はじめに
最近何かと情報セキュリティが話題になってますが、米国では、情報セキュリティの自動化というキーワードで数多くのスタートアップが生まれてきており、大きな注目を集めています。
その中でも、もっとも有望とみられているのが Vanta という SaaS なので、その Vanta についての解説を書きたいと思います。
本記事は、「Vanta の使い方(基礎編)~ ISO 27001 への準拠 ~ 概要」の続編となっています。
前回の記事を、まだご覧になっていない方は、是非、そちらを先にご覧ください。
前回の復習
前回は Vanta 上でのフレームワーク ISO 27001:2022 の全体を概観し、コントロール(管理策)の詳細を見て、コントロール(管理策)が要求しているポリシー(02-ISMS 情報セキュリティ管理システムポリシー/02-ISMS Information Security Management System (ISMS) Policy)の作成画面の入り口までをご紹介しました。
こちらは、ポリシー作成画面に遷移した直後です。
ここで、ポリシーの作成やバージョン、関連コントロール、コメント等を確認することができます。
Controls(コントロール)タブをクリックすると、このポリシーに関連するコントロール(管理策)を見ることができます。
Comments(コメント)タブでは、このポリシーに対するコメントの履歴を残すことができます。
本編(フレームワーク:ISO 27001:2022 への準拠)
【 ここからが今回のブログのご説明です 】
ポリシー(文書)の作成
では、対象のポリシー(02-ISMS 情報セキュリティ管理システムポリシー/02-ISMS Information Security Management System (ISMS) Policy)を作成してみましょう。
作成するポリシーの言語の選択
まずは、「・・・」から「言語の追加(Add Language)」を選び、作成したいポリシーの言語を選択しましょう。
結構たくさんの言語が揃っているのが確認できます。
公式Webマニュアルのこのページによれば、「現在サポートされている言語 (テンプレート) は、英語、スペイン語、ドイツ語、フランス語、ポルトガル語、日本語、韓国語です。」とのことですが、2025年10月22日時点で、もっと多くの言語がサポートされており、ざっと、こんな感じです。
ここでは日本語(Japanese)を選択して追加します。
選択できる言語の一覧が表示されるので、日本語を選択します。
「Add」ボタンを押して日本語を追加します。
ポリシーの編集
無事、日本語が追加されると、日本語のポリシー(Vanta が用意している「情報セキュリティマネジメントシステム(ISMS)ポリシー」の標準的な日本語版)が表示されます。
Vanta のエディター機能を使って、WordやMarkdownエディターのように簡単にここで編集することができるので、これをベースに自社に適した形に修正していくことができます。
また、このとき、ポリシー所有者や発行日など、必ず変更が必要な個所は黄色でハイライトされます。
(※ 自社に、すでに該当するポリシーを持っている場合は、それをアップロードすることも可能です。ちなみに、アップロードしたものも、Vanta のエディター機能を使って編集が可能です。)
ちなみに、英語版を選んだ場合は、もう少し細かいガイドをしてくれます。
(日本語版だと黄色くハイライトされて編集が必要がことを示してくれていた箇所が、より細かなガイドや登録済みユーザー等の既存レコードから選択できるようになっている、等々の機能で、より親切にガイドしてくれます。)
所有者を登録されたユーザーから選択しているところ。
ブラウザの機能で日本語化したらこんな感じ。
続けて、計画の詳細を編集しているところ。
(※ この画面は、英語版のポリシーをブラウザの機能で日本語化したものです。本機能は、2025年11月4日の現時点では、英語版のポリシーのみにて提供されています。)
サポートの詳細を編集しているところ。
(※ この画面は、英語版のポリシーをブラウザの機能で日本語化したものです。本機能は、2025年11月4日の現時点では、英語版のポリシーのみにて提供されています。)
従業員がアクセス可能なISMSの文書の保存場所を入力しているところ。
(※ この画面は、英語版のポリシーをブラウザの機能で日本語化したものです。本機能は、2025年11月4日の現時点では、英語版のポリシーのみにて提供されています。)
ISO 27001 の PIMSについて編集しているところ。
(※ この画面は、英語版のポリシーをブラウザの機能で日本語化したものです。本機能は、2025年11月4日の現時点では、英語版のポリシーのみにて提供されています。)
最終確認しているところ。保存する際に不備がある場合は、ここで教えてくれます。
(※ この画面は、英語版のポリシーをブラウザの機能で日本語化したものです。本機能は、2025年11月4日の現時点では、英語版のポリシーのみにて提供されています。)
※ このように自社独自の部分を入力、編集していくわけですが、残念ながら、英語版で入力した自社の独自情報の部分が自動的に日本語等の他の言語のポリシーに反映されるわけではなく、各言語のポリシーは別のドキュメントとして独立して扱われます。ご注意ください。
また、同一のポリシーに対して、複数の言語バージョンを作成することもできます。
(下記の画面は、英語版と日本語版のドラフトが揃った状態です。)
ブラウザの機能で日本語化したらこんな感じ。
ポリシーの提出と承認
次は、承認者を選択し、先ほど作成したポリシーのドラフトを承認者に提出します。
ちなみに、複数の承認者による多段階承認を設定することも可能です。
ブラウザの機能で日本語化したらこんな感じ。
次に、「承認依頼メール」に記載したい文章を確認する操作ですが、驚いたことに、Vanta が勝手にポリシーの要約を提案してくれるので、それをベースに文章を作成、確認します。(ただし、残念ながら英語です。)
ブラウザの機能で日本語化したらこんな感じ。
また、Vanta には社内周知、教育の一環として、ポリシー(文書)の作成・更新時に、従業員等の指定したメンバーに指定したポリシー(文書)を明示的に受諾させる機能があるのですが、ここでそれを実施したい対象のグループを選択することができます。(この機能は、地味に便利です。)
ブラウザの機能で日本語化したらこんな感じ。
ドラフトを承認者に提出した後の承認待ちの状態です。
ドラフトを承認者に提出されると、承認者には、このようなメールが飛んできます。
(下記の例は、二人目の承認者である「TN Shikimi Admin」向けのメールの例で、一人目の「Norikazu Shikimi」が承認済みで、二人目の承認者である「TN Shikimi Admin」の承認待ちであることを示しています。)
承認者ユーザーから見た Vanta 上での確認画面です。
内容を確認して、ポリシーを承認します。
ポリシーが承認されるとこのように表示されます。
無事、ポリシーが承認されると、ポリシーの作成者に承認されたことを通知するメールが届きます。
今回はここまでです。
ISO 27001:2022 のコントロール(管理策)では、ポリシーなどの文書の作成・整備の項目が数多くありますが、次回は、文書作成(文書化要求)以外のものを見てみたいと思います。
それでは、また!!
さいごに
TrustNowでは、Vantaの製品販売と導入支援を行っております。
ご興味がありましたら、ぜひご連絡ください。
あわせて、Vanta製品のナレッジに関するブログもこちらで公開しております。