Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Adminaで実現するISMS/SOC2運用の効率化 〜 アカウント管理編 〜

Adminaで実現するISMS/SOC2運用の効率化 〜 アカウント管理編 〜

Avatar for shonansurvivors

shonansurvivors

October 09, 2025
Tweet

More Decks by shonansurvivors

Other Decks in Technology

Transcript

  1. 自己紹介 株式会社スマートラウンド 執行役員VP of Reliability / インフラ部長 山原 崇史  経歴等

    ・金融系SIer → 銀行 → ベンチャー数社 → 現職 ・SRE / コーポレートIT / セキュリティの領域を担当 ・2023〜2025 Japan AWS Top Engineers / CISA 社外コミュニティ活動 ・AWS Startup Community (aws-startup-community.connpass.com) ・Security Compliance Lounge (security-compliance.connpass.com) @shonansurvivors
  2. セキュリティへの取り組み SOC2 Type2報告書 米国公認会計士協会( AICPA)の定めるトラストサービス規準に基づき、セキュリティ・可用性・処理の完 全性・機密保持・プライバシーに関する内部統制の適切性および有効性を監査法人が作成した報告書 にてご確認いただけます。 ISO/IEC 27001(ISMS認証) 情報セキュリティマネジメントシステムに関する国際標準規格である

    ISO/IEC 27001(ISMS)の認証を取 得しています。ISMS委員会やマネジメント(経営層)レビュー、内部監査等を定期的に実施し、情報セ キュリティの向上に組織全体で取り組んでいます。 AWS認定ソフトウェア AWSのパートナーソリューションアーキテクトによるレビュー (FTR)を通過し、セキュリティ・信頼性・運用 上の優秀性に関して AWSのベストプラクティスに従っていることが確認された AWS認定ソフトウェアと なっています。
  3. 本日共有したいこと 前提 • 弊社はお客様からの信頼を得るための一環として ISMSやSOC2といった第三者評価の取得に注力 共有したいこと • ISMSやSOC2において共通して重要視されることの 1つが、従業員のアカウント管理 •

    Adminaを活用しながら、その運用に組織としてどのように向き合っているか をお話しします お断り • 弊社は従業員数45人規模のスタートアップであり、毎月の退職者の数もさほど多くはありません • そのため自動化には現時点では力を入れておらず、運用の考え方や手順などの話が中心 となります
  4. ISMSおよびSOC2とは ISMSは組織全体、SOC2はサービスに着目 ISMS SOC2 策定団体 ISO(国際標準化機構) AICPA(米国公認会計士協会) 規格/規準 ISO /

    IEC 27001 (情報セキュリティ、サイバーセキュリティ及び プライバシー保護 - 情報セキュリティマネジメント - 要求事項) トラストサービス規準 制度 認証制度 保証報告制度(監査人の意見表明) 評価の焦点 情報セキュリティマネジメント (リスクベースアプローチ / PDCAサイクル) クラウドサービス等(※1)のセキュリティ(※2) (内部統制の設計適切性および運用有効性) 評価手法 数日間のインタビューと文書レビュー中心 証跡中心 審査/監査の スコープ 組織、人、物理(設備)、技術それぞれを 幅広く俯瞰的に見る サービス設計・実装・運用を中心として 、 サービス提供に関わる組織や人員も見る ※1 ほか、データセンターを対象とすることもある ※2 追加的に可用性、処理のインテグリティ、機密保持、プライバシーについても監査対象とすることが可能
  5. ISMS / SOC2で共通して重視されること アクセス管理 • 従業員が利用する各システムへのアクセス ◦ ISO / IEC

    27001 附属書A 5.15 : アクセス制御 ◦ SOC2 CC6.6 : 組織は(略)情報資産へのアクセスを承認、変更、削除し、組織の目的を満たす やること • セキュアな認証方式の利用 • 最小権限原則の適用 • アカウントの適切な管理 ◦ 退職時の適時削除、定期的な棚卸し、等 ※SOC2の場合、顧客からの自社クラウドサービスへのアクセス管理も重視される
  6. Admina導入の背景・目的 初回ISMS取得後の運用を通じ、特に 退職者アカウント放置がリスクと考え、 Adminaを導入 2022年 2023年 2024年 2025年 ▼ISMS取得 ▼SOC2取得(Type2)

    ▼ISMS維持審査 ▼ISMS維持審査 ▼ISMS更新審査 ▼Admina導入 Admina利用事例インタビューで説明した導入背景 > CTOとの間でリスクが高いと認識していたのが、 > 退職者アカウントを放置してしまうこと でした。 > https://admina.moneyforward.com/jp/case/smartround
  7. 退職時のアカウント削除の流れ 1/3 • 退職タスクリストをテンプレート化し、複製して利用 👉標準化・継続的改善 • 人事労務タスクも併記 し、共同利用 👉部署間コラボレーション促進 退職

    太郎
 
 ステータス 進行中
 担当者 🙂玉田 拓也 🙂人事 花子
 最終出社日 2025/10/24
 承認者 🙂山原 崇史
 
 人事労務
 ⬜ 退職手続きの説明
 ⬜ 人事システムに退職予定日登録
 (略)
 
 システム
 ⬜ 各種アカウント削除
   ⬜ Google Workspace
   ⬜ Slack
     ⬜ 分報アーカイブ
     ⬜ アカウント削除
   ⬜ Notion
   ⬜ その他SaaS
 ⬜ 返却物確認
 (略)
 

  8. 退職時のアカウント削除の流れ 2/3 • カンバン管理 👉 進捗を可視化 • 完了したタスクリストは PDF化し、SOC2監査ツールにアップロード 👉

    監査証跡として利用 未着手
 📄テンプレート
 🙂玉田 拓也 🙂人事 花子
 🙂山原 崇史
 未着手
 進行中
 📄退職 三郎
 🙂玉田 拓也 🙂人事 花子
 🙂山原 崇史
 進行中
 📄退職 四郎
 🙂玉田 拓也 🙂人事 花子
 🙂山原 崇史
 進行中
 完了
 📄退職 太郎
 🙂玉田 拓也 🙂人事 花子
 🙂山原 崇史
 完了
 📄退職 次郎
 🙂玉田 拓也 🙂人事 花子
 🙂山原 崇史
 完了
 PDF PDF 監査 ツール
  9. 退職時のアカウント削除の流れ 3/3 • タスクリストの「その他 SaaS」タスクから、別途作成済みの SaaS一覧に遷移 • SaaSごとに定義されたアカウント削除担当者に連絡し、各アカウントを削除 退職 太郎


    
 (略)
 
 システム
 ⬜ 各種アカウント削除
   ⬜ Google Workspace
   ⬜ Slack
     ⬜ 分報アーカイブ
     ⬜ アカウント削除
   ⬜ Notion
   ⬜ その他SaaS
 ⬜ 返却物確認
 (略)
 
 システム
 招待担当
 削除担当
 Admina
 備考
 📄1Password
 🙂玉田 拓也
 🙂玉田 拓也
 ⭕
 (メンバー一覧URL等を記載) 
 📄AWS
 🙂山田 太郎
 🙂山田 太郎
 ⭕
 (メンバー一覧URL等を記載) 
 📄Devin
 🙂佐藤 一郎
 🙂佐藤 一郎
 ❌
 (メンバー一覧URL等を記載) 
 📄某採用SaaS
 🙂人事 花子
 🙂人事 花子
 ⭕
 (メンバー一覧URL等を記載) 
 📄某決済SaaS
 🙂山田 太郎
 🙂山田 太郎
 ❌
 (メンバー一覧URL等を記載) 
 〜
 〜
 〜
 〜
 〜

  10. 独自のSaaS一覧について 1/2 その存在意義 • AdminaのSaaSカバー率の課題があるため ◦ 弊社が使用する全ての SaaSをAdminaがカバーしているわけではない • SaaSごとのアカウント削除担当者を明確に定義したい

    ため ◦ 管理者権限を持つ人全員が、必ずしもアカウント削除にオーナーシップを持つ人ではない • アクセスしやすさ ◦ Adminaにログインさせるより、従業員が普段使いしている Notionの方が情報共有しやすい
  11. 独自のSaaS一覧について 2/2 独自の一覧のみだけの運用とせず、 Adminaも利用し続ける理由 • 重要SaaSのアカウント削除漏れを確実に防げる ため ◦ Adminaは主要なSaaS、つまり情報管理上のリスクの高い SaaSにはしっかり対応している

    ▪ Google Workspace、Slack、Notion、GitHub、AWS、各種HR系SaaS、等 ◦ 単純なカバー数の多さではなく、 重要SaaSをどれだけカバーしているかを重視 • 重要でないSaaSのアカウント削除漏れ が万一あっても、それは リスク受容可能
  12. 定期的なアカウントの棚卸し カレンダーに予定を入れ、定期的に実施 • おもな目的 ◦ 不要なアカウントの発見 ◦ 最小権限原則の適用 ◦ 強度の低い認証方式の見直し

    • 実施事項 ◦ 先に述べたSaaS一覧とAdminaを活用しながら以下を実施 ▪ 退職者のアカウントが残存していないか確認 ▪ 権限が過剰でないか検証 ▪ 二要素認証が設定されてないアカウントへの設定依頼、等 Admina対応SaaSは 効率的に調査可能