めることが望ましいです。
審査の費用は、一般的に既存の審査費用に追加される形で発生しますが、具体的な金額は、組織の規模や業種、審査範囲、さらに選定する認証機関によっても大きく異なります。そのため、事前に見積もりを依頼するか、第三者のコンサルティングサービスに相談し、自社に最適な審査機関を選定することが重要です。
また、社内での文書整備や教育対応にかかる間接的なコストも見込んでおく必要があります。
移行審査の実施場所
移行審査は、従来の定期審査と同様に、オンサイト(現地訪問)とリモートの併用で行われるのが一般的です。
ただし、物理的なセキュリティや現場の運用を確認する必要がある場合は、最低限の現地対応が求められるケースもあります。
また、複数拠点が認証範囲に含まれている場合は、移行審査でもそれぞれの拠点の運用状況が確認対象となります。審査機関と事前に実施方法やスケジュールをすり合わせておくことが重要です。
コンサルティングサービスの活用も一案
ISMS認証の取得や維持には、情報資産の棚卸し、リスクアセスメント、適用宣言書の作成、社内体制の整備など、広範な知識と実務対応が求められます。加えて、ISO27001の改訂に伴う対応では、規格変更への正確な理解や、管理策の再評価などの工程が加わり、担当者にかかる負担は決して小さくありません。そのため、最近ではISMS対応を外部の専門家とともに進める選択肢として、コンサルティングサービスを活用する企業が増えています。コンサルタントの支援を受けることで、対応漏れや手戻りのリスクを抑えながら、効率的に移行や取得を進めることが可能になります。
今回は数あるサービスの中から、豊富な支援実績を持つ日本パープルの情報セキュリティ教育サービス「Coach Mamoru」をご紹介します。Coach Mamoruでは、ISMS認証の新規取得支援や改訂対応支援はもちろん、文書整備、内部監査の助言、教育支援まで幅広い領域に対応しています。専門知識を有したコンサルタントが組織の状況に応じた細かなアドバイスや実務レベルでのサポートを行います。
さらに、ISMSだけでなく、機密情報の保管・廃棄管理、従業員向けの情報セキュリティなど、セキュリティ全般に関する包括的なサービスも提供しており、情報セキュリティのプロといえるでしょう。ISMS認証についてお困りの担当者は、一度相談してみてはいかがでしょうか。専門家との連携が、スムーズな移行と安心の認証維持につながります。
改訂に合わせた正しいISMS認証を行おう
2025年10月の移行期限が迫る中、すでにISMS認証を取得している企業は、今のうちから情報収集をしつつ、適切に移行を行う準備をしておきましょう。「自社のISMSの有効期限(更新審査のタイミング)」によっては、想定よりタイトな対応スケジュールになる可能性もあります。これから新規取得を目指す企業にとっても、改訂後の規格を見据えた構築・申請が求められるため、専門家の知見を活用するのが賢明です。
組織の規模や業種、体制に合わせて最適な進め方を選び、確実に、そして効率よくISMS認証を取得・維持していきましょう。