組み込み ISMS——ISO 27001 対応
Vulny には ISO 27001 の中核要件である完全な情報セキュリティマネジメントシステム (ISMS) が含まれており、技術的な検出結果とガバナンスが1か所にまとまります。
Vulny の組み込み ISMS には何が含まれますか?
情報セキュリティマネジメントシステム (ISMS) とは、ISO 27001 の中核をなすガバナンスのフレームワークです——セキュリティを場当たり的ではなく意図的に管理していることを証明する、文書化された一連のポリシー、リスク、管理策、記録のことです。Vulny は完全な ISMS を備えて出荷されるため、スプレッドシートや別個の高価な GRC ツールなしで運用できます。重要なのは、すべてが保存した瞬間に陳腐化する静的な文書としてではなく、実際のスキャン検出結果に接続されている点です。これは、ガバナンスが年に一度のスナップショットではなく、実際のセキュリティ状態を反映することを意味します。標準が期待する構成要素が、初めから備わっています:
- 完全な監査証跡を備えたインシデント管理
- 発生可能性 × 影響度でスコアリングされる ISO 27001:2022 リスク登録簿
- 93 項目すべての Annex A 管理策を網羅する Statement of Applicability
- ベンダーを評価・追跡する Third-Party Risk Management (TPRM)
スキャンの検出結果は ISMS とどのように接続されますか?
ここが Vulny が単体のスキャナーと異なる点です。技術的な検出結果がガバナンスに直接フィードされます。スキャンで見つかった重大な脆弱性は、そのままインシデントやリスク登録簿のエントリーに流し込めるため、登録簿は数か月前に書かれた一時点の推測ではなく、実際の現在の攻撃対象領域を反映します。検出結果を修正すると、紐付けられたリスクとインシデントもそれに連動して動くため、手作業のデータ入力なしにドキュメントの正確さが保たれます。監査人は、ISMS が生きていること——紙の上のリスクがシステム上で実際に起きていることに対応していること——をますます確認したがっており、まさにこの接続こそが、スキャナーとスプレッドシートが連携していないチームが証拠化に苦労するところです。Vulny ではこのリンクが組み込まれているため、ISO 27001 の証拠は現実と継続的に整合し続けます。
ISMS から監査証拠を直接作成できますか?
はい。Vulny は ISMS のあらゆる部分——リスク登録簿、Statement of Applicability、インシデントログ、サードパーティリスク評価——について、ブランド入りでプロフェッショナルな PDF および DOC レポートをワンクリックでエクスポートし、監査人、経営陣、あるいは顧客のセキュリティチームにそのまま渡せます。レポートは手作業で維持されるのではなく、ライブデータから生成されるため、証拠は誰かが監査前に更新したスナップショットではなく、今日の状態を反映します。各レポートには、その背後にあるデータソース (ISO 27001、CVE、NVD/NIST、CISA KEV、EPSS、CWE) が示されているため、レビュアーはすべての検出結果をたどれます。DOC エクスポートは編集可能なので、既存の証拠パックやマネジメントレビュー文書にそのまま組み込めます。これにより、監査証拠を集める毎度の慌ただしい作業がエクスポート操作に変わり、認証作業を実際の最新のセキュリティデータに根ざしたものに保ちます。