過去2つのポストでは、ネットワークとユーザーを分離する方法、開発環境のセキュリティレベルを向上させる方法などについて説明しました。今日はクラウド環境で最小コストでISO27001認証取得する方法、その最後のポストとしてISO-27001認証のための経営システム構築方法を準備しました。

ISOはISMSサイクルであるPDCAを最も注目して審査します。

① 規制/指針/手続きを確立するかどうか

② 規制/指針/手続きの遵守とそれを裏付ける文書

③ 規定/指針/手続きの有効性検証の有無

1段階の文書審査では、規制/指針/手続きが存在することを確認し、2段階の現場審査ではこれを遵守し、関連する根拠資料があることを確認します。

認証のための文書ではなく業務を遂行する上でセキュリティアシスタントとして役立つ合理的な内容が含まれており、公共機関のためのCSAP認証とグローバル標準のためのISO認証項目、個人情報保護法、クラウドコンピューティング法など内部的に守らなければならないという法令までまとめることができる全般的な内容が必要でした。

そのため、まず会社の全体的な業務プロセスと使用している資源、各部署別の業務環境などを正確に把握しました。個人情報を扱っている部署、運営環境に接続が必要な部署など、部署ごとにアクセスできる情報を分類し、当該情報を接続する環境に修正事項があるか確認しました。その過程で使用している資産を調査し、情報資産リスト表を作成し、運用/開発環境の区分及び重要度を設定しました。

また、会社が守らなければならない法令チェックリストを作成しました。業務を進行する際に常に守らなければならないことと侵害事故などイベントが発生したときに守らなければならないことを区分し、これをどの部署が担当しているのか、担当すべきかを把握しました。

これに基づいて、全体の大きな枠組みのセキュリティポリシーを記述する情報保護ポリシーを作成しました。含まれる一部の項目は以下のとおりです。

• 情報資産管理

• 侵害事故管理

• サービス継続性管理

• アクセス制御

• ネットワークセキュリティ

• データ保護と暗号化

• 開発セキュリティ

• 個人情報の処理と管理

そして、情報保護政策書の内容に基づいて詳細なガイドラインを作成しました。ガイドラインは合計13であり、ポリシーブックに記載されている内容に基づいて、WhaTap Labsのユーザーが守る必要がある全体的なガイドラインが含まれています。

• 情報保護組織管理ガイドライン

• 人的セキュリティガイドライン

• 情報資産管理ガイドライン

• 侵害事故管理ガイドライン

• サービス継続性管理ガイドライン

• 外注人員のセキュリティガイドライン

• 仮想化セキュリティ管理ガイドライン

• アクセス制御管理ガイドライン

• 情報システムセキュリティガイドライン

• データ保護と暗号化のガイドライン

• システム開発セキュリティガイドライン

• プライバシーガイドライン

• セキュリティ監査のガイドライン

これらのガイドラインは最新の法令を反映し、用語と適用範囲を定義しました。ここで適用範囲とは、会社内の部署、ユーザー等をいいます。

方針書と指針書が会社内で効力を発揮するためには、経営陣の承認が必須です。適切な手続きで経営陣の承認を受けなければならず、承認手続きに関する証拠資料が残っていなければなりません。 WhaTap Labsは、内部で使用しているERPシステムである「ユニポスト」を利用して承認決済を進めました。

経営陣の承認が完了した方針書とガイダンスは、全社展開を進める必要があります。配布方法は、電子メール、社内掲示板など、さまざまな方法で行い、関係者がいつでもどこでも確認できる場所に文書を配置しておく必要があります。

年1回以上の方針/指針を確認して最新化し、法令の変更や内部システムの変更などのイベントが発生した場合でも、関連する方針書または指針書を検討する必要があります。

経営レビュー会議を通じて最終的にポリシー/指針を新規制定します。この時、出席人員の全会一致で可決が必要です。出席委員はCEO、CISO、CPOとセキュリティ担当人員は必須であり、このほか、マーケティング、開発チーム、運用チームのチーム長も参加が必要になる場合があります。

最終的に確定された政策/指針も経営陣の承認の後、戦士の配布を進めます。

ISO認証審査で最も重要な文書は、適用性報告書(SoA)です。管理体制の要求事項に対応する政策／指針書を適用指針として使用し、政策／指針書を正しく遂行したときに出てくるその他の書類(セキュリティ誓約書、侵害事故模擬訓練計画書／結果書)等は適用証として使用されます。

年1回、四半期ごとに1回など、設定した検討周期に合わせて証跡資料を生成すれば、別途用意する必要なく事後審査対応が可能です。

これまで、WhaTapがクラウド環境で最小コストでISO27001認証を取得する過程を見てきました。自社サービスであるWhaTapで、リソースモニタリングだけでなくセキュリティログモニタリングまで共に進行し、少ないコストで認証取得が可能でした。

また、KISAが提供する様々なプログラムと支援事業を一緒に進めることで、コスト削減とセキュリティの向上の2匹のウサギを捕まえることができます。多くの難しさがありますが、国際セキュリティ認証ISO27001の取得に関心がある方に少しでも役立つポストになりますよう願っています。ありがとうございました。