Cisco Spark、ISO27001 認証を取得
この記事は、コラボレーション ビジネスの CTO であり、シスコ フェローおよびバイス プレジデントである Jonathan Rosenberg によるブログ「Cisco Spark Achieves ISO27001 Certification!」
(2017/12/14)の抄訳です。
今日は Cisco Spark にとって重要な日になりました。正式に ISO27001 認証を取得したのです。
ISO27001 認証に馴染みのない方にご説明すると、この認証は、シスコがベスト プラクティスに従ってセキュアなクラウド サービスを運営していることに対する信頼感をお客様に与えるものです。実際、多くのお客様が各ベンダーにこの認証の取得を求めています。この認証を取得するには、非常に厳格なプロセスを実施する必要があります。つまり、サービスが満たすべき多数の運用要件を定義し、それを実現する方法を文書化して、その状態を維持し続けていることを証明する必要があります。インシデント管理から、インベントリ管理、アクセス制御、脆弱性スキャン、さらには人事管理に至るまですべてが対象です。お客様は、シスコがこれらすべての事項を適切に実施していることを求めています。この認証を取得は、シスコがベスト プラクティスに従ってすべてを適切に実施していることが証明されることになります。個々の事項を詳細に確認していただく必要はありません。
この認証を取得するのは大変な作業です。幸いにも、シスコは絶好のスタート地点にいました。すべての製品に対して、会社全体としてすでに非常に厳しい運用要件を課していたからです。この社内要件に従うことで、結果的に ISO 認証の要件をほとんど満たすことになりました。さらに、ISO27001 認証(および、SOC2 type 2、Safe Harbor、FedRAMP、SSAE16 など、その他多くの認証)を取得している WebEx の基盤があります。シスコは全社的に ISO9001 認証も取得しており、それも役に立ちました。
アプリケーションが ISO27001 を取得していなければ、実際にはセキュリティはまったく確保されません。Cisco Spark は、基盤となるデータセンターを含め、すべてのアプリケーションがこの認証取得の対象となっています。
この強力な基盤によって、取得プロセスを開始してからたった半年という非常に短期間でこの認証を取得することができたのです。その時間の多くは、情報の収集と、実施するすべての事項の文書化に費やされました。認証プロセスは文書化を非常に重視するからです。
現在では、各ベンダー、特に新興ベンダーの間で「ISO27001 認証データセンターで稼働」といったアピールが一般的となっていますが、残念ながらこれが実際に意味するのは、そのソフトウェアが Amazon や、認証を取得しているその他のデータセンターで稼働している、ということです。アプリケーションそのものに認証が適用されているわけではないのです。実際のアプリケーション自体が認証を取得していることが本当は重要なことです。なぜなら、お客様のデータを保持して処理するのはアプリケーションだからです。アプリケーションが ISO27001 を取得していなければ、実際にはセキュリティはまったく確保されません。Cisco Spark は、基盤となるデータセンターも含め、すべてのアプリケーションがこの認証取得の対象となっています。
私が本当に誇りに思っているもう 1 つの点は、シスコの認証が Cisco Spark だけを対象にしたものではないということです。Cisco Spark と WebEx が対象になっています。これらのサービスはインフラストラクチャを共有しており、また Flex Plan サブスクリプションでは両方合わせて販売されています。両方が認証を取得しているため、お客様には、どの製品を使用してもデータのセキュリティが確保されていることを確信していただけます。
もちろん、この名誉に満足しているわけではありません。世界中で最もセキュアなコラボレーション ツールの実現を目指して、新たな課題に挑んでいきます。この認証を、シスコのエンドツーエンド セキュリティやオンプレミスのキー サーバなどのアプリケーションのイノベーションと組み合わせれば、Cisco Spark が提供するセキュリティに追随できるものはありません。
詳細については、Cisco Spark のセキュリティ コンプライアンス をご確認ください。
Tags:
