Vanta の使い方（基礎編）～ ISO 27001 への準拠 ～ 概要

はじめに

最近何かと情報セキュリティが話題になってますが、米国では、情報セキュリティの自動化というキーワードで数多くのスタートアップが生まれてきており、大きな注目を集めています。
その中でも、もっとも有望とみられているのが Vanta という SaaS なので、その Vanta についての解説を書きたいと思います。
今回は、ISO27001への準拠をVantaを使って実現するかについてシリーズ化して解説します。

Vantaとは

Vantaは、アメリカ・サンフランシスコ発のセキュリティコンプライアンス自動化のリーディングカンパニーです。
2018年の設立以来、14,000社以上に導入され、SOC 2やISO 27001、GDPR、HIPAAなどの主要認証への対応を効率化している現在最も注目されているSaaSツールです。

本編（フレームワーク：ISO 27001:2022 への準拠）

Vanta には、豊富な機能があり、様々な利用目的や利用方法が考えられますが、ISO や SOC といった基準やフレームワークへの準拠は最も一般的な Vanta を利用する目的のひとつではないかと思います。

本記事では、代表的なフレームワークである ISO 27001 への準拠を Vanta を使ってどのように実現するかをご説明いたします。

では、さっそく Vanta を使って ISO 27001:2022 への準拠を進めていきましょう。

利用可能なフレームワークの一覧

まずは、左ペインのメニューから、「 Compliance（コンプライアンス）」>「Frameworks（フレームワーク）」を選ぶと、利用可能なフレームワークの一覧が表示されます。今回は「ISO 27001:2002」を例にご説明したいと思います。

利用可能なフレームワークですが、ISO 27001、SOC2、NIS 2、HIPPA、NIST 800 など数多くのものがVanta に事前登録されており、そのうち、お客様がご契約しているフレームワークが、利用可能なフレームワークとして一覧に表示されます。
また、お客様独自のカスタム フレームワークを作成することも可能です。（カスタム フレームワーク対応プランのご契約が必要です。）

ちなみに、Vanta はポリシーテンプレートなどは日本語化されているものの、メニューやメッセージなどは、まだ日本語化されていません。
（※ コントロール（管理策）のように、元は英語だけど、内容（文言）を自分で変更できるものや、カスタム フレームワークのように日本語で作成することが可能なものもあります。）

ただし、（英語のままであっても）Chrome 等の翻訳機能を使うことで違和感のない日本語で表示させることができます。
もっとも、その自動翻訳された内容が正確で信頼できるものかの保証はないため、メニューやメッセージなど、意味が伝わればいいものはブラウザの自動翻訳で対応して、正確な文章が求められるものは、自分で日本語したものを使う等のルールは必要かと思います。
（ちなみに、TrustNowでは、そのような日本語化のお手伝いをしております。）

ISO 27001:2022 対応状況 ～ 概要

フレームワークの一覧から、「ISO 27001:2022」を選ぶと、ISO 27001:2022 への対応状況が表示されます。
まずは、Overview（概要）タブですが、ここで ISO 27001:2022 への対応状況の概要が見れます。

ちなみに、ブラウザの自動翻訳機能で日本語化した場合はこんな感じです。

ISO 27001:2022 対応状況 ～ コントロール（管理策）

次に、Controls（コントロール）タブを見てみましょう。
ここで、ISO 27001:2022 に関連するこコントロール（管理策）とその対応状況を見ることができます。
（※ ちなみに、下記の画面で、左メニュー等は英語なのに、コントロール（管理策）が日本語なのは、コントロール（管理策）の内容（文言）を弊社で翻訳したものに置き換えているからです。）

ブラウザの自動翻訳機能で日本語化した場合

ISO 27001:2022 対応状況 ～ テスト

次に、Tests（テスト）タブです。
ここでは、ISO 27001:2022 の要求事項に適合しているかどうかを確認します。
「コントロール（管理策）」との違いですが、「コントロール（管理策）」は要求事項を説明しているのに対して、この「テスト」では、その要求事項に適合しているかどうかのテストの方法とその合格基準を説明しています。（詳細は後述します。）
また、多くの項目において、「テスト」では、「コントロール（管理策）」よりも詳細で具体的な記述がされています。

ブラウザの自動翻訳機能で日本語化した場合

ISO 27001:2022 対応状況 ～ 更新情報

次は、Updates（更新情報）タブです。
ここでは、ISO 27001:2022 に関連する機能追加やポリシーテンプレートの雛型の更新等の更新情報を確認することができます。

ブラウザの自動翻訳機能で日本語化した場合

ISO 27001:2022 対応状況 ～ 対象範囲

最後に、Scope（対象範囲） タブです。
スコープは、「 Systems（システム）」と「 People（人）」に分かれます。
「 Systems（システム）」では、Vanta がAPI連携（統合）を実施済みの項目が表示されています。

ブラウザの自動翻訳機能で日本語化した場合

「 People（人）」では、対象のユーザーグループが表示されます。
また、グループを選択すると、その詳細（メンバー）が表示されます。

ブラウザの自動翻訳機能で日本語化した場合

ISO 27001:2022 対応状況 ～ コントロール（管理策）の詳細

それでは、コントロール（管理策）を細かく見ていきましょう。

まずは、コントロール（管理策）全体を見てみます。
こちらは当然ですが、ISO 27001:2022 に従って構成されています。

ブラウザの自動翻訳機能で日本語化した場合

ISO 27001:2022 対応状況 ～ コントロール（管理策）～ C.4 組織の状況

それでは、ひとつひとつ見ていきます。
まずは、C.4 Context of the Organization（C.4 組織の状況） です。 

ブラウザの自動翻訳機能で日本語化した場合

対象のコントロールをクリックすると、その詳細を見ることができます。
C.4.1 Understanding the organization and its context（C.4.1 組織その状況を理解する）を見てみます。

この項目（C.4.1 組織その状況を理解する）では、テストの合格基準として、ISMS 適用範囲のポリシー文書が作成され、承認されていることを確認するよう指示されています。
ISMS 適用範囲のポリシー文書 は、Vanta内では、「01-ISMS Scope of the ISMS」という名称で扱われています。
下記のスクリーンショットのように、そのコントロール（ここでは「C.4.1 組織その状況を理解する」）の概要や Tests（合格基準）、Documents（関連文書）、Policies（関連ポリシー）、Frameworks（関連フレームワーク）、Risk scenarios（リスクシナリオ）、Issues（問題）などを一覧で見ることができます。（※ くどいようですが、コントロールの概要だけが日本語になっているのは、弊社で翻訳したものに置き換えているからです。）

続けて、C.5.1 Leadership and commitment（ C.5.1 リーダーシップとコミットメント ）です。

ブラウザの自動翻訳機能で日本語化した場合

ちなみに、右上の部分を拡大するとこんな感じです。
（しつこいようですが、この部分は TrustNow で日本語化したものをインポートしています。ブラウザの翻訳ではありません。）

C.5.1 リーダーシップとコミットメント に３つあるテストのうち、Company has an approved 02-ISMS Information Security Management System (ISMS) Policy（ 当社は承認された02-ISMS 情報セキュリティ管理システムポリシーを有しています ）をクリックすると、テストの詳細が出てきます。
（ちなみに、この時点で左メニュー上の現在位置を示す表示が「 Compliance（コンプライアンス）」>「Frameworks（フレームワーク）」から「Tests（テスト）」に移動していることが分かります。）

このテストでは、Information Security Management System (ISMS) Policy（ 情報セキュリティ管理システム（ISMS）ポリシー ）を保有し、それが承認されていることを確認するよう指示されています。
また、最初に表示される Result（結果）タブで、Remediation（修正対応）が必要なことが表示されています。

右上の「About this test（このテストについて）」をクリックすると、このテストの詳細が出てきます。

ブラウザの自動翻訳機能で日本語化した場合

次に、Control（コントロール）タブをクリックし、このテストに関連するコントロール（管理策）を見てみます。（しつこいですが、この部分は TrustNow で日本語化したものをインポートしています。ブラウザの翻訳ではありません。）

それでは Result（結果）タブの「How to remediate（修正対応の方法）」から「policy template（ポリシーテンプレート）」をクリックします。

ブラウザの自動翻訳機能で日本語化した場合

対象のポリシーが表示されます。
（ちなみに、この時点で左メニュー上の現在位置を示す表示が「Tests（テスト）」から「Policies（ポリシー）」に移動していることが分かります。）

ブラウザの自動翻訳機能で日本語化した場合

上記の画面で、表示されているポリシーのひとつ（ここでは、02-ISMS Information Security Management System (ISMS) Policy（02-ISMS 情報セキュリティ管理システムポリシー））をクリックすると、ポリシー作成のページへ飛びます。
ここでは、ポリシーの作成やポリシーのバージョン、関連コントロール、コメント等を確認することができます。

Controls（コントロール）タブをクリックして、このポリシーに関連するコントロール（管理策）を見てみます。

Comments（コメント）タブでは、このポリシーに対するコメントの履歴を残すことができます。

今回はここまでです。
次回はポリシーの作成から見ていこうと思います。

さいごに

TrustNowでは、Vantaの製品販売と導入支援を行っております。
ご興味がありましたら、ぜひご連絡ください。
あわせて、Vanta製品のナレッジに関するブログもこちらで公開しております。