ブログへようこそ

ISO 27001認証:私たちが学んだ8つのこと
Aikido 、ISO 27001:2022と SOC 2Type 2に準拠するためのプロセスを経たところです。そして、私たちが望んでいたことの1つは、始める方法についての実践的でナンセンスなアドバイスでした。ベストプラクティスや注意すべき点など、基本的にはISO 27001認証プロセスをすでに経験した人からのヒントです。
Aikido ISO 27001:2022に準拠するまでの道のりとISO 27001の要求事項については、こちらをご覧ください。
ISO:27001への準拠を検討しているSaaS企業の皆様のお役に立てるよう、このブログ記事を書きました。

ISO27001認証取得プロセスで学んだ8つのこと
1.何をしようとしているのかを知る
もし一度もやったことがないのなら、まずは友人や仕事関係の知り合いに聞いてみることだ。きっとこのプロセスを経験した人が見つかるはずだから、彼らに当たってアドバイスをもらおう。
どうしても誰も見つからない場合は、プレ・オーディターとコンタクトを取ることもできる。ただ、彼らは当然のことながら、あなたにサービスを売りつけようとするので注意してほしい。
いずれにせよ、すべての仕組みを理解することは本当に役立ちます。そうすることで、最終的には時間の節約になり、ISO 27001認証をより早く取得することができます。
2.ISO 27001の導入に取り組んでいることを伝える
ISO 27001を導入している最中であることを伝えると、人々は高く評価します。近い将来、心配事が減ることを知りたがるでしょう。そしてそれは、売上やコンバージョンの向上にもつながります。そのため、ウェブサイトや営業上の会話、LinkedInなどでこのことに触れてください。ユーザーには、製品をよりコンプライアンスに適合したものにしていることを伝えましょう。

3.どのISO 27001規格を導入するかを決める(2013年、2017年、2022年)
2022年には、セキュアなコーディングとソフトウェア・セキュリティに関して、はるかに多くのコントロールがある。(例えば、マルウェアの検出は新しいコントロールである)。つまり、古いバージョンよりも実装に手間がかかるということだ。より新しい規格のいずれかを選ぶのであれば、より多くの管理が必要になりますが、将来への備えはすでにできていることになります。そのため、2022年版を選んだ方がいいだろう。
簡単なヒント:ISO 27001認証は、3年ごとに全面的な審査が必要です。つまり、ISO 27001:2013の有効期限はあと2年しかないため、取得しない方がよい。
ISO 27001規格の各バージョンでは、リスク管理プロセスの枠組みも異なっている。2022年版では、進化するサイバーセキュリティ・リスクを反映した最新の認証要件が盛り込まれています。そのため、企業はこれらのリスクを特定、評価、軽減するための強固なリスク管理プロセスを導入することが重要になります。
なお、成熟した大企業であれば、2017年版の方がより確立されており、既存のプロセスを混乱させずに済むかもしれないので、そちらを選ぶ方がいいかもしれない。
4.すべてをアウトソーシングしない
全プロセスをアウトソーシングするのは危険です...全プロセスをコンサルタント会社にアウトソーシングすることは可能だとしても、私はそれをお勧めしません。確かに、コンサルタントは間違いなく手助けをしてくれるし、テンプレートを提供してくれたりする。しかし、すべてを外注して問題が発生した場合、その対処法を知っておく必要がある。私のアドバイスとしては、少なくとも2人、最大でも4人、会社の人間が関与することだ。
簡単なヒント:最終審査は、認定された認証機関によって実施されなければならないことを忘れないでください!
5.あなたの会社にとって理にかなったペンテストを受けよう
ソフトウェア会社であれば、OWASP ZAPのような自動化ツールではカバーできないことに焦点を当てるペンテスターを選ぶべきである。昔ながらの」ペンテスターではなく、バグバウンティハンターの経験を持つペンテスターを選ぶこと。
6.コンプライアンス基準を活用し、加速する
すでにSOC2に準拠していることで、ISOへの準拠がより早くなります。また、ISOに準拠していれば、NIS2(EUで適用される新しい規制)も簡単になることを知っておくとよい。
簡単なヒント:監査人が監査を受けているかどうかを再確認すること(これは義務です)。適切な資格のない人を選ばないこと、さもなければ騙されるかもしれない。
7.完璧な人間などいないことを自覚する
最終的な監査では必ず不適合が見つかるものであり、不完全であっても構わない。しかし、そのような不完全な点を把握し、問題を解決するための正式な行動計画を立てる必要があります。 これは、最終的に会社全体のセキュリティ向上につながる継続的な改善プロセスです。もちろん、「完璧」を達成することはできないかもしれないが、そこに到達するために最善を尽くすべきである!
8.ISO管理をカバーするツールの導入に早く着手する
ISOへの準拠を検討しているのであれば、特定の管理をカバーするのに役立つ(そして必要な証拠も作成できる)ツールの試運転を行うのは常に良いアイデアだ。
例えば、オンボーディング、オフボーディング、バックグラウンドチェック、会社資産の割り当てと回収などです。これらのプロセスをOfficient、Personio、Workdayなどの人事情報システム(HRIS)に実装しておけば、ISOのエビデンスを作成する必要が生じたときに、すぐに実行に移すことができます。
Aikido同じで、すでに22の管理についてチェックを行い、包括的なISO 27001報告書を作成している。これもまた、ISOの準備に先手を打った好例である。
ISO 27001:2022 技術的脆弱性管理
ISO 27001:2022認証取得への道を歩んでいますか?私たちのプラットフォーム、Aikido Securityは、ISO 27001:2022アプリケーションのためのすべての技術的な脆弱性管理のニーズを満たします。また、コンプライアンス・モニタリング・プラットフォーム(Vantaや Drataなど)と提携することで、データを簡単に同期し、脆弱性情報が常に最新であることを保証します。これにより、セキュリティ態勢を容易に把握することができます。
レポートを請求する
当社のISO 27001:2022認証は、当社のセキュリティ概要ページから直接ご請求いただけます。私たちの努力の成果を分かち合えることは、この上ない喜びです! 😉。
このブログ記事が皆さんのお役に立てば幸いです。私たちがこのプロセスを始めたとき、これらのヒントをすべて知っていたらと思うと残念でなりません。ISO認証取得を検討されている方は、LinkedInで私とつながってください!

クロノス・グループ、企業・顧客のセキュリティ強化にAikido セキュリティを採用
ベルギー発のITマッチング!ゲントのSaaS新興企業であるAikido Securityは、ベネルクス地域の570以上の企業で5,000以上の顧客を持つ、コンティヒに本社を置くeビジネス・インテグレーターであるThe Cronos Groupにアプリケーション・セキュリティを提供する。この戦略的パートナーシップは、クロノス・グループのセキュリティ態勢と、サイバーセキュリティ業界におけるAikido セキュリティの影響力を強化することになる。

Aikidoセキュリティ態勢を強化
クロノス・グループは、現在、Aikido 新しいクライアントです。その中で、クロノス・グループは、自社のソフトウェア開発会社の多くに、Aikidoセキュリティ・ソリューションを導入しているところです。なぜこれがクロノス・グループにとって有益なのか。ネットワーク内の各企業に対して、より強固なセキュリティ態勢を確立するのに役立つだけでなく、もう一つの大きな利点が生まれる。Aikido クロノスのためにすべてをまとめ、クロノスはこれらの会社のセキュリティ態勢について、これまで以上に洞察に満ちた標準化されたグローバルな概観を得ることができる。
Aikido 、クロノス・グループに真のパートナーになることを託します。その中で、クロノス社は自社の顧客にAikido 提供し、顧客もAikidoサービスの恩恵を受ける機会を得ることができる。その上、クロノスとAikido 積極的に協力し、製品機能をさらに向上させる。
Aikidoユニークなセキュリティ・ツールのセットと誤検知を減らす能力は、クロノス・グループの企業や顧客ネットワークの開発チームに効率性をもたらします。つまり、不必要なアラートによる混乱が減り、コードを書くことに集中できるようになる。クロノス・グループは、企業が潜在的な新技術を最大限に活用するための、創造的で高品質かつ収益性の高い方法を見つける手助けをすることを目指している。したがって、このパートナーシップはその使命に完全に合致している。
Aikido 、そのすべてを専用の「セキュリティ・パートナー・ポータル」に集約しています。このパートナー・ポータルを通じて、クロノス・グループは、企業のセキュリティ態勢について、これまで以上に洞察に満ちた標準化されたグローバルな概観を得ることができる。

クロノス・グループとAikido パートナーシップについてコメント
クロノス・グループはAikido始めるのが待ちきれない。
クロノス・グループは、サイバーセキュリティを含むイノベーションと起業家精神を常に支援しています。私たちは常に提携関係を強化するためのパートナーを探しています。Aikido、私たちは開発者や顧客がコードの最初の行からセキュリティを構築できるようにしたいと考えています。自動化をインテリジェンスと組み合わせることで、開発者はビジネス価値に集中することができ、同時に自身の貴重な時間を守り、被ばくを最小限に抑えることができます。
Jonas Buyle, Cronos Security
一方、この新しいパートナーシップはAikidoどのようなメリットをもたらすのだろうか。「クロノス・グループをAikido セキュリティ・ファミリーに迎えることができ、大変嬉しく思っています。「顧客として、また再販業者として、クロノス・グループは、お客様のセキュリティ態勢をシンプルに管理するという我々のミッションにおける重要なパートナーシップです。私たちの協業は、クロノス・グループの企業ポートフォリオのセキュリティ態勢に関する比類ない洞察を提供することをお約束します。私たちは共に、アプリケーション・セキュリティの水準を全面的に高めていきたいと考えています。
Aikido セキュリティについて
Aikido Securityは、開発者ファーストのソフトウェアセキュリティプラットフォームです。ソースコードとクラウドをスキャンし、解決すべき重要な脆弱性を表示します。誤検知を大幅に減らし、CVEを人間が読めるようにすることで、トリアージがスピードアップします。Aikido 、製品の安全性を維持するためのセキュリティ体制を簡単に強化します。そして、あなたが最も得意とすること、つまりコードを書く時間を取り戻すことができます。
クロノス・グループについて
クロノス・グループは、ベネルクス地域の企業や政府機関に高品質のICTソリューションを提供するeビジネス・インテグレーターです。クロノス・グループは、ICT技術者のキャリアアップと起業家精神を支援することを目的に、ICT技術者によって、また彼らのために設立されました。この使命は、顧客のために創造的で技術的に優れたソリューションを共同で設計・実装するために、創造的な専門家を含むように拡大しました。1991年の設立以来、クロノス・グループは、1人で経営していた会社から、570以上の会社で9000人以上の専門家を雇用する企業グループへと拡大しました。

LoctaxがAikido Securityを使用して無関係なセキュリティ警告とフォルスポジティブを排除する方法
Aikido セキュリティーを利用したお客様の喜びの声を聞くのは、いつも嬉しいニュースです。しかし、良いことばかりを独り占めしたいわけではありません!ここでは LoctaxLoctaxは、グローバルな社内税務チームのための、世界初の共同税務ガバナンス・プラットフォームです。
Loctaxは、Wise、PedidosYa、Iba、Luxottica、Trainlineなどの企業に税務サービスを提供しています。Loctaxにとって、自社の環境と顧客データのセキュリティとコンプライアンスを確保することは、それ以上に極めて重要なことです。
誤検知や無関係なセキュリティ・アラートを減らすことで、トリアージ速度を改善しました。しかし、それだけにとどまりませんでした。製品開発を加速させながら、Loctaxのセキュリティ体制も改善しました。その結果、貴重な時間とコストを削減することができました。Loctaxが顧客の税務リスクの頭痛の種を減らすように、Aikido Loctaxのセキュリティリスクを減らしています。
課題:スピードとセキュリティのバランス
ロクタックスは共通のジレンマに直面していた。迅速な製品開発と妥協のないセキュリティのバランスをどうとるか。顧客に一流のソリューションを提供しなければならないというプレッシャーがありました。その一方で、Loctaxは機密性の高い税務データを保護し、最高のセキュリティ基準に準拠し続ける必要もあった。その上、コストを最適化しながら、少人数のチームでこれを行う必要がありました。
しかし、Loctaxは既存のセキュリティ・ソリューションで障害に遭遇した。誤検知はアラスカの雪よりも多く、トリアージや分析作業に貴重な時間を費やしていた。
これは私たちにとって驚きではない。最近 SaaSのCTOとの最近の協議ではによると、現在使用しているセキュリティ・ソフトウェアの欠陥の第 2 位は誤検知でした。また、これらのCTOは、戦略的なビジネス成果を達成するために、誤検知をなくすことを2番目に重要な活動として位置づけています。つまり、Loctaxのニーズは、SaaSのCTOが私たちに語っていることとぴったり一致することがわかったのです。また、偽陽性があると、本当に重要なことに目が向かなくなります。
一方、さまざまなツールから得られた知見が重複していることが、セキュア化への道を阻むもう一つの障害となっていた。ツールの統合が不十分であったため、セキュリティの優先順位を一元的に把握することが困難であった。
さらに、チームの急速な成長により、すでに使用していたセキュリティ・ソリューションのサブスクリプション費用が高騰していた。この1人当たりの課金方式は、同社のセキュリティ予算を圧迫していた。
これらすべてをまとめると、LoctaxのCTO兼共同設立者であるバート・ヴァン・レモルテールにとって、会社のアプローチを変える必要があることは明らかだった。彼はこれらの課題に立ち向かうための新しいツールを見つけることを決意し、Aikido セキュリティを発見した。
Aikido セキュリティがロクタックスに成果をもたらす
Aikido セキュリティの製品に切り替えたことは、Loctaxにとって画期的な決断であり、多くの好結果をもたらした。
自動トリアージ:効率化の力
私たちの自動トリアージ機能は、真の黒帯として現れた!この機能によって、これまで気が散っていたノイズや偽陽性が取り除かれた。それだけでなく、カスタム脆弱性到達性エンジンも提供している。これは、脆弱性のある関数が実際に到達可能かどうかをチェックする。

このような厄介なものが一掃され、本当の脆弱性が明確に特定され、優先順位が付けられたことで、Loctaxの開発チームはより効率的で生産的になりました。これまで不必要な調査に費やしていた貴重な時間を節約することで、生産性が向上したのだ。
統一ダッシュボード:セキュリティ・ワークフローの調和
武道であるAikido、最小限の労力で効果的に身を守る技術を提供する。Aikido セキュリティはこの原理を応用しています。Loctaxのために、私たちはセキュリティ・オペレーションのハブとなる単一のダッシュボードを提供しました。
Loctaxの既存の技術スタックへの統合は簡単でした。Aikido 、重複する通知に頭を悩ませることなく、すべてのセキュリティ問題の包括的なビューを提供します。重要なセキュリティ・イベントが発生すると、関連するSlackチャンネルにタイムリーなアラートが飛び込んでくる。そのため、プロジェクト管理ツールに簡単に統合でき、Aikido セキュリティ・タスク管理をスムーズにした。
コスト削減:50%
セキュリティー・ツールセットの統合は大成功でした。その結果、Aikido セキュリティがLoctaxの財務に与えた影響は大きかった。その結果は?セキュリティ・オペレーション・コストの驚くべき50%削減。そう、50%である!Loctaxのチームが成長し続けるにつれて、セキュリティ費用はもはや予算の頭痛の種ではなくなりました。その結果、Loctaxの中核的な使命である、社内の税務チームに税務管理とオペレーションの新しい基準を提供するためのリソースが増えました。
Aikido セキュリティがSaaSを守る
はっきり言って、SaaS企業には一流のセキュリティを追求するプレッシャーがあり、Loctaxも同じです。しかし、製品開発に専念しているチームが、セキュリティ体制全体の複雑さを自社で管理することは非常に困難です。Loctax社とのパートナーシップは、このような状況にある企業にとって、Aikido Securityの変革力を例証するものです。Loctaxは、社内の税務チームのための共同税務管理に完全に集中することができ、Aikido それを安全に維持します。
私たちは、その優れた性能と効果により、以前のソリューションをAikido 置き換えました。- バート・ヴァン・レモルテール、Loctax社CTO兼共同設立者
Aikidoソリューションを採用することで、Loctaxはセキュリティ体制を最適化し、誤検知をなくした。その結果、貴重な時間を節約し、著しいコスト効率を達成した。開発チームのスピードは衰えることなく、セキュリティはかつてないほど強固になった。
Aikido セキュリティがSaaSを守る
Aikido 初めての太椿を作ろう 無料でレポをスキャン.2分もかからずに、セキュリティ態勢に関する貴重な洞察を得ることができます。あなたの組織を強化し、開発を後押しし、強固なセキュリティ防御から来る安心感を受け入れてください。
Loctaxの顧客事例をダウンロードしてください。

Aikido Security、成長するSaaSビジネスにシームレスなセキュリティ・ソリューションを提供するため500万ユーロを調達
ヘント、2023年11月14日
成長中のSaaS企業向けに開発者ファーストのソフトウェア・セキュリティ・アプリケーションを提供するAikido Securityは本日、Notion Capitalと Connect Venturesが共同主導するシード・ラウンドで500万ユーロを調達したことを発表した。パートナーであるRaif Jacobsと元Google CFOのPatrick Pichetteが率いるInovia CapitalPrecede Fund Iからの投資や、VantaのCEOであるChristina Cacioppoを含むエンジェル投資家の豪華な顔ぶれも加わった。
今回の投資は、ソフトウェアの機能開発、特にAikidoユーザー・エクスペリエンスと自動トリアージ機能をクラス最高のものにすること、製品をシンプルなものにすること、製品、開発、マーケティング、営業の各チームでスタッフを雇用すること、Aikido 顧客基盤をさらに拡大すること、特に欧州と北米ですでに強固な足場を固め、拡大することに重点を置くことに充てられる。
AikidoCEO兼CTOであるWillem Delbare氏は、次のように説明する。「プラットフォームを構築しているSaaS企業は、多くの場合、散在するツールをインストールすることによって、新しいソフトウェアを『セキュア』にします。これは、開発者にとって多くのノイズを発生させ、注意を払う必要はあるが本当の脅威にはならない無数の異なる『偽陽性』を投げかけることになります。このため、プラットフォームのセキュリティを管理するスタッフに大きな負担がかかる。この問題は、SaaSでは急速に成長する可能性がある成長によってさらに悪化し、セキュリティを担当するスタッフにとって大きな頭痛の種となる。
あるいは、新興企業がこれらのツールをインストールしないことを選択した場合、アプリケーション・セキュリティの一部の要素しかカバーしない高価なセキュリティ・ソフトウェア・ソリューションを採用することになるかもしれません 。その場合、企業は投資したにもかかわらず、ソフトウェアのセキュリティに大きなギャップを抱えることになります。コストがかかるため、脆弱性スキャナーはほとんどが大企業向けであり、中小企業や中堅企業は、成長するプラットフォームのセキュリティに対する実行可能なソリューションがないまま放置されている。
Aikido 、様々なアプリケーション・セキュリティ機能を統合したオールインワン・ツールにより、SaaSセキュリティを簡素化することを使命としている。バラバラのソリューションではなく、この統一されたアプローチにより、コントロールが強化され、誤検知が大幅に削減される。これまでのところ、同社は誤検知に費やされる開発者の作業日を1,500日以上削減している。Aikido 、脆弱性を重大度別にランク付けし、重要な問題が最初に対処されるようにしている。さらに、すべてのセキュリティ・データはプラットフォーム内に保存されるため、スタッフの変更に関係なく安全性が確保され、事業継続の助けとなる。
私はキャリアを通じて複数のSaaS新興企業を立ち上げましたが、新しいプラットフォームをセキュアにするために必要なツールのパッチワークをつなぎ合わせるのに何百 時間も費やしてきました。 Aikido立ち上げるにあたり、エンジニアの時間を浪費させる "非問題 "を減らしつつ、重要な違反を特定するためのより良い方法を見出しました。私たちはヨーロッパでこのようなことを行っている唯一の会社であり、ヨーロッパ大陸の新興企業に対する新たなエネルギーを示しています。私たちの顧客には現在、新興企業だけでなく、開発者が300人を超えるまでに成長した企業も含まれており、その結果、新しいSaaSソリューションの世界では珍しく、わずか1年でインストール総数が1000を超えました。今後は、ニーズに合った製品をまだ見つけていない人々に合わせたソリューションを提供することで、競合他社を圧倒していきたいと考えています。"
Notion CapitalのパートナーであるKamil Mieczakowski氏は、次のように述べています 。「中堅・中小企業に対するサイバー耐性を示す圧力が高まる中、利用可能なセキュリティ・ツールの状況は、断片化、複雑さ、コストを特徴とする課題を提示し続けています。Aikido 、コードとクラウドセキュリティのための強力かつ使いやすいエンド・ツー・エンドのソリューションを提供し、すべての開発者をセキュリティの専門家に変身させることができる単一のツールによって、あらゆる企業が自社とその顧客のセキュリティを確保できるようにします。設立からわずか1年であるにもかかわらず、同社はすでに急速に規模を拡大しており、Connect Venturesの友人や素晴らしいエンジェル投資家グループ、アドバイザーとともに、このエキサイティングな軌道を歩む同社を支援できることに興奮しています。"
コネクト・ベンチャーズの共同創業者兼マネージング・パートナーであるピエトロ・ベッツァ氏は、次のように語っている。「この新しいB2Bソフトウェアの世界では、企業は、効率性、コストパフォーマンス、シンプルさ、集中力を兼ね備えたSaaS製品を求めています。私たちは今、グレート・バンドルの時代にいます。効率化のニーズに後押しされ、顧客はポイント・ソリューション・ソフトウェアをフルスタック・ソフトウェア・スイートに統合しています。ソフトウェア・セキュリティのオールインワン・プラットフォームであるAikido 、この新しい枠組みに非常によく適合しています。ウィレム、ローランド、フェリックスを支援し、あらゆる企業の規模や予算に最適なセキュリティ・ツールへのアクセスを民主化することに、これ以上の喜びはありません。"

Aikido 、成長中のSaaS企業が自社のプラットフォームを保護するための最速の方法を提供します。このアプリケーションは、解決すべき重要な脆弱性のすべてを瞬時に表示することで、顧客主導の迅速なオンボーディングを実現します。Aikido 、世界最高レベルのノイズ・リダクションにより、誤検知の数を大幅に減らすことができる。その目的は、コードにセキュリティ問題が入り込むのを防ぐことである。つまり、開発プロセスで何か問題が発生した場合、違反が発生したりコードが本番環境に到達したりする前に修正することができる。
SaaS企業向けに設計されたAikido 、SOC2、ISO 27001、CIS、HIPAA、および今後予定されている欧州のNIS 2指令など、業界の重要なコンプライアンス基準を満たすための重要なコンポーネントです。
Aikido Securityについて
Aikidoは、アプリケーション・セキュリティの複数の側面を1つの直感的なプラットフォームにまとめたオールインワン・ソリューションです。この包括的なアプローチは、エンドユーザーにより大きなコントロールを提供し、セキュリティチェック中の誤検出の数を劇的に減らします。Aikido 、Willem Delbare氏(TeamleaderとOfficientの元創設者)、Roeland Delrue氏(元Showpad)、Felix Garriau氏(元nexxworks)によって設立され、Notion Capital、Connect Ventures、Syndicate Oneによってベンチャー支援されています。

Aikido セキュリティはISO27001:2022に準拠
この度、Aikido セキュリティはISO27001:2022の認証を取得いたしました。これは私たちにとって大きな節目であり、情報セキュリティに対する私たちのコミットメントを証明するものです。
ISO 27001:2022とは?
ISO 27001は、情報セキュリティマネジメントシステム(ISMS)の確立と認証に関する世界的に認知された規格です。この認証の2022年バージョンは、Aikido セキュリティが情報セキュリティ管理の現在のベストプラクティスに沿ったものであることを保証します。この新しいバージョンは、安全なコーディング、脅威の検出などに重点を置いているためです。これらの項目は、ソフトウェア会社にとって重要かつ関連性が高いと私たちが考えるものです。
ISO27001:2022への準拠は、Aikido Securityにとって重要な成果です。お客様に安全で信頼性の高いソリューションを提供するという我々の献身を強調するものです。
WillemDelbare, CEO ofAikido Security.
Aikido ISO27001認証を取得しようと思ったきっかけは何ですか?
私たちはセキュリティ分野のチャレンジャーであり、新規のお客さまに最初にお願いすることのひとつは、コードベースへの読み取りアクセスを許可していただくことです。これは大変なことです。そして私たちは、それが大変なことであることを理解し、同意しています。
お客様に安心してコードベースを任せていただくためには、私たちを会社として信頼し、製品を信頼していただく必要があります。ISO27001に準拠することは、その信頼を築き、証明する上で大きな飛躍となります。
ISO27001準拠への道程で学んだこと
今後のブログ記事で、私の主な学びを紹介するつもりだが、この機会に私たちの旅についての簡単な洞察を共有したい。
ISO27001:2022への道のり
私たちは約半年ですべてのプロセスを完了しました。以前、SOC 2を実施したことがあったので、すでに多くの方針、文書、ベストプラクティスがありました。そのため、その多くを再利用し、ISOに適用することができました。
私たちは、その仕事に適したツールを使用することを固く信じているので、最新のアプローチを取る機会を得て、ISO 27001の取得に必要な作業の多くを自動化するVantaを使用しました。
ISO 27001:2022を達成するには、忍耐とコミットメントが必要です。信頼できるパートナーに囲まれ、事前に知識を収集することが不可欠です。
Aikido SecurityのCOO兼CROであるRoeland Delrue氏。
ハイレベル・プロセス
1.内部監査(事前監査)
内部監査は、「本番」の監査を行う準備が整っていることを確認するための「総リハーサル」または「模擬監査」と考えることができる。内部監査では、後の段階で是正できないような明らかなことを見逃していないことを確認する。
簡単なヒント: 優れた内部または外部の事前監査人を使うこと。これは、正しくセットアップするのに非常に役立ちます。あなたがISOに関連し、実績のある経験を持っていない限り、おそらく外部の事前監査人を雇うのが最善でしょう。彼らの経験を活用すれば、本当に価値があることがわかります。
2.ステージ1監査
ステージ1は、主に「卓上監査」または文書レビューである
この監査は、広範な文書レビューで構成される。外部のISO 27001監査人が方針と手順をレビューし、それらがISO規格の要求事項と組織独自の情報セキュリティマネジメントシステム(ISMS)を満たしていることを確認します。
3.第2段階監査
ステージ2は、多くの統制テストを伴う本格的なシステム監査です。
監査人は、情報セキュリティマネジメントシステム(ISMS)が適切に設計され、実施され、正しく機能していることを確認するためのテストを実施します。監査人はまた、組織の統制の公正さと適合性を評価し、ISO 27001規格の要求事項を満たすために統制が実施され、効果的に機能しているかどうかを判断します。
4.認証
不適合事項の是正またはアクションプランの策定が完了したら、バリデーションの準備が整います。ISO 27001の不適合は、軽微なもの、重大なもの、改善の機会(OFI)に分類されます。もちろん、改善したことを示すか、すべての重大な不適合を改善する道筋を明確に示すことが重要です。
そして...証明書を手にする時が来た🎉🥳。
ISO 27001に準拠するにはどれくらいの時間がかかりますか?
2カ月以内では無理だ。ペンテストや監査役など、すべての準備が整っていることが前提だ。
それでも、十分な情報セキュリティ・イベントが発生するようにするには、数カ月が必要かもしれない。あるイベントが発生したときにしか実施できないプロセスもあるからだ(従業員の入社や退社など)。
また、不適合を是正できることを示し、証拠を収集できることを実証しなければなりません。このプロセスには、イベントを特定し、ログに記録して分類し、情報セキュリティイベントを徹底的に文書化することが含まれます。
ISO27001に準拠するには、どれくらいの費用がかかりますか?
事前監査とペンテストの綿密さにもよるが、通常、全プロセスで2万~5万米ドルの費用がかかる。
以下の費用が必要になる:
- プレ監査役
- ペンテスト(SOC 2のためのペンテストをすでに実施している場合など、他のコンプライアンス・トラックから活用することができます。)
- コンプライアンス・プラットフォーム・ライセンス(ぜひご利用ください)
- 監査役
- 脆弱性および/またはマルウェアスキャナーライセンス(Aikido Securityなど)
費用は複数の要因に大きく左右されるが、主なものは以下の通り:
- 会社の規模(従業員、プロセス、オフィス、開発者などが多い場合、監査費用は劇的に増加します。)
- ペンテストの費用(3~3万米ドル、ペンテストの種類や実施者によって異なる)
- 監査の深さ
- コンプライアンス・プラットフォーム(Vantaなど)
ISO 27001:2022 技術的脆弱性管理
ISO27001:2022認証取得を目指す方へAikido セキュリティは、ISO27001:2022アプリケーションのためのすべての技術的な脆弱性管理のニーズを満たします。また、コンプライアンス・モニタリング・プラットフォーム(Vantaなど)と同期し、脆弱性情報が常に最新であることを保証します。つまり、正確なリスク評価と効率的な修復が可能になります。
レポートを請求する
当社のISO 27001:2022レポートをトラストセンターで直接ご請求ください。

△StoryChiefのCTOがAikido セキュリティを使用して夜ぐっすり眠る方法
あなたの素晴らしい新スタートアップのコードに悪質業者が潜入していることを想像して眠れなくなっていませんか?もうそんなことはありません!Aikido セキュリティは、手頃な価格で効率的な、CTOのニーズを満たすためにスタートアップのセキュリティを設計しました。Aikido StoryChiefのセキュリティ体制をどのように変えたか見てみよう。
私たちは、お客様やパートナーの経験、特に新興企業のセキュリティに関する話を聞くのが大好きです。先日、StoryChiefの共同設立者兼CTOであるGregory Claeyssens氏にお話を伺い、Aikido Securityを利用した彼のサクセスストーリーを聞くことができて感激しました。この顧客事例では、その会話を分解して、Aikido StoryChiefのセキュリティ態勢をどのように改善したかを紹介します。そして、その結果、グレゴリー氏のワークライフバランスが改善され、夜もぐっすり眠れるようになったことをご紹介します!(CTOの皆さん、それは素晴らしいことでしょう!)。
💡 このブログ記事の最後にある、StoryChief/Aikido カスタマーケースのダウンロードをお忘れなく。
StoryChiefとは?
2017年に設立され、ベルギーのゲントに本社を置くStoryChiefは、ユーザーフレンドリーなオールインワンのコンテンツマーケティングソリューションを提供する新興企業である。StoryChiefは、マーケティングエージェンシーやコンテンツチームがコンテンツ制作と管理を効率化できるよう支援する。あるいは、StoryChiefが言うように、「コンテンツの混沌を終わらせる」。
StoryChiefのコラボレーティブで直感的なプラットフォームには、コンテンツ計画、配信、スケジュール管理、AIライティングツールが含まれています。大きな注目を集めている。特に、StoryChiefは570万ドルの資金を調達している。これは、包括的なコンテンツ・マーケティング・ソリューションを提供する革新的なアプローチの証だ。現在、StoryChiefには大規模な専属開発チームがある。そして、魅力的なことに、彼らのロゴは好感の持てるナマケモノだ!
StoryChiefのウェブサイトをご覧ください: https://www.storychief.io.

スタートアップ・セキュリティの課題
StoryChiefが成長するにつれ、コードベース、リポジトリ、インフラのセキュリティ管理はますます複雑になっていきました。グレゴリーと彼のチームは、潜在的なセキュリティの脆弱性に先手を打つという困難な立場に立たされていることに気づいた。
セキュリティの遅れ: セキュリティ態勢の管理がますます心配になった。グレゴリーは、何か重要なことを見逃しているのではないか、見落としているのではないかと心配した。それが不必要なストレスや懸念につながった。
不完全で高価なセキュリティツールの使用:StoryChiefは、ある程度の安心感を与えるセキュリティ・ツールを使用していた。しかし、これには主に2つの障害があった。それらはGregory氏のセキュリティ要件一式を満たしておらず、CTOのニーズをターゲットにしていなかった。さらに、主要なセキュリティ・ツール・プロバイダが予期せぬ価格変更を行ったこともあった。
通知過多: 通知は有用かつ適切であるべきだ。しかし、複数のセキュリティツールを使用することは、通知の過多を招いた。その結果、3つのことが起こった:
- いくつかの通知は、文脈情報と正確さに欠けていた、
- 圧倒的な数の通知はホワイトノイズとなり、したがって無視できる(単に価値がない)。
一言で言えば、非効率が貴重なリソースと時間を浪費していたのだ。しかし、このような逆風にもかかわらず、グレゴリーはセキュリティを効果的に管理し、大きなセキュリティ・インシデントを経験することはなかった。しかし、彼は既存のツールの限界とコストに不安を感じていた。その結果、彼はより良い解決策を探すようになった。
Aikido セキュリティがStoryChiefのセキュリティ態勢をどのように改善したか
StoryChiefは、より良いセキュリティ体制への旅路の中で、Aikido セキュリティにたどり着きました。Aikido セキュリティはまた、StoryChiefがリアクティブなセキュリティアプローチからプロアクティブなセキュリティアプローチへの移行を可能にしました。
嫌な価格設定はありません: スタートアップのセキュリティは手頃であるべきで、Aikido スタートアップに優しい価格設定をしている。そのため、StoryChiefは費用対効果の高いソリューションを提供することができた。同時に、Aikido 次の2つの利点により、自社のセキュリティ体制に対する自信を高めた。
私はCTOであり、セキュリティ・エンジニアではない: StoryChiefがこれまで使用してきた様々なツールは、主にセキュリティ・エンジニアを対象としていました。しかし、それらのツールとは異なり、Aikido CTOや開発者の特定のニーズに合わせて機能やルールを調整している。Aikido また、CTOを支援するために特別に設計された新しいルールや機能を継続的に提供している。
重要で適切なときに教えてください: Aikido主な強みでありUSPの1つは、誤検知を減らすことです。Aikidoターゲット化されたアラートは、StoryChiefに圧倒的で無視しやすい通知ではなく、現実的で実用的な洞察を提供します。
オーナーシップの共有: それだけでなく、Aikido通知はSlackを通じて開発チームと自動的に共有され、セキュリティの透明性と責任の共有が促進される。このように、Aikido チームワークの成果ももたらした。セキュリティ態勢を管理するために、よりチームに焦点を当てた取り組みを行うというGregory氏の目標に貢献した。
Story最高技術責任者(CTO)が語るAikidoインパクト
Aikido まさに私が長い間探していたものでした-機能のコンボ、スタートアップに特化していること、そしてエントリー価格です。Aikidoおかげで、チームはセキュリティ問題を意識するようになりました。Aikidoのおかげで、チームはセキュリティの問題を意識するようになりました。
Aikido 起業保障保険
Aikido セキュリティは、StoryChiefのセキュリティ保険のようなものです。合気道は予算と精度を提供します。Aikido また、グレゴリーと彼のチームにとって本当に重要なことに明確に焦点を当てることができます。Aikido導入により、StoryChief はセキュリティ態勢を改善しただけでなく、CTO のチームがオーナーシップを持ち、透明性のある仕事ができるようになりました。Aikido は、セキュリティ上の懸念に対処するために必要な情報の整理統合と優先順位付けを行っています。
最も重要なことは、グレゴリーに製品の安全性に対する高い信頼感を与えてくれたことだ:
「しかしAikido 、少なくとも私は知っている!合気道では、少なくとも私は知っています。
StoryChiefの導入事例をダウンロード
StoryChief XAikido Securityの導入事例をダウンロードできます: