Kinstaは、ホスティングプラットフォームとお客様のウェブサイトのセキュリティ保護に継続的に取り組んできました。アカウント情報の保護、外部からのDDoS攻撃を防ぐ機能、マルウェアの検出とクリーンアップ、WordPressプラグインの脆弱性に対するサイト所有者への警告など、情報セキュリティはKinstaの強みの1つです。

サーバー、ホスティングサービス会社にとってそのような主張はできるものですが、その質を証明するのは難しいことです。

そこで、高いセキュリティレベルを証明するには、業界で広く認知された基準を満たすことが重要になります。情報セキュリティの実践とポリシー策定を経て、独立した専門家にその基準への準拠を確認、評価してもらうことが重要です。

そのような思いからKinstaは、2023年に国際公認会計士協会(AICPA)が策定したSOC 2(System and Organization Controls 2)報告書の取得を実現しました。

そして2024年8月、1年間のSOC 2監視を完了し、 国際標準化機構(ISO)および国際電気標準会議(IEC)により指定されたデータセキュリティおよびプライバシー管理に関する認証を取得しました。

この記事では、KinstaがISO 27001およびその拡張規格であるISO 27017ISO 27018に基づくISO/IEC認証を取得した経緯や背後にある思いなどについて詳しくご説明します。

ISO 27001とは

KinstaのIT部門責任者であるErik Van Dijkは、ISO 27001認証の取り組みを主導し、このフレームワークはセキュリティコンプライアンスの標準となる規格であると述べました。

ISO 27001は、組織における情報の機密性、完全性、および可用性を保護するために必要な管理を規定するものです。その意味は次の通りです。

  • 機密性:許可された者だけが情報にアクセスできるようにする
  • 完全性:許可された者だけが情報を変更できるようにする
  • 可用性:許可された者だけが必要なときに情報にアクセスできるようにする

Van Dijkによると、ISO 27001は、情報セキュリティマネジメントシステム(ISMS)のさまざまな構成要素に対する要求事項を定義するものです。しかし、そのシステムは単なるハードウェアやソフトウェアではありません。このような技術的な管理に加えて、ISMSには組織的、人的、物理的な管理も含まれます。

  • 組織的管理:ユーザー、機器、ソフトウェア、システムに対して、従うべきルールや期待される行動を定義すること
  • 人的管理:組織内の人が安全に職務を遂行できるように、知識、教育、技能、または経験を提供すること
  • 物理的管理:データセンターのアクセスカード、監視カメラ、侵入検知センサーなどの機能

ISO 27017と27018とは

Van Dijkによると、ISO 27017と27018はISO 27001の拡張として位置付けられ、どちらもクラウドコンピューティング環境に適用されるため、Kinstaに特に関連した項目となっています。

ISO 27017は、クラウドコンピューティング環境のセキュリティ管理および実装ガイダンスを規定しています。その管理は以下のような業務に適用されます。

  • 契約終了後の顧客資産の取り扱い
  • 顧客の仮想環境の分離
  • クラウドコンピューティング環境における顧客による活動の監視

ISO 27018は、クラウド環境における個人識別情報の保護に焦点を当てています。その管理は、以下のような問題に対処します。

  • 顧客データ保存場所の地理的な情報報告における透明性
  • 同意なしに顧客データを使用することの制限
  • 個人情報の返却、移転、安全な廃棄の安全な方法

KinstaのISO認証取得スケジュール

SOC 2報告書取得からの1年間は、セキュリティコンプライアンスチームにとって多忙であり、特にVan Dijkは、公認情報システムセキュリティプロフェッショナル(CISSP)の勉強と資格取得を同時に行ってきました。

2023年の最初のSOC 2プロジェクトは、3ヶ月の監査期間を経て、基本的なセキュリティサービスを対象としました。これが、年次報告を伴う継続的な監視へと変化し、SOC 2の可用性と機密性の基準を取り入れるまでに拡大しています。

その一方で、ISO 27001に関する作業はすでに進行していました。Van Dijkによると、ISO 27001の要件に関する広範な調査は2023年11月頃から開始しています。

「ISO 27001は非常に文書化され、プロセスが多いものです。多くの技術的な規制があります。しかし、このフレームワークの前提は、情報セキュリティマネジメントシステムとそれに関連するポリシーと手順を実装することです」

Van Dijkのギャップ分析の結果、SOC 2プロジェクトは、ISO認証のために実施すべき作業の約40%をすでに実施していました。そのため、2023年12月に全社横断的なチームを組織し、証拠収集を支援するプラットフォームであるVantaへのステータス情報のアップロードを素早く開始することができました。

13の新しいISMSポリシーを作成し、SOC 2用に開発された既存のポリシーをいくつか改良しています。2024年3月までに、クラウドセキュリティ企業のRhymetecに内部監査を依頼し、これがさらに必要な作業の特定を助けました。

その後、BARR Advisoryが、KinstaのISO認証の適格性を検証する独立監査を実施しました。

当時を振り返り「ありがたいことに監査人からは、私たちがいかに組織化され準備万端であるかについて、賞賛の言葉を頂戴しました」とVan Dijk氏は語ります。

ISO 27001認証のメリット

ISO 27001認証(およびSOC 2報告書)は、情報セキュリティに対するKinstaのコミットメントを表しています。私たちは、ISMSの継続的なコンプライアンスと有効性を確認し、認証ステータスを維持するために定期的な監査を受けながら、お客様に信頼をお届けします。

多くのお客様が、サーバーサービスにおけるISO 27001認証取得の重要性を感じています。Kinstaはこのニーズを満たすことができることを誇りに思います。

ISO認証は、お客様の資産を保護し、ベストプラクティスを使用してリスクを軽減するセキュリティ態勢の保有を意味します。

まとめ

Kinstaは、顧客データ保護に真摯に向き合ってきました。このたびのISO認証取得は、SOC 2に準拠するための作業によって検証されたセーフガードを確認し、さらに拡張するものです。

私たちはお客様のウェブサイトの保護に専念しています。ISO認定情報セキュリティの各種手順は、信頼をお届けするための大事な投資です。

Kinstaの継続的なコンプライアンスへの取り組みについては、KinstaのTrust Centerをご覧ください。

安全なインフラストラクチャを選択することで、健全なスタートを切ることができます。ご興味がございましたら、事業の成長に貢献する今までにないウェブホスティングソリューションについてご確認ください。

Steve Bonisteel Kinsta

Kinstaのテクニカルエディター。救急車や消防車を追いかける記者としてキャリアをスタート。1990年代後半からインターネット関連の技術情報を担当している。