ISO 27001:2022に備えるには

ベンダーのセキュリティレビューを乗り切る

セキュリティにおいては、あらゆるものが常に進化しており、規格も例外ではない。ISO 27001:2022は、間もなくISO 27001:2013に取って代わる。2022年版では、2013年版からの重要な要求事項は削除されませんでした。しかし、主に2つのカテゴリーで、多くの変更があります：

• 新しいセキュリティ・コントロールの数々
• 2013年の古いチェックの多くを統合した。

このブログでは、セキュリティに重点を置いた新しいものだけに焦点を絞ろう。

ISO 27001:2022の改訂では、11の新しい管理が導入された

A.5.7 脅威インテリジェンス

この重要なISO 27001:2022の管理は、脅威に関する情報を収集し、それらを分析して適切な保護措置を講じることにあります。これは、特定の攻撃や、攻撃者が使用している卑劣な手法や技術についてスクープを得ることを意味する。さらに、最新の攻撃傾向を監視することも必要だ。このような情報は、組織内部だけでなく、政府機関からの発表やベンダーのレポートなど外部の情報源からも収集する必要がある。何が起きているかを常に把握することで、A.5.7に準拠することができる。

🎯 素晴らしい知らせです——Aikido ためにAikido かのようです。まさにAikido ことに他なりません。

A.5.23 クラウドサービス利用のための情報セキュリティ

このISO 27001:2022の要件に準拠するためには、クラウド上の情報をより適切に保護するために、クラウドサービスに対するセキュリティ要件を設定する必要があります。これには、クラウドサービスの購入、使用、管理、使用終了が含まれます。

🎯Aikido 、クラウドセキュリティ態勢管理（CSPM）ツールが組みAikido 、皆様を支援します。

A.5.30 事業継続のためのICTレディネス

このコントロールには、情報通信技術を潜在的な混乱に備えておく必要がある。なぜか？必要なときに必要な情報や資産を利用できるようにするためです。これには、準備の計画、実施、メンテナンス、テストが含まれます。

🎯 このISO 27001:2022要件への準拠を支援するため、Aikido 規模なクラウド障害への対応準備状況（リージョンを跨いだバックアップ能力を含む）Aikido 。この機能はAWSにおいてもデフォルト設定ではありません。

A.7.4 物理的セキュリティ監視

このISO 27001:2022の管理は、他の管理とは少し異なり、物理的なワークスペースに焦点を当てています。許可された人だけがアクセスできるようにするため、機密性の高いエリアを監視する必要があります。オフィス、生産施設、倉庫、その他物理的に使用するあらゆるスペースが対象となります。

🥋 極意 ：さあ 、地元の道場へ向かう時が来た！今回は本物のAikidoが必要だ！（武道の方）😂

A.8.9 コンフィギュレーション管理

この管理では、技術のセキュリティ設定の全サイクルを管理する必要がある。その目的は、適切なセキュリティレベルを確保し、不正な変更を回避することである。これには、構成の定義、実装、監視、レビューが含まれる。

🎯 重要な点の一つは、Git（GitHub）の各ブランチに適切なセキュリティ設定を施し、適切な承認なしに誰でもマージできないようにすることです。
Aikido クラウド環境の多くの設定問題をAikido また、クラウド設定のドリフトを回避するため、IAC（Infrastructure as Code）を使用してクラウドを定義しているかどうかも検証します。

A.8.10 情報の削除

この管理に従う必要がなくなったら、データを削除しなければなりません。なぜか？機密情報の漏洩を防ぎ、プライバシーやその他の要件に準拠できるようにするため。これには、ITシステム、リムーバブルメディア、クラウドサービスでの削除が含まれます。

⚠️ この種の制御Aikido 範囲ではありません。

A.8.11 データマスキング

ISO 27001:2022では、機密情報の露出を制限するために、アクセス制御とともにデータマスキング（別名、データ難読化）を使用することを求めています。これは主に個人を特定できる情報（PII）を意味し、すでに強固なプライバシー規制があるからです。さらに、他のカテゴリーの機密データも含まれる可能性があります。

⚠️ この制御は、誤った個人識別情報（PII）をログシステムなどに記録しないことを保証するものです。幸い、ほとんどの現代的なシステム（例：Sentry）には、この要件に対応する何らかの組み込みフィルターが備わっています。しかし、Aikido をチェックするようAikido 。

A.8.12 データ漏洩防止

このコントロールのためには、機密情報の不正な漏洩を避けるために、様々なデータ漏洩対策を施す必要がある。また、そのようなインシデントが発生した場合は、タイムリーに検知する必要があります。これには、ITシステム、ネットワーク、あらゆるデバイス内の情報が含まれる。

🎯Aikido 、クラウドに望ましくないデータ漏洩を引き起こす可能性のあるセキュリティ設定ミスがないことをAikido 。

A.8.16 モニタリング活動

この統制では、異常な活動を認識し、必要に応じて適切なインシデント対応を発動するために、システムを監視することが要求されます。これには、ITシステム、ネットワーク、アプリケーションの監視が含まれます。

🎯 アプリの設定が完了したら、メールを受信箱のアーカイブに溜め込むだけでは不十分です。Slackに通知を送信させるのが最善策です。そして、なんと？Aikido 。

A.8.23 ウェブフィルタリング

ITシステムを保護するために、ウェブフィルタリングコントロールは、ユーザーがアクセスするウェブサイトを管理する必要があります。こうすることで、システムが悪意のあるコードによって侵害されるのを防ぐことができます。また、ユーザーがインターネット上の違法な素材を利用することも防げます。

🎯 実際には、AWS WAFやCloudflareなど、あらゆる種類のWAFを使用することを意味します。Aikido対応します - それらの存在を監視します。

A.8.28 セキュアコーディング

ISO 27001:2022は、セキュアコーディングにも関係している。この管理では、セキュアコーディングの原則を確立し、ソフトウェア開発に適用することが求められます。なぜか？ソフトウェアのセキュリティ脆弱性を減らすためです。いつ？コーディング前、コーディング中、コーディング後の活動が含まれます。

🎯Aikido静的アプリケーションセキュリティテスト（SAST）であり、業界最高水準のオープンソースソフトウェアを基盤に構築されています。さらに、Trivyを基盤とした当社のソフトウェア構成分析（SCA）もご利用いただけます。

Aikido助けを借りたISO 27001:2022準拠

まだISO 27001:2013の段階であれば、やるべきことがあるでしょう。しかしご心配なく。短期間でISO 27001:2022に対応することは可能です。

アプリケーションのセキュリティを迅速に強化したい場合、Aikido コードとクラウド制御に関する現状を包括的にAikido 。

ご自身の状況を知りたいですか？Aikidoで今すぐコンプライアンスを確認しましょう！ほんの数分で完了します：https://app.aikido.dev/reports/iso

ISO認証取得経験者とのチャットにご興味がおありですか？下記のフォームにご記入ください。