ISO 27001とは何か、なぜ必要なのか

具体的に何が認証されたのか、そして認証はどのように進められたのか。

顧客情報を取り扱う企業がISO 27001の認証を取得する必要がある理由、そして認証を受けるために求められる要件。

Kaspersky は、TÜV AUSTRIA より国際規格ISO/IEC 27001:2013の認証を受けました。Kaspersky Security Network(KSN)のインフラを使用した、悪意あるファイルおよび疑わしいファイルの送信において、また、Kaspersky Lab Distributed File System(KLDFS)におけるこれらファイルの安全な保管とアクセスにおいて、国際規格ISO/IEC 27001:2013に従ったマネジメントシステムが適用されていることが認められたものです。

ISO/IEC 27001:2013とはどのようなものなのか、この場を借りてご説明したいと思います。

ISO 27001とは

ISO 27001は、情報セキュリティマネジメントシステムの確立、維持、継続的な改善の要件を定めた国際規格です。本質としては、情報の保護のため、および企業・顧客間の信頼を保証するために講じるセキュリティマネジメントのベストプラクティスの集合体である、と言うことができるでしょう。

サービスの認証を行うにあたっては、第三者機関(当社の場合はTÜV AUSTRIA)によって派遣された監査員が、当該サービスに関連付けられるプロセスがこうしたベストプラクティスにどのように適合しているかの確認を行います。監査員は総合的な報告をまとめ、他のエキスパートがこの監査の明瞭性と公平性を評価した上で、最終的に第三者機関が認証を発行します。当社の場合は、特に高いセキュリティレベルにある旨が確認されました。

何が認証されるのか

当社のお客様の関心事は主に、自分のワークステーションにインストールされた製品から当社のインフラへ宛てて不審なファイルを送信するメカニズムが安全に機能するか、送信されたファイルが適切に保管されるかという点です。したがって当社では、悪意あるファイルおよび疑わしいファイルをKaspersky Security Network(KSN)のインフラを用いて送信するメカニズムと、これらファイルを当社のKaspersky Lab Distributed File System内で安全に保管するメカニズムについて、認証を進めました。しかし、認証の対象はこの2点にとどまりません。

どのようなプロセスであっても、その安全性には多くの要因が影響します。情報システムにアクセスできるのはどういった人々なのか。その人たちの採用プロセスはどう進められたのか。当社ではどのように文書を扱うのか。社員が退職したときのアクセス権取り消しは、どのように行われるのか。発生する可能性のあるサイバー脅威を、社員はどれほど意識しているか。プロセスコントロールが稼働するコンピューターをIT部門はどう扱うか。開発部門におけるプロセスはどのように記録され、文書化されるのか。

これらを念頭に、会社全体に適用されている実践事項、すなわちプラクティスの詳細な確認が、監査員によって実施されました。具体的には、文書の分析、さまざまな部門の社員からの聞き取り調査、採用・解雇・トレーニングのプロセスについての詳細な調査、IT部門が企業ネットワークをどう系統立てているのかに関する調査、データセンターでの実地調査が含まれます。このほか、監査員がオフィス周辺を巡回し、文書やUSBメモリがそのあたりに放置されていないか、社員が席を離れるときにコンピューターをロックしているか、社員が業務にどのような種類のプログラムを使用しているかの確認も行いました。

次なるステップ

このように、疑わしいファイルの送信と保管のメカニズムの安全性に関してお客様が抱える懸念について、第三者の専門家による評価が下されました。認証を受けたサービスは当社ソリューションの大半に関与するものであるため、特に大規模企業がセキュリティプロバイダーを選定する際に、こうした懸念は折に触れて繰り返し提示されるものです。

認証の作業は、これにとどまりません。当社は3年ごとに再認証を受けます。確かなセキュリティを継続的に提供していることを確認するため、認証が最初から実施される形です。さらに、監査員によるスポットチェックが年に1回行われます。

認証の詳細については、こちらのページ(英語)よりご確認いただけます。

ヒント