本連載は、ドイツ自動車工業会(VDA)が定めたTISAX®審査における要求事項のバージョンアップと審査制度の変更点を全2回にわたり、解説するシリーズです。
TISAX®審査の評価項目は、VDA ISA(Information Security Assessment、以下、ISA)という評価シートに定められています。この評価シートが更新され、2024年4月以降に行われる審査は更新後のバージョン6を使用して実施されることになりました。第1回となる本稿では、そのメジャーアップデートの要点について解説します。
ISAバージョン6の変更について
ISAバージョン6では業務の継続やシステムの可用性に焦点が当てられ、それに伴って多くの要求事項が追加されました。主な変更点を(1)インシデント関係、(2)危機管理関係、(3)システム可用性関係、(4)その他の4テーマに分けて解説します。
【業務の継続・システムの可用性に関連する変更イメージ】
(1)インシデント関係
インシデント(セキュリティイベント)対応に関する要求事項は、旧バージョンではコントロールナンバー1.6.1のなかに16点記載されていましたが、ISAバージョン6においては1.6.1および1.6.2に分割され、それぞれ大幅に詳細化されました。
1.6.1はセキュリティイベントの報告に充てられており、報告すべき事象の定義、報告の経路および手段、報告の演習の実施などが問われています。なお、ここでは自組織内のインシデントのみならず、仕入先等の関連する第三者におけるインシデントも報告の対象に含まれます。TISAX®ラベルの取得を目指す企業は、発見されたセキュリティイベントが確実に担当部門に報告されることを示す必要があると言えます。
1.6.2はセキュリティイベントの対応に充てられており、上記で報告された事象を適切かつ不要な遅延なく処理するよう求めています。ここでは発生したインシデントの分類や内外へのコミュニケーション戦略を含む、効果的なインシデント対応プロセスを示す必要があります。
(2)危機管理関係
旧バージョンのコントロールナンバー3.1.2は、組織全体としての危機管理に関する要求事項とシステムの危機管理に関連する要求事項が混在する形で記載されていましたが、ISAバージョン6では組織としての危機管理がコントロールナンバー1.6.3として独立し、内容の面でも大幅に詳細化されました。
新規追加された1.6.3では、危機管理の発動に関する手順や意思決定プロセスなど、一般にBCPと呼ばれる対応計画が求められていると言えます。ここでは計画を作成するだけでなく、その妥当性についての定期的な評価も求められています。
(3)システム可用性関係
旧バージョンのコントロールナンバー3.1.2に含まれていたシステムの可用性に関する要求事項は、ISAバージョン6ではコントロールナンバー5.2.8および5.2.9として独立し、それぞれ大幅に詳細化されました。
5.2.8では、「重要なITサービス(Critical IT services)」およびそれらを構成する「重要なITシステム」の特定と、関連する継続計画の策定が求められています。「重要な」という表現は今回のISAアップデートで導入されたもので、被審査組織はビジネスオペレーションの継続に欠かせないITサービスやシステムが何なのか、説明可能性を確保しつつ適切に分類することが求められるようになりました。5.2.8では、それらのITサービスやシステムについて、サイバー攻撃や自然災害等の発生時に備えた対策や復旧計画(いわゆるIT-BCP)を示し、業務への影響を抑えられることを示す必要があります。
5.2.9では、システムのバックアップおよびリカバリに関する方針策定が求められています。リカバリ能力のテストや、具体的な目標復旧時点等の設定、方針自体の定期的な見直しなどが要求されています。
(4)その他
上記の他には、ソフトウェアの管理に関するコントロールナンバー(1.3.4)の追加が目を引きます。ここでは業務で使用するソフトウェア(OS、アプリケーション等)は社内で承認されたものだけを使用するなど、組織内でのソフトウェア管理体制を整備することが求められています。
ISAバージョン6へのメジャーアップデートでは本稿で紹介した変更以外にも、用語の定義の修正、既存の要求事項の詳細化や表現の修正、要求事項の趣旨や実施事例の追記など、多くの変更が加えられています。加えて、2024年4月3日および4月25日には早くもISAのマイナーアップデートが公表され、表現の細かい変更等が行われました。これからTISAX®ラベルの取得を目指す組織はもちろんのこと、すでにラベルを取得済みの組織も有効期限切れ後の再審査に向け、最新版のISAを確認・参照することが重要です。
第2回では、審査制度上の更新等について解説します。
執筆者
KPMGコンサルティング
シニアコンサルタント 佐野 智彦
TISAX®要求事項のバージョンアップと審査制度の変更点
関連リンク
TISAX® VDA-ISAのバージョンアップと注意点
TISAX®審査の評価シートであるVDA-ISAのマイナーバージョンアップ(Version5.0からVersion5.1)の主な変更点と、TISAX審査対応における注意点について解説しています。