このたび、Aikido SecurityがISO 27001:2022認証を取得したことをお知らせいたします。これは当社にとって大きな節目であり、情報セキュリティへの取り組みを実証するものです。
ISO 27001:2022とは?
ISO 27001は、情報セキュリティマネジメントシステム(ISMS)の構築と認証に関する世界的に認められた規格です。この認証の2022年版は、Aikido 情報セキュリティ管理における最新のベストプラクティスに沿っていることを保証します。 当社は特に2022年版(2013年版および2017年版ではなく)を選択しました。この新版はセキュアコーディングや脅威検知などに重点を置いており、これらはソフトウェア企業にとって重要かつ関連性が高い項目と考えるためです。
ISO 27001:2022への適合達成は、Aikido にとって重要な成果です。これは、お客様に安全で信頼性の高いソリューションを提供するという当社の取り組みを裏付けるものです。
Aikido CEO ウィレム・デルバレ
Aikido 27001認証のAikido 動機は何ですか?
私たちはセキュリティ分野のチャレンジャーであり、新規のお客さまに最初にお願いすることのひとつは、コードベースへの読み取りアクセスを許可していただくことです。これは大変なことです。そして私たちは、それが大変なことであることを理解し、同意しています。
お客様に安心してコードベースを任せていただくためには、私たちを会社として信頼し、製品を信頼していただく必要があります。ISO27001に準拠することは、その信頼を築き、証明する上で大きな飛躍となります。
ISO27001準拠への道程で学んだこと
今後のブログ記事で、私の主な学びを紹介するつもりだが、この機会に私たちの旅についての簡単な洞察を共有したい。
ISO27001:2022への道のり
私たちは約半年ですべてのプロセスを完了しました。以前、SOC 2を実施したことがあったので、すでに多くの方針、文書、ベストプラクティスがありました。そのため、その多くを再利用し、ISOに適用することができました。
私たちは、その仕事に適したツールを使用することを固く信じているので、最新のアプローチを取る機会を得て、ISO 27001の取得に必要な作業の多くを自動化するVantaを使用しました。
ISO 27001:2022の達成には忍耐と献身が必要です。信頼できるパートナーに囲まれ、事前に知識を蓄えることが不可欠です。
ロエル・デルルー(Roeland Delrue)Aikido 最高執行責任者兼最高リスク責任者(COO & CRO)
ハイレベル・プロセス
1.内部監査(事前監査)
内部監査は、「本番」の監査を行う準備が整っていることを確認するための「総リハーサル」または「模擬監査」と考えることができる。内部監査では、後の段階で是正できないような明らかなことを見逃していないことを確認する。
簡単なヒント: 優れた内部または外部の事前監査人を使うこと。これは、正しくセットアップするのに非常に役立ちます。あなたがISOに関連し、実績のある経験を持っていない限り、おそらく外部の事前監査人を雇うのが最善でしょう。彼らの経験を活用すれば、本当に価値があることがわかります。
2.ステージ1監査
ステージ1は、主に「卓上監査」または文書レビューである
この監査は、広範な文書レビューで構成される。外部のISO 27001監査人が方針と手順をレビューし、それらがISO規格の要求事項と組織独自の情報セキュリティマネジメントシステム(ISMS)を満たしていることを確認します。
3.第2段階監査
ステージ2は、多くの統制テストを伴う本格的なシステム監査です。
監査人は、情報セキュリティマネジメントシステム(ISMS)が適切に設計され、実施され、正しく機能していることを確認するためのテストを実施します。監査人はまた、組織の統制の公正さと適合性を評価し、ISO 27001規格の要求事項を満たすために統制が実施され、効果的に機能しているかどうかを判断します。
4.認証
不適合事項の是正またはアクションプランの策定が完了したら、バリデーションの準備が整います。ISO 27001の不適合は、軽微なもの、重大なもの、改善の機会(OFI)に分類されます。もちろん、改善したことを示すか、すべての重大な不適合を改善する道筋を明確に示すことが重要です。
そして...証明書を手にする時が来た🎉🥳。
ISO 27001に準拠するにはどれくらいの時間がかかりますか?
2カ月以内では無理だ。ペンテストや監査役など、すべての準備が整っていることが前提だ。
それでも、十分な情報セキュリティ・イベントが発生するようにするには、数カ月が必要かもしれない。あるイベントが発生したときにしか実施できないプロセスもあるからだ(従業員の入社や退社など)。
また、不適合を是正できることを示し、証拠を収集できることを実証しなければなりません。このプロセスには、イベントを特定し、ログに記録して分類し、情報セキュリティイベントを徹底的に文書化することが含まれます。
ISO27001に準拠するには、どれくらいの費用がかかりますか?
事前監査とペンテストの綿密さにもよるが、通常、全プロセスで2万~5万米ドルの費用がかかる。
以下の費用が必要になる:
- プレ監査役
- ペンテスト(SOC 2のためのペンテストをすでに実施している場合など、他のコンプライアンス・トラックから活用することができます。)
- コンプライアンス・プラットフォーム・ライセンス(ぜひご利用ください)
- 監査役
- 脆弱性および/またはマルウェアスキャナーのライセンス(例:Aikido )
費用は複数の要因に大きく左右されるが、主なものは以下の通り:
- 会社の規模(従業員、プロセス、オフィス、開発者などが多い場合、監査費用は劇的に増加します。)
- ペンテストの費用(3~3万米ドル、ペンテストの種類や実施者によって異なる)
- 監査の深さ
- コンプライアンス・プラットフォーム(Vantaなど)
ISO 27001:2022 技術的脆弱性管理
ISO27001:2022認証取得に向けたご自身の道を進んでいますか?Aikido 、ISO 27001:2022適用における技術的脆弱性管理のあらゆるニーズを満たします。コンプライアンス監視プラットフォーム(Vantaなど)とも連携し、脆弱性情報が常に最新の状態であることを保証します。これにより、正確なリスク評価と効率的な是正措置を確実に実施できます。
レポートを請求する
今すぐソフトウェアを保護しましょう
.jpg)
.avif)
