FinTech SaaS：9ヶ月でISO 27001取得、ベロシティ低下ゼロ。

ロードマップをフリーズせずに9か月でISO 27001：実現可能ですが、監査ではなくリリーストレインのように準備します。

コンテキスト

欧州B2B SaaS FinTech、95人従業員、パリ・モントリオール・シンガポール進出。強い成長（ARR 1400万ユーロ、+85% YoY）、契約上ISO 27001を要求する大手アカウントセグメントへの即時参入。社内初期見積もり：18か月と新機能フリーズ。

問題

• パイプラインの6つの戦略的ディールにISO 27001必須
• 重いプロダクトロードマップ、DORAエリート速度維持
• CTOとCISOはターゲットに同意、方法で不一致
• 形式化されたIaCポリシーなし、CIに平文シークレット
• 前回監査（2024）：23件の発見、うち5件クリティカル

アプローチ

エンドツーエンドDevSecOps：セキュリティは監査チェックリストではなく、プラットフォーム機能になります。コントロールの工業化、証拠の自動化、地雷を片付けるため最終監査3か月前に模擬監査。

ワークストリーム

• パイプラインに統合されたSAST/DAST（Snyk Code、OWASP ZAP）
• Sentinelポリシー付きTerraform IaC：非準拠リソースはデプロイしない
• シークレットローテーションと注入のためのVault、暗号化のためのKMS
• 文書化されたインシデントランブック、四半期テーブルトップ演習
• 7か月目に社内模擬監査、9か月目に公式監査

スタック

• Sentinelポリシー付きTerraform Cloud
• HashiCorp Vault、AWS KMS
• Snyk Code、Snyk IaC、OWASP ZAP
• OIDC付きGitHub Actions、署名コミット必須
• マルチアカウントガバナンスのためのAWS Control Tower

結果

1. ISO 27001認証9か月で取得（見積もり18か月）
2. 最終監査でクリティカル発見0件、マイナー3件
3. DORA速度：エリート維持（デプロイ/日、MTTR < 1時間）
4. SASTカバレッジ：ブロッキングCIでコードベースの92%
5. シークレットローテーション：100%自動化

学んだこと

Sentinelは高価ですが、デプロイ後の修正を回避することで6か月でROIを支払います。社内模擬監査は8件の潜在的発見を回避：体系的にやり直す。異なることをするなら：法務を5か月目ではなく1か月目から巻き込む。契約書の書き換えは予定外の3週間を要しました。