Aikido Securityが最近、ISO 27001:2022認証を取得したことを発表できることを誇りに思います。これは私たちにとって大きな節目であり、情報セキュリティへのコミットメントを示すものです。
ISO 27001:2022とは?
ISO 27001は、情報セキュリティマネジメントシステム(ISMS)の確立と認証に関する国際的に認められた規格です。この認証の2022年版は、Aikido Securityが情報セキュリティ管理における現在のベストプラクティスに準拠していることを保証します。この新しいバージョンがセキュアコーディング、脅威検出などにより焦点を当てているため、特に2022年版(2013年版および2017年版ではなく)を選択しました。これらは、ソフトウェア企業にとって重要かつ関連性が高いと当社が考える項目です。
ISO 27001:2022準拠の達成は、Aikido Securityにとって重要な成果です。これは、お客様に安全で信頼性の高いソリューションを提供するという当社の献身を強調するものです。
Willem Delbare, CEO of Aikido Security
AikidoがISO 27001認証の取得を追求した動機は何ですか?
私たちはセキュリティ分野のチャレンジャーであり、新規のお客様に最初にお願いすることの一つは、コードベースへの読み取りアクセスを許可していただくことです。これは非常に重要なことです。そして、私たちはそれが非常に重要であることを理解しており、同意しています。
お客様が安心してコードベースを私たちに委ねるためには、企業として私たちを信頼し、製品を信頼していただく必要があります。ISO27001に準拠することは、その信頼を構築し、証明する上で大きな前進です。
ISO 27001準拠への道のりで学んだこと
将来のブログ記事で、私の主要な学びを詳しく説明しますが、今回の機会に、私たちの道のりに関するいくつかの簡単な洞察を共有したいと思います。
ISO 27001:2022への道のり
私たちは約6ヶ月で全プロセスを完了しました。以前にSOC 2を導入していたため、すでに多くのポリシー、文書、ベストプラクティスが整備されていました。これにより、それらの多くをISOに再利用し、適用することができました。
適切なツールを使用することが重要であると強く信じているため、現代的なアプローチを採用する機会を得て、ISO 27001取得に必要な作業の多くを自動化するVantaを使用しました。
ISO 27001:2022の達成には、忍耐とコミットメントが求められます。信頼できるパートナーに囲まれ、事前に知識を習得することが不可欠です。
Roeland Delrue, COO & CRO of Aikido Security
大まかなプロセス
1. 内部監査(事前監査)
内部監査は「予行演習」または「模擬監査」と考えることができ、「本番」の監査を行う準備ができていることを確認するためのものです。内部監査により、後の段階で修正できないような明白な見落としがないことが確認されます。
クイックヒント:優れた内部または外部の事前監査人を利用しましょう。これにより、適切に設定できます。ISOに関する関連性のある実績のある経験がない限り、外部の事前監査人を雇うのがおそらく最善です。彼らの経験を活用することは非常に価値があるでしょう。
2. ステージ1監査
ステージ1は主に「机上監査」または文書レビューです
この監査は、広範な文書レビューで構成されます。外部のISO 27001監査人が、方針と手順がISO規格および組織自身の情報セキュリティマネジメントシステム(ISMS)の要件を満たしていることを確認するためにレビューします。
3. ステージ2監査
ステージ2は、多くのコントロールテストを含む本格的なシステム監査です
監査人は、情報セキュリティマネジメントシステム(ISMS)が適切に設計・実装され、正しく機能しているかを確認するためのテストを実施します。また、監査人は、ISO 27001規格の要件を満たすためにコントロールが導入され、効果的に運用されているかを判断するため、組織のコントロールの公平性と適切性を評価します。
4. 認証
不適合を是正するか、または是正計画を策定した後、検証の準備が整います。ISO 27001の不適合は、軽微、重大、または改善の機会(OFI)に分類されます。もちろん、是正が完了したこと、またはすべての重大な不適合を是正する道筋にあることを明確に示すことが重要です。
そして... 認証書を取得する時が来ました 🎉🥳
ISO 27001に準拠するにはどのくらいの期間がかかりますか?
2ヶ月未満でそれを完了することはできません。しかも、それはペンテストや監査人を含め、すべてが準備万端であると仮定した場合の話です。
それでも、十分な情報セキュリティイベントに遭遇することを確認するために数ヶ月かかる場合があります。一部のプロセスは、特定のイベント(例:従業員のオンボーディングまたはオフボーディング)が発生した場合にのみ実行されるためです。
また、不適合を是正できること、および証拠を収集できることを実証する必要があります。このプロセスには、イベントの特定、ログ記録と分類、そして情報セキュリティイベントの徹底的な文書化が含まれます。
ISO 27001に準拠するための費用はどのくらいかかりますか?
事前監査とペンテストの深さによって、全体のプロセスには通常20,000~50,000米ドルかかります。
以下の費用が必要になります。
- プレオーディター
- ペンテスト(SOC 2など、他のコンプライアンス要件で既に実施している場合は、それを活用できます)
- コンプライアンスプラットフォームライセンス (この利用を強くお勧めします)
- 監査人
- 脆弱性および/またはマルウェアスキャナーライセンス (例: Aikido Security)
コストは多くの要因に大きく依存し、主なものは以下の通りです:
- 企業の規模(従業員、プロセス、オフィス、開発者などが多数いる場合、監査コストは劇的に増加します)
- ペンテストの費用(3千~3万米ドル。実施するペンテストの種類と実施者によって異なります)
- 監査の深さ
- コンプライアンスプラットフォーム(例:Vanta)
ISO 27001:2022 技術的脆弱性管理
ISO27001:2022認証取得への道を歩んでいますか?Aikido Securityは、ISO 27001:2022アプリケーションのすべての技術的な脆弱性管理ニーズを満たします。また、コンプライアンス監視プラットフォーム(Vantaなど)と同期し、脆弱性情報が常に最新であることを保証します。これにより、正確なリスク評価と効率的な修正に頼ることができます。
