セキュリティ2026-06-23

【セキュリティ】ISO27001取得企業が満たすべきクラウドインフラセキュリティ要件とVercelにおける設定方針


ISO27001/ISMSが求める「クラウド環境」でのガバナンス

企業が信頼性を証明するセキュリティ認証である ISO27001(ISMS: 情報セキュリティマネジメントシステム)。かつてはオンプレミスのサーバー室の施錠管理などが対象でしたが、現代のシステム開発においては「AWSやGoogle Cloud、Vercelなどのクラウドインフラをどのように保護し、監視しているか」が監査の焦点となっています。

ISO27001の審査・維持管理において、クラウド運用時に最も多く指摘を受けるのは以下の項目です。

  1. アクセス制限と最小権限の原則(A.9.2): 開発メンバー全員にクラウドの管理者(Admin)権限を付与しており、本来権限のない人間が本番データを削除したり、機密の環境変数を閲覧できてしまう。
  2. 監査ログの取得と監視(A.12.4): インフラの設定変更や、本番環境へのデプロイがいつ誰によって行われたかの履歴が残っておらず、トラブル発生時の追跡ができない。
  3. データ配置の保護(A.10.1): 開発用プレビュー環境へのデプロイメントがパブリックに開かれており、機密情報の含まれるテスト画面が外部から誰でも閲覧可能になっている。

これらの指摘を防ぎ、強固なインフラ保護体制を構築するため、Vercelが提供する管理機能およびセキュリティ機能を正しくマッピングして設定する必要があります。


2. 課題解決のビフォー・アフター

ISO27001要求事項 一般的な緩い設定(Before) セキュリティポリシー適用(After)
アクセス管理 全開発者が同一のアカウントを共有 / 全員管理者 SAML SSO連携 + ロール(役割)による細分化制御
監査証跡の保存 設定変更のログが保存されない Vercel Integration経由で外部ログストレージへ転送
環境変数の保護 本番用DBパスワードが誰でも閲覧可能 特定ロールのみ表示、プレビュー用と完全に分離
本番前環境の保護 プレビューURLが誰でもアクセス可能 Vercel Deployment Protection(パスワード/OAuth)の強制

3. セキュリティ監査用ログ出力の自動転送

ISO27001の「監査ログの保持」を満たすため、Vercelのアクセスログや実行ログを、変更・削除ができない永続ストレージ(Google Cloud Storageなど)へストリーミング転送する設計が推奨されます。

以下は、Vercel Serverless Functionで発生したセキュリティイベントをセキュアにロギングする実装例です。

import { NextResponse } from "next/server";

export async function processSecureTransaction(payload: any, requesterId: string) {
  // セキュリティイベントのメタデータを定義
  const auditEvent = {
    event_type: "TRANSACTION_EXECUTION",
    requester: requesterId,
    timestamp: new Date().toISOString(),
    ip_address: payload.ipAddress || "UNKNOWN",
    status: "PENDING",
  };

  try {
    // 1. 本番処理の実行
    // (データベース更新やAPI送信などの処理...)

    auditEvent.status = "SUCCESS";
  } catch (error) {
    auditEvent.status = "FAILED";
    throw error;
  } finally {
    // 2. ログ収集サーバー(セキュリティ情報管理ツール:SIEM)へ自動転送
    // サーバーレス環境から安全にHTTPSでログ収集APIをキック
    await fetch(process.env.AUDIT_LOG_DRAIN_URL!, {
      method: "POST",
      headers: {
        "Content-Type": "application/json",
        "Authorization": `Bearer ${process.env.AUDIT_LOG_TOKEN}`,
      },
      body: JSON.stringify(auditEvent),
    }).catch((logError) => {
      // ログ送信自体のエラーが本番システムを停止させないようフォールバック
      console.error("Critical: Failed to ship audit logs:", logError);
    });
  }
}

4. HadayaLabのクラウドガバナンス構築支援

HadayaLabでは、お客様が安心して自動化ツールやAIエンジンを運用できるよう、認証取得に耐えうるクリーンでセキュアなインフラ構築を伴走サポートしています。

  • Vercel Enterprise設定の最適化: ロール設定(RBAC)、SAMLによるSSOログインの設定代行。
  • Deployment Protectionの配備: 開発用URLに対するGoogle Workspaceログイン(OAuth2)によるアクセスカット。
  • 改ざん不可能なログパイプライン: 監査イベントをGoogle Cloudへリアルタイム転送する仕組みの提供。

「自社のセキュリティポリシーに合致する形でAIシステムを作りたい」「ISO27001監査で指摘を受けないクラウド構成にしたい」というご要望は、セキュリティ監査の設計実績を持つHadayaLabにご相談ください。