この度、Aikido セキュリティはISO27001:2022の認証を取得いたしました。これは私たちにとって大きな節目であり、情報セキュリティに対する私たちのコミットメントを証明するものです。
ISO 27001:2022とは?
ISO 27001は、情報セキュリティマネジメントシステム(ISMS)の確立と認証に関する世界的に認知された規格です。この認証の2022年バージョンは、Aikido セキュリティが情報セキュリティ管理の現在のベストプラクティスに沿ったものであることを保証します。この新しいバージョンは、安全なコーディング、脅威の検出などに重点を置いているためです。これらの項目は、ソフトウェア会社にとって重要かつ関連性が高いと私たちが考えるものです。
ISO27001:2022への準拠は、Aikido Securityにとって重要な成果です。お客様に安全で信頼性の高いソリューションを提供するという我々の献身を強調するものです。
WillemDelbare, CEO ofAikido Security.
Aikido ISO27001認証を取得しようと思ったきっかけは何ですか?
私たちはセキュリティ分野のチャレンジャーであり、新規のお客さまに最初にお願いすることのひとつは、コードベースへの読み取りアクセスを許可していただくことです。これは大変なことです。そして私たちは、それが大変なことであることを理解し、同意しています。
お客様に安心してコードベースを任せていただくためには、私たちを会社として信頼し、製品を信頼していただく必要があります。ISO27001に準拠することは、その信頼を築き、証明する上で大きな飛躍となります。
ISO27001準拠への道程で学んだこと
今後のブログ記事で、私の主な学びを紹介するつもりだが、この機会に私たちの旅についての簡単な洞察を共有したい。
ISO27001:2022への道のり
私たちは約半年ですべてのプロセスを完了しました。以前、SOC 2を実施したことがあったので、すでに多くの方針、文書、ベストプラクティスがありました。そのため、その多くを再利用し、ISOに適用することができました。
私たちは、その仕事に適したツールを使用することを固く信じているので、最新のアプローチを取る機会を得て、ISO 27001の取得に必要な作業の多くを自動化するVantaを使用しました。
ISO 27001:2022を達成するには、忍耐とコミットメントが必要です。信頼できるパートナーに囲まれ、事前に知識を収集することが不可欠です。
Aikido SecurityのCOO兼CROであるRoeland Delrue氏。
ハイレベル・プロセス
1.内部監査(事前監査)
内部監査は、「本番」の監査を行う準備が整っていることを確認するための「総リハーサル」または「模擬監査」と考えることができる。内部監査では、後の段階で是正できないような明らかなことを見逃していないことを確認する。
簡単なヒント: 優れた内部または外部の事前監査人を使うこと。これは、正しくセットアップするのに非常に役立ちます。あなたがISOに関連し、実績のある経験を持っていない限り、おそらく外部の事前監査人を雇うのが最善でしょう。彼らの経験を活用すれば、本当に価値があることがわかります。
2.ステージ1監査
ステージ1は、主に「卓上監査」または文書レビューである
この監査は、広範な文書レビューで構成される。外部のISO 27001監査人が方針と手順をレビューし、それらがISO規格の要求事項と組織独自の情報セキュリティマネジメントシステム(ISMS)を満たしていることを確認します。
3.第2段階監査
ステージ2は、多くの統制テストを伴う本格的なシステム監査です。
監査人は、情報セキュリティマネジメントシステム(ISMS)が適切に設計され、実施され、正しく機能していることを確認するためのテストを実施します。監査人はまた、組織の統制の公正さと適合性を評価し、ISO 27001規格の要求事項を満たすために統制が実施され、効果的に機能しているかどうかを判断します。
4.認証
不適合事項の是正またはアクションプランの策定が完了したら、バリデーションの準備が整います。ISO 27001の不適合は、軽微なもの、重大なもの、改善の機会(OFI)に分類されます。もちろん、改善したことを示すか、すべての重大な不適合を改善する道筋を明確に示すことが重要です。
そして...証明書を手にする時が来た🎉🥳。
ISO 27001に準拠するにはどれくらいの時間がかかりますか?
2カ月以内では無理だ。ペンテストや監査役など、すべての準備が整っていることが前提だ。
それでも、十分な情報セキュリティ・イベントが発生するようにするには、数カ月が必要かもしれない。あるイベントが発生したときにしか実施できないプロセスもあるからだ(従業員の入社や退社など)。
また、不適合を是正できることを示し、証拠を収集できることを実証しなければなりません。このプロセスには、イベントを特定し、ログに記録して分類し、情報セキュリティイベントを徹底的に文書化することが含まれます。
ISO27001に準拠するには、どれくらいの費用がかかりますか?
事前監査とペンテストの綿密さにもよるが、通常、全プロセスで2万~5万米ドルの費用がかかる。
以下の費用が必要になる:
- プレ監査役
- ペンテスト(SOC 2のためのペンテストをすでに実施している場合など、他のコンプライアンス・トラックから活用することができます。)
- コンプライアンス・プラットフォーム・ライセンス(ぜひご利用ください)
- 監査役
- 脆弱性および/またはマルウェアスキャナーライセンス(Aikido Securityなど)
費用は複数の要因に大きく左右されるが、主なものは以下の通り:
- 会社の規模(従業員、プロセス、オフィス、開発者などが多い場合、監査費用は劇的に増加します。)
- ペンテストの費用(3~3万米ドル、ペンテストの種類や実施者によって異なる)
- 監査の深さ
- コンプライアンス・プラットフォーム(Vantaなど)
ISO 27001:2022 技術的脆弱性管理
ISO27001:2022認証取得を目指す方へAikido セキュリティは、ISO27001:2022アプリケーションのためのすべての技術的な脆弱性管理のニーズを満たします。また、コンプライアンス・モニタリング・プラットフォーム(Vantaなど)と同期し、脆弱性情報が常に最新であることを保証します。つまり、正確なリスク評価と効率的な修復が可能になります。
レポートを請求する
当社のISO 27001:2022レポートをトラストセンターで直接ご請求ください。
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
