Akamai および ISO コンプライアンス:概要

Akamai では現在、ISO 27002 の管理方針に基づいて、年次ベースのアセスメントを実施しています。ここでは、Akamai の手順が規格を軸にどのように適用され、カスタマーがニーズを満たすことができるように Akamai がどのように支援するかを示します。

Akamai および ISO コンプライアンス: 概要

Akamai は現在、年に 1 回 ISO 27002 の規制に照らして査定されています。ISO 27002 は、情報セキュリティ・マネジメント・システムの枠内で国際的に認められている規制およびベストプラクティスの標準規格です。 

2013 年には、ISO 27001 と ISO 27002 の両方が大幅に見直されました。 Akamai はこの 1 年、ISO 27002:2005 ではなく ISO 27002:2013 に照らして評価されていました。 

特に、Akamai の Information Security Management System(情報セキュリティ・マネジメント・システム、ISMS)は、情報セキュリティマネジメントに関する ISO 27001/2(旧称「英国規格 17799」)実務規定に基づいています。 Akamai は、その一環として年に 1 回、独立した第三者による評価を受けます。 

ここでは、Akamai の手順が規格を軸にどのように適用され、カスタマーがニーズを満たすことができるように Akamai がどのように支援するかを示します。 

まず、いくつか背景を見ていきます。 

International Organization for Standardization(国際標準化機構、ISO)は、民間人で構成された独立した組織であり、世界最大の任意の国際規格策定団体です。 Akamai のセキュリティ手順の多くは、ISO の規定を軸に策定されました。 

ISO 17799 は元々、1990 年代初めにイギリスの貿易産業省によって「DTI 実務規定」として公開されました。 1995 年に、BSI 委員会 BDD/2 によってさらに策定が進み、BS 7799 として公開されました。 ISO 27002 は、ISO 17799 の記章または名称を変更したものです。 名称の変更は、ISO による情報セキュリティ関連規格の大規模な再構築の一環でした。 2005 年に ISO 17799 の包括的な改訂があったものの、内容自体に大きな変更はありませんでした。 

ISO 27002 の包括的な改訂は、2013 年にも実施されました。 

最新バージョンの ISO 27002:2013 では、35 個の統制目標および 114 個の具体的な統制項目が 15 個のセクションに編成されています。 

各統制目標の付属文書では、目標を満たす方法に関する助言を提供し、情報セキュリティ統制のベストプラクティスを数多く紹介しています。 規格全体を通して、リスク評価の必要性に重点が置かれています。 

ISO セキュリティ規格の詳細については、こちらをご覧ください。 http://www.iso.org/iso/home/about.htm 

Akamai では、ISO のコンプライアンス管理モジュールに自社の方針および手順をいくつか含めています。 個別レビューはカスタマーが変わるとうまく応用できないため、Akamai ではコンプライアンス、監査、および保証の詳細なレビューを必要とするカスタマーに無料サポートサービスを提供しています。 

これらの監査は、会社全体、つまり会社の施設にも、1,000 個ほどのネットワークに何万ものサーバーが分散する本稼働ネットワークにも影響を与えます。 Akamai では、セキュリティプログラムが装備され、機能していることの裏付けとして、評価から得られた知見のサマリーをカスタマーに提供しています。 

プロセスの一環として、Akamai では誤検出を削除したネットワークインフラのスキャン結果を PCI コンプライアンスモジュールに含めて提供しています。