ベンダーセキュリティレビューを乗り切る
セキュリティ分野では、常にすべてが進化しており、標準も例外ではありません。ISO 27001:2022は、まもなくISO 27001:2013に置き換わります。2022年版では、2013年版の重要な要件は削除されていませんが、主に2つのカテゴリで多くの変更点があります。
- 多数の新しいセキュリティ管理策
- 2013年版の古いチェック項目の多くを統合。
このブログ記事では、セキュリティに焦点を当てた新しい管理策に注目します。
ISO 27001:2022改訂版では11の新しい管理策が導入されます
A.5.7 脅威インテリジェンス
この重要なISO 27001:2022管理策は、脅威に関する情報を収集し、それらを分析して適切な保護措置を講じることを目的としています。これは、特定の攻撃や、攻撃者が使用している巧妙な手法や技術に関する情報を入手することを意味します。さらに、最新の攻撃トレンドを監視することも求められます。重要なのは、この情報を自組織内だけでなく、政府機関からの発表やベンダーレポートなどの外部ソースからも収集することです。最新の状況を把握することで、A.5.7に準拠できるようになります。
🎯 朗報です。Aikidoはこのために設計されたかのようです。それこそがAikidoの機能そのものです。
A.5.23 クラウドサービスの利用における情報セキュリティ
このISO 27001:2022要件に準拠するためには、クラウド内の情報をより適切に保護するために、クラウドサービスに対するセキュリティ要件を設定する必要があります。これには、クラウドサービスの購入、利用、管理、および利用終了が含まれます。
🎯 Aikidoには、組み込みのクラウドセキュリティポスチャ管理 (CSPM) ツールが搭載されています。
A.5.30 事業継続のためのICTの準備状況
この管理策は、情報通信技術が潜在的な中断に備えていることを要求します。その目的は、必要な情報と資産が必要なときに利用可能であるようにするためです。これには、準備計画、実装、保守、およびテストが含まれます。
🎯 このISO 27001:2022要件に準拠するために、Aikidoは、リージョンをまたいだバックアップ能力を含め、大規模なクラウド障害への準備状況をチェックします。この機能はAWSでもデフォルト設定ではありません。
A.7.4 物理的セキュリティ監視
このISO 27001:2022管理策は、他のものとは少し異なり、物理的な作業スペースに焦点を当てています。許可された人物のみがアクセスできるように、機密性の高いエリアを監視することを要求します。これには、オフィス、生産施設、倉庫、その他使用するあらゆる物理的スペースが含まれる可能性があります。
🥋 トップヒント:地元の道場へ行く時間です!これには、本物のAikido(武道)が必要です!😂
A.8.9 構成管理
この管理策は、テクノロジーのセキュリティ構成のライフサイクル全体を管理することを要求します。その目的は、適切なレベルのセキュリティを確保し、不正な変更を回避することです。これには、構成の定義、実装、監視、およびレビューが含まれます。
🎯 ここでの重要な点の1つは、適切な承認なしに誰もマージできないように、各ブランチのgit (GitHub) に適切なセキュリティが設定されていることを確認することです。
Aikidoは、クラウド内の多くの設定問題を検証します。また、クラウドの設定ドリフトを回避するために、IACを使用してクラウドを定義していることも検証します。
A.8.10 情報の削除
この管理策に準拠するためには、不要になったデータを削除する必要があります。その目的は、機密情報の漏洩を回避し、プライバシーおよびその他の要件への準拠を可能にすることです。これには、ITシステム、リムーバブルメディア、およびクラウドサービスにおける削除が含まれます。
⚠️ この種のコントロールはAikidoの対象外です。
A.8.11 データマスキング
ISO 27001:2022は、機密情報の露出を制限するために、アクセス制御と組み合わせてデータマスキング(データ難読化とも呼ばれる)を使用することを要求します。これは主に個人識別情報(PII)を意味します。なぜなら、すでに強固なプライバシー規制が存在するからです。さらに、他のカテゴリの機密データも含まれる可能性があります。
⚠️ このコントロールは、誤ったPIIがロギングシステムなどに記録されないようにするためのものです。幸い、ほとんどの最新システム(Sentryなど)には、この要件に対応する組み込みフィルターが備わっています。しかし、Aikidoはこのコントロールをチェックするようには設計されていません。
A.8.12 データ漏洩防止
この管理策では、機密情報の不正な開示を回避するために、さまざまなデータ漏洩対策を適用する必要があります。また、そのようなインシデントが発生した場合は、タイムリーに検出する必要があります。これには、ITシステム、ネットワーク、およびあらゆるデバイス内の情報が含まれます。
🎯 Aikidoは、不要なデータ漏洩につながる可能性のあるセキュリティの誤設定がクラウドにないことを検証します。
A.8.16 監視活動
この管理策では、不審な活動を認識し、必要に応じて適切なインシデント対応を起動するために、システムを監視することが求められます。これには、ITシステム、ネットワーク、アプリケーションの監視が含まれます。
🎯 アプリケーションを設定した後、メールが受信トレイのアーカイブに溜まるだけでは不十分です。Slackにアラートを送信させるのが最善です。そして、ご想像の通り、Aikidoがこれを実行します。
A.8.23 Webフィルタリング
ITシステムを保護するために、Webフィルタリング管理策では、ユーザーがアクセスするWebサイトを管理することが求められます。これにより、悪意のあるコードによるシステムの侵害を防ぐことができます。また、ユーザーがインターネット上の違法な素材を利用することを防ぎます。
🎯 実際には、これはAWS WAFやCloudflareなど、あらゆる種類のWAFを使用することを意味します。Aikidoが対応しており、それらの存在を監視します。
A.8.28 セキュアコーディング
ISO 27001:2022は、セキュアコーディングにも関連しています。この管理策では、セキュアコーディングの原則を確立し、ソフトウェア開発に適用することが求められます。その目的は、ソフトウェアのセキュリティ脆弱性を低減することです。いつ行うかというと、コーディングの前、最中、後を含む活動が考えられます。
🎯 これはAikidoの静的アプリケーションセキュリティテスト (SAST) であり、クラス最高のオープンソースソフトウェアに基づいて構築されています。さらに、Trivyに基づいて構築されたソフトウェアコンポジション分析 (SCA) も利用できます。
Aikidoの支援によるISO 27001:2022への準拠
ISO 27001:2013を使用している場合、いくつかの作業が必要になります。しかし、ご心配なく。短期間でISO 27001:2022に準拠することは可能です。
アプリケーションを迅速に保護したい場合、Aikidoはコードおよびクラウドのコントロールに関して、どの程度対応できているかについて完全な概要を提供します。
現在の状況を確認したいですか? 今すぐAikidoでコンプライアンスをチェックしましょう! わずか数分で完了します: https://app.aikido.dev/reports/iso
ISO認証プロセスを経験した者との会話にご興味がありますか?下記のフォームにご記入いただければ、お電話を設定いたします。
