GitHubのISMS(情報セキュリティマネジメントシステム)が、セキュリティ管理のベストプラクティスと包括的なセキュリティ制御を規定した国際的なセキュリティ管理標準「ISO/IEC 27001:2013」の認証を取得しました。

GitHubは、すべてのソフトウェア開発者にとって信頼できるツールになるための継続的な取り組みの一環として、セキュリティおよびコンプライアンスへの投資を続けています。この取り組みにおける直近の成果として、GitHubのISMS(情報セキュリティマネジメントシステム)は、ISO/IEC 27001:2013の認証を取得しました。この認証取得に向けたプロセスは2021年9月上旬に始まり、当初予定していたタイムラインよりも1四半期も前倒しで完了しました。 

ISMSとは 

ISMS(情報セキュリティマネジメントシステム)とは、情報の機密性、完全性、可用性をバランス良く維持・改善し、リスクを適切に管理し、利害関係者に信頼を提供できる取り組みです。この取り組みは、企業が信頼できるセキュリティプログラムを設計、実装、管理、維持するために文書化され運用されます。

GitHub ISMSの範囲

• GitHub.com
  • GitHub Enterprise Cloud (GHEC)
  • GitHub Advanced Security (GHAS)
  • GitHub Actions
• 含まれる機能：
  • Pull Request
  • Issue
  • Wiki
  • GitHub Pages
  • GitHub Packages

GitHubにおけるコンプライアンス

GitHub Enterpriseの、EnterpriseおよびOrganizationの管理者は、GitHubの認証をダウンロードできるようになりました。認証のダウンロード手順については、Enterpriseの場合はこちら、Organizationの場合はこちらをご覧ください。この認証は、こちらの”ISO/IEC 27001:2013″で一般公開されています。

ISO 27001認証は、GitHubにおけるセキュリティプロセス、リスク管理、成熟した運用への継続的な投資を立証する素晴らしいマイルストーンです。GitHubでは既にSOCおよびISAEレポート、FedRAMP Tailored LiSaaS ATO、Cloud Security Alliance CAIQを取得しており、今回新たに、GitHubのコンプライアンスポートフォリオにISO 27001が加わりました。

今後について

GitHubは、すべての開発者にとってより安全で堅牢なツールであるために尽力しています。今後も、セキュリティに重要な認証や監査に新規に対応するだけでなく、取得済みの認証や監査の対応範囲の拡大も検討しています。