Aikidoは、ISO 27001:2022およびSOC 2 Type 2に準拠するプロセスを完了したばかりです。その中で、私たちが欲しかったものの一つは、開始方法に関する実践的で現実的なアドバイスでした。ベストプラクティス、注意すべき点、つまりISO 27001認証プロセスをすでに経験した人からのヒントです。
AikidoがISO 27001:2022に準拠するまでの道のり、およびISO 27001の要件について詳しくお読みください。
そのため、私たちはこのブログ記事を執筆しました:ISO:27001準拠を目指すSaaS企業の皆様を支援するためです。
ISO 27001認証プロセス中に学んだ8つのこと
1. 内容を把握する
これまでに経験がない場合は、まず友人やビジネス上の知人に相談してみましょう。きっとそのプロセスを経験した人が見つかるはずですので、連絡を取ってアドバイスをもらうと良いでしょう。
もし本当に誰も見つからない場合は、事前監査人と連絡を取ることも可能です。ただし、彼らがサービスを販売しようとするのは当然のことですので、その点はご承知おきください。
いずれにしても、全体の仕組みをよく理解しておくことは非常に役立ちます。これにより、最終的に時間を節約でき、ISO 27001認証をより迅速に取得できるようになります。
2. ISO 27001の導入に取り組んでいることを伝える
ISO 27001の導入を進めていることを伝えると、高く評価されます。近い将来、懸念事項が減ることを知れば、人々は安心するでしょう。そして、それは結果として売上とコンバージョンに貢献します。このことをウェブサイト、営業会話、LinkedInなどで言及し、製品のコンプライアンスを強化していることをユーザーに知らせましょう。
3. 導入するISO 27001規格を決定する (2013年版、2017年版、または2022年版)
2022年版は、セキュアコーディングとソフトウェアセキュリティに関する管理策が大幅に増加しています(例:マルウェアの検出が新たな管理策となります)。これは、以前のバージョンよりも実装に多くの作業が必要となることを意味します。新しい規格のいずれかを選択する場合、より多くの管理策が求められますが、将来に備えることができます。そのため、2022年版を選択するのがおそらく良いでしょう。
クイックヒント:ISO 27001認証は3年ごとに完全な監査が必要です。つまり、ISO 27001:2013はあと2年間しか有効ではないため、取得しないのが最善です。
ISO 27001規格の各バージョンは、リスク管理プロセスを異なる形で位置付けています。2022年版には、進化するサイバーセキュリティリスクを反映した更新された認証要件が含まれています。そのため、企業がこれらのリスクを特定し、評価し、軽減するための堅牢なリスク管理プロセスを導入することが重要です。
なお、大規模で成熟した企業の場合、2017年版の方がより確立されており、既存のプロセスへの混乱が少ない可能性があるため、そちらを選択する方が良いかもしれません。
4. すべてをアウトソースしない
プロセス全体をアウトソースするのはリスクが伴います。プロセス全体をコンサルタントにアウトソースすることは可能ですが、私はこれをお勧めしません。確かに、コンサルタントは間違いなく支援し、テンプレートなどを提供できます。しかし、すべてをアウトソースして問題が発生した場合、それをどのように処理すべきかを知っておく必要があります。私の助言としては、社内から最低2名、最大4名が関与することです。
クイックヒント:最終監査は、認定された認証機関によって実施されなければならないことを忘れないでください!
5. 貴社に適したペンテストを実施しましょう。
ソフトウェア企業の場合、OWASP ZAPのような自動化ツールではカバーされない領域に焦点を当てるペンテスターを選択すべきです。「昔ながらの」ペンテスターではなく、バグバウンティハンターの経験を持つペンテスターを選ぶべきです。
6. コンプライアンス標準を活用し、加速する
既にSOC2に準拠している場合、ISO準拠への移行が迅速になります。また、ISOに準拠していれば、NIS2(EUで適用される新しい規制)への対応が容易になることを知っておくと良いでしょう。
クイックヒント:監査人が監査を受けていることを再確認してください(これは要件です)。適切な資格を持たない人物で妥協しないでください。騙される可能性があります。
7. 完璧なものはないと認識する
最終的な監査では常に不適合が発見されますが、完璧でなくても問題ありません。しかし、それらの不完全性を認識し、問題を解決するための正式な行動計画を持っていることを確認する必要があります。これは継続的な改善プロセスであり、最終的には会社全体のセキュリティ向上につながります。確かに、「完璧」に到達することは決してないかもしれませんが、そこを目指して最善を尽くすべきです!
8. ISO管理をカバーするツールの導入を早期に開始する
ISO準拠を目指すことを検討している場合、特定の管理策をカバーし(必要な証拠も生成する)のに役立つツールの試用を行うことは常に良い考えです。
例えば、ISOでは、オンボーディング、オフボーディング、バックグラウンドチェック、会社資産の割り当てと回収など、人材に関するいくつかのプロセスを導入することが求められます。Officient、Personio、Workdayなどの人事情報システム(HRIS)でこれらのプロセスを導入しておけば、ISOの証拠を提出する必要がある際に、すぐに準備を整えることができます。
Aikidoでも同様です。Aikidoはすでに22のコントロールに対してチェックを実行し、包括的なISO 27001レポートを生成します。これは、ISO準備を先行させるためのもう一つの素晴らしい例です。
ISO 27001:2022 技術的脆弱性管理
ISO 27001:2022認証取得への道を歩んでいますか?当社のプラットフォームであるAikido Securityは、ISO 27001:2022アプリケーションのすべての技術的な脆弱性管理ニーズを満たします。また、コンプライアンス監視プラットフォーム(VantaやDrataなど)と提携し、データを簡単に同期し、脆弱性情報が常に最新であることを保証しています。これにより、セキュリティ体制を容易に把握できます。
レポートをリクエストする
当社のセキュリティ概要ページから直接、ISO 27001:2022認証書をご請求いただけます。私たちの努力の成果を喜んで共有いたします! 😉
このブログ記事が皆様のお役に立てれば幸いです。このプロセスを開始したときに、これらのヒントをすべて知っていればと心から願っています。ISO認証を検討されている場合は、LinkedInで私とつながっていただければ、喜んで私の知見を共有させていただきます!
