Vanta の使い方(基礎編)~ ISO 27001 への準拠 ~ 概要
Shikimi
本記事の概要
Vanta には、豊富な機能があり、様々な利用目的や利用方法が考えられますが、ISO や SOC といった基準やフレームワークへの準拠は最も一般的な Vanta を利用する目的のひとつではないかと思います。
本記事では、代表的なフレームワークである ISO 27001 への準拠を Vanta を使ってどのように実現するかをご説明いたします。
Vantaとは?
Vanta は、アメリカ・サンフランシスコ発のセキュリティコンプライアンス自動化のためのクラウドサービスを提供するリーディングカンパニーです。
SOC 2やISO 27001、GDPR、HIPAAなどの数多くの主要認証に対応しており、2018年の創業以来、12,000社以上の金融・小売・IT・ヘルスケア・旅行業界など幅広い業種にて導入されています。
Google Workspace、AWS、GitHubなどのクラウドサービスをはじめとして375以上の多様なサービスとも連携・統合可能で、それにより、証拠データの自動収集や継続的なモニタリングといったことが可能になります。
さらに監査準備、監査プロセス、リスク管理、ベンダーリスク管理、従業員の教育、シャドーITの検出、複数のフレームワーク要件への対応など様々な機能を網羅したプラットフォームとなっており、複雑なセキュリティコンプライアンス業務の一元化・可視化・自動化・効率化を強力に支援します。
これらにより、これまで数か月かかっていた認証プロセスを大幅に効率化したり、情報セキュリティの向上といったことが可能になります。
また、IDC MarketScape をはじめとする数多くの第三社機関の評価において高い評価を得ており、2025年の Forbes 2025 Cloud 100 では63位にランクインしています。
さらに、2025年7月23日には、新たに1億5000万ドル(約221億円)を調達し、累計調達額は約5億ドル(約735億円)に達しました。これにより、評価額は41億5000万ドル(約6100億円。1ドル=147円換算)に達したと発表されており(この評価額は、約1年前の調達時の24億5000万ドル(約3602億円)からの大幅な上昇となっています)、シリコンバレー企業の中でも、現在、最も将来を期待される企業のひとつであり、今後は益々の成長が予想されます。
本編(フレームワーク:ISO 27001:2022 への準拠)
では、さっそく Vanta を使って ISO 27001:2022 への準拠を進めていきましょう。
利用可能なフレームワークの一覧
まずは、左ペインのメニューから、「 Compliance(コンプライアンス)」>「Frameworks(フレームワーク)」を選ぶと、利用可能なフレームワークの一覧が表示されます。今回は「ISO 27001:2002」を例にご説明したいと思います。
利用可能なフレームワークですが、ISO 27001、SOC2、NIS 2、HIPPA、NIST 800 など数多くのものがVanta に事前登録されており、そのうち、お客様がご契約しているフレームワークが、利用可能なフレームワークとして一覧に表示されます。
また、お客様独自のカスタム フレームワークを作成することも可能です。(カスタム フレームワーク対応プランのご契約が必要です。)
ちなみに、Vanta はポリシーテンプレートなどは日本語化されているものの、メニューやメッセージなどは、まだ日本語化されていません。
(※ コントロール(管理策)のように、元は英語だけど、内容(文言)を自分で変更できるものや、カスタム フレームワークのように日本語で作成することが可能なものもあります。)
ただし、(英語のままであっても)Chrome 等の翻訳機能を使うことで違和感のない日本語で表示させることができます。
もっとも、その自動翻訳された内容が正確で信頼できるものかの保証はないため、メニューやメッセージなど、意味が伝わればいいものはブラウザの自動翻訳で対応して、正確な文章が求められるものは、自分で日本語したものを使う等のルールは必要かと思います。
(ちなみに、TrustNowでは、そのような日本語化のお手伝いをしております。)
ISO 27001:2022 対応状況 ~ 概要
フレームワークの一覧から、「ISO 27001:2022」を選ぶと、ISO 27001:2022 への対応状況が表示されます。
まずは、Overview(概要)タブですが、ここで ISO 27001:2022 への対応状況の概要が見れます。
ちなみに、ブラウザの自動翻訳機能で日本語化した場合はこんな感じです。
ISO 27001:2022 対応状況 ~ コントロール(管理策)
次に、Controls(コントロール)タブを見てみましょう。
ここで、ISO 27001:2022 に関連するこコントロール(管理策)とその対応状況を見ることができます。
(※ ちなみに、下記の画面で、左メニュー等は英語なのに、コントロール(管理策)が日本語なのは、コントロール(管理策)の内容(文言)を弊社で翻訳したものに置き換えているからです。)
ブラウザの自動翻訳機能で日本語化した場合
(画像をクリックすると拡大します)
ISO 27001:2022 対応状況 ~ テスト
次に、Tests(テスト)タブです。
ここでは、ISO 27001:2022 の要求事項に適合しているかどうかを確認します。
「コントロール(管理策)」との違いですが、「コントロール(管理策)」は要求事項を説明しているのに対して、この「テスト」では、その要求事項に適合しているかどうかのテストの方法とその合格基準を説明しています。(詳細は後述します。)
また、多くの項目において、「テスト」では、「コントロール(管理策)」よりも詳細で具体的な記述がされています。
ブラウザの自動翻訳機能で日本語化した場合
(画像をクリックすると拡大します)
ISO 27001:2022 対応状況 ~ 更新情報
次は、Updates(更新情報)タブです。
ここでは、ISO 27001:2022 に関連する機能追加やポリシーテンプレートの雛型の更新等の更新情報を確認することができます。
ブラウザの自動翻訳機能で日本語化した場合
(画像をクリックすると拡大します)
ISO 27001:2022 対応状況 ~ 対象範囲
最後に、Scope(対象範囲) タブです。
スコープは、「 Systems(システム)」と「 People(人)」に分かれます。
「 Systems(システム)」では、Vanta がAPI連携(統合)を実施済みの項目が表示されています。
ブラウザの自動翻訳機能で日本語化した場合
(画像をクリックすると拡大します)
「 People(人)」では、対象のユーザーグループが表示されます。
また、グループを選択すると、その詳細(メンバー)が表示されます。
ブラウザの自動翻訳機能で日本語化した場合
(画像をクリックすると拡大します)
ISO 27001:2022 対応状況 ~ コントロール(管理策)の詳細
それでは、コントロール(管理策)を細かく見ていきましょう。
まずは、コントロール(管理策)全体を見てみます。
こちらは当然ですが、ISO 27001:2022 に従って構成されています。
ブラウザの自動翻訳機能で日本語化した場合
(画像をクリックすると拡大します)
ISO 27001:2022 対応状況 ~ コントロール(管理策)
~ C.4 組織の状況
それでは、ひとつひとつ見ていきます。
まずは、C.4 Context of the Organization(C.4 組織の状況) です。
ブラウザの自動翻訳機能で日本語化した場合
(画像をクリックすると拡大します)
対象のコントロールをクリックすると、その詳細を見ることができます。
C.4.1 Understanding the organization and its context(C.4.1 組織その状況を理解する)を見てみます。
この項目(C.4.1 組織その状況を理解する)では、テストの合格基準として、ISMS 適用範囲のポリシー文書が作成され、承認されていることを確認するよう指示されています。
ISMS 適用範囲のポリシー文書 は、Vanta内では、「01-ISMS Scope of the ISMS」という名称で扱われています。
下記のスクリーンショットのように、そのコントロール(ここでは「C.4.1 組織その状況を理解する」)の概要や Tests(合格基準)、Documents(関連文書)、Policies(関連ポリシー)、Frameworks(関連フレームワーク)、Risk scenarios(リスクシナリオ)、Issues(問題)などを一覧で見ることができます。(※ くどいようですが、コントロールの概要だけが日本語になっているのは、弊社で翻訳したものに置き換えているからです。)
続けて、C.5.1 Leadership and commitment( C.5.1 リーダーシップとコミットメント )です。
ブラウザの自動翻訳機能で日本語化した場合
(画像をクリックすると拡大します)
ちなみに、右上の部分を拡大するとこんな感じです。
(しつこいようですが、この部分は TrustNow で日本語化したものをインポートしています。ブラウザの翻訳ではありません。)
C.5.1 リーダーシップとコミットメント に3つあるテストのうち、Company has an approved 02-ISMS Information Security Management System (ISMS) Policy( 当社は承認された02-ISMS 情報セキュリティ管理システムポリシーを有しています )をクリックすると、テストの詳細が出てきます。
(ちなみに、この時点で左メニュー上の現在位置を示す表示が「 Compliance(コンプライアンス)」>「Frameworks(フレームワーク)」から「Tests(テスト)」に移動していることが分かります。)
このテストでは、Information Security Management System (ISMS) Policy( 情報セキュリティ管理システム(ISMS)ポリシー )を保有し、それが承認されていることを確認するよう指示されています。
また、最初に表示される Result(結果)タブで、Remediation(修正対応)が必要なことが表示されています。
右上の「About this test(このテストについて)」をクリックすると、このテストの詳細が出てきます。
ブラウザの自動翻訳機能で日本語化した場合
(画像をクリックすると拡大します)
次に、Control(コントロール)タブをクリックし、このテストに関連するコントロール(管理策)を見てみます。(しつこいですが、この部分は TrustNow で日本語化したものをインポートしています。ブラウザの翻訳ではありません。)
それでは Result(結果)タブの「How to remediate(修正対応の方法)」から「policy template(ポリシーテンプレート)」をクリックします。
ブラウザの自動翻訳機能で日本語化した場合
(画像をクリックすると拡大します)
対象のポリシーが表示されます。
(ちなみに、この時点で左メニュー上の現在位置を示す表示が「Tests(テスト)」から「Policies(ポリシー)」に移動していることが分かります。)
ブラウザの自動翻訳機能で日本語化した場合
(画像をクリックすると拡大します)
上記の画面で、表示されているポリシーのひとつ(ここでは、02-ISMS Information Security Management System (ISMS) Policy(02-ISMS 情報セキュリティ管理システムポリシー))をクリックすると、ポリシー作成のページへ飛びます。
ここでは、ポリシーの作成やポリシーのバージョン、関連コントロール、コメント等を確認することができます。
Controls(コントロール)タブをクリックして、このポリシーに関連するコントロール(管理策)を見てみます。
Comments(コメント)タブでは、このポリシーに対するコメントの履歴を残すことができます。
今回はここまでです。
次回はポリシーの作成から見ていこうと思います。
それでは、また!!
TrustNowでは、Vanta製品の専門知識をもつコンサルタントが
導入をサポートします。
製品を検討中、または関心のある方は、こちらからご相談ください!!
Vanta製品の概要・機能を知りたい。
Vanta製品のデモを見たい。
