ベンダーのセキュリティレビューを乗り切る
セキュリティにおいては、あらゆるものが常に進化しており、規格も例外ではない。ISO 27001:2022は、間もなくISO 27001:2013に取って代わる。2022年版では、2013年版からの重要な要求事項は削除されませんでした。しかし、主に2つのカテゴリーで、多くの変更があります:
- 新しいセキュリティ・コントロールの数々
- 2013年の古いチェックの多くを統合した。
このブログでは、セキュリティに重点を置いた新しいものだけに焦点を絞ろう。
ISO 27001:2022の改訂では、11の新しい管理が導入された
A.5.7 脅威インテリジェンス
この重要なISO 27001:2022の管理は、脅威に関する情報を収集し、それらを分析して適切な保護措置を講じることにあります。これは、特定の攻撃や、攻撃者が使用している卑劣な手法や技術についてスクープを得ることを意味する。さらに、最新の攻撃傾向を監視することも必要だ。このような情報は、組織内部だけでなく、政府機関からの発表やベンダーのレポートなど外部の情報源からも収集する必要がある。何が起きているかを常に把握することで、A.5.7に準拠することができる。
Aikido このために作られたかのようだ。Aikido 文字通り、このためにあるのです。
A.5.23 クラウドサービス利用のための情報セキュリティ
このISO 27001:2022の要件に準拠するためには、クラウド上の情報をより適切に保護するために、クラウドサービスに対するセキュリティ要件を設定する必要があります。これには、クラウドサービスの購入、使用、管理、使用終了が含まれます。
Aikido には、クラウド・セキュリティ・ポスチャ管理(CSPM)ツールが組み込まれています。
A.5.30 事業継続のためのICTレディネス
このコントロールには、情報通信技術を潜在的な混乱に備えておく必要がある。なぜか?必要なときに必要な情報や資産を利用できるようにするためです。これには、準備の計画、実施、メンテナンス、テストが含まれます。
このISO 27001:2022の要件に準拠できるよう、Aikido リージョンをまたいだバックアップ能力など、大規模なクラウドの混乱への備えをチェックします。この機能はAWSでもデフォルト設定ではありません。
A.7.4 物理的セキュリティ監視
このISO 27001:2022の管理は、他の管理とは少し異なり、物理的なワークスペースに焦点を当てています。許可された人だけがアクセスできるようにするため、機密性の高いエリアを監視する必要があります。オフィス、生産施設、倉庫、その他物理的に使用するあらゆるスペースが対象となります。
᥋ ヒント:地元の道場に行く時です!これには本物のAikido必要だ!(武道)😂。
A.8.9 コンフィギュレーション管理
この管理では、技術のセキュリティ設定の全サイクルを管理する必要がある。その目的は、適切なセキュリティレベルを確保し、不正な変更を回避することである。これには、構成の定義、実装、監視、レビューが含まれる。
🎯 ここで重要なことの1つは、各ブランチのgit(GitHub)で正しいセキュリティが設定されていることを確認することです。
Aikido 、あなたのクラウドにおける多くの設定問題を検証します。また、IACを使用してクラウドを定義していることを確認し、クラウド内の設定のドリフトを防ぎます。
A.8.10 情報の削除
この管理に従う必要がなくなったら、データを削除しなければなりません。なぜか?機密情報の漏洩を防ぎ、プライバシーやその他の要件に準拠できるようにするため。これには、ITシステム、リムーバブルメディア、クラウドサービスでの削除が含まれます。
⚠️ この種のコントロールはAikido カバーできない。
A.8.11 データマスキング
ISO 27001:2022では、機密情報の露出を制限するために、アクセス制御とともにデータマスキング(別名、データ難読化)を使用することを求めています。これは主に個人を特定できる情報(PII)を意味し、すでに強固なプライバシー規制があるからです。さらに、他のカテゴリーの機密データも含まれる可能性があります。
⚠️ このコントロールは、ロギングシステムなどに間違ったPIIを記録しないようにすることです。幸運なことに、ほとんどの最新のシステム(例えばSentry)には、この要求に対する何らかの組み込みフィルターがあります。しかし、Aikido この制御をチェックするようには作られていません。
A.8.12 データ漏洩防止
このコントロールのためには、機密情報の不正な漏洩を避けるために、様々なデータ漏洩対策を施す必要がある。また、そのようなインシデントが発生した場合は、タイムリーに検知する必要があります。これには、ITシステム、ネットワーク、あらゆるデバイス内の情報が含まれる。
Aikido ἿAikido 、お客様のクラウドに、不要なデータ漏洩を引き起こす可能性のあるセキュリティの誤設定がないことを確認します。
A.8.16 モニタリング活動
この統制では、異常な活動を認識し、必要に応じて適切なインシデント対応を発動するために、システムを監視することが要求されます。これには、ITシステム、ネットワーク、アプリケーションの監視が含まれます。
🎯 一度アプリをセットアップしたら、メールを受信トレイのアーカイブに溜めておくだけでは不十分です。Slackにアラートを送るようにするのがベストだ。そして、何だと思う?Aikido こうしている。
A.8.23 ウェブフィルタリング
ITシステムを保護するために、ウェブフィルタリングコントロールは、ユーザーがアクセスするウェブサイトを管理する必要があります。こうすることで、システムが悪意のあるコードによって侵害されるのを防ぐことができます。また、ユーザーがインターネット上の違法な素材を利用することも防げます。
実際には、AWS WAFやCloudflareのようなあらゆる種類のWAFを使用することを意味します。Aikidoこれらの存在を監視しています。
A.8.28 セキュアコーディング
ISO 27001:2022は、セキュアコーディングにも関係している。この管理では、セキュアコーディングの原則を確立し、ソフトウェア開発に適用することが求められます。なぜか?ソフトウェアのセキュリティ脆弱性を減らすためです。いつ?コーディング前、コーディング中、コーディング後の活動が含まれます。
これは、Aikido静的アプリケーション・セキュリティ・テスト(SAST)であり、クラス最高のオープンソース・ソフトウェア上に構築されています。さらに、Trivy上に構築された、私たちのソフトウェア構成分析(SCA)を使うことができます。
AikidoISO27001:2022への対応
まだISO 27001:2013の段階であれば、やるべきことがあるでしょう。しかしご心配なく。短期間でISO 27001:2022に対応することは可能です。
アプリケーションを素早くセキュアにしたい場合、Aikido コードとクラウド・コントロールに関する状況を完全に把握することができる。
自分の実力を知りたい?今すぐAikidoあなたのコンプライアンスをチェックしましょう!ほんの数分でできます。https://app.aikido.dev/reports/iso
ISO認証取得経験者とのチャットにご興味がおありですか?下記のフォームにご記入ください。
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
