【新着】組織内での共有・無制限視聴OK!「情報セキュリティ研修」動画パッケージ販売中 >

【2026年度最新】Canvaのセキュリティは大丈夫?ISMAPやISMS認証、監査ログを調査!

クラウドサービス

※クラウドの安全性をチェックした後は、それを使う社員のルール周知も不可欠です。

職場の壁に貼るだけで基礎対策が徹底できる「情報セキュリティ10箇条ポスター」を、今だけ[無料でダウンロード]いただけます。社内啓発にぜひお役立てください。

はじめに

誰でも簡単におしゃれなデザインが作れるオンラインツール「Canva(キャンバ)」。

非常に便利な反面、業務で使うとなると「セキュリティ体制は大丈夫?」「社外秘の画像をアップロードしても情報漏洩しない?」と不安になる総務・システム担当者様も多いのではないでしょうか。

結論から申し上げますと、Canvaは国際的なセキュリティ基準「ISO 27001」を取得しており、さらに企業向けの高度なアクセス制御やログ管理に対応しているため、システム的な安全性は極めて高いと言えます。

ただし、日本の「ISMAP」には未登録など、導入にあたって知っておくべき注意点もあります。

本記事では、Canvaが公式に公開しているセキュリティ情報をもとに、認証の取得状況や監査ログの仕様、アクセス管理の仕組みまで実務目線で分かりやすく解説します!

1. ISMAPおよびISMAP-LIUの登録有無

結論から言うと、現時点でCanvaはISMAP(政府情報システムのためのセキュリティ評価制度)およびISMAP-LIUのクラウドサービスリストには登録されていません。

ISMAPは、日本の官公庁や地方自治体、一部の大企業がクラウドを導入する際の「絶対条件」となることが多い認証です。

そのため、ガチガチの政府基準をクリアしたツールしか導入できない環境の場合、Canvaの選定は慎重に行う必要があります。

2. ISMS(ISO 27001)の取得状況とインフラの安全性

日本のISMAPこそ未登録ですが、世界的なセキュリティ基準であるISMS(ISO 27001)の認証はしっかりと取得・維持されています。

独立した第三者機関から定期的な厳しいチェックを受けているため、「企業の機密データを預けるプラットフォームとしての信頼性は十分にある」と判断して問題ありません。

※なお、クラウドに特化した追加認証である「ISO 27017」の取得状況については、現時点では公式な公開情報は見当たりませんでした。

【補足】信頼性の高いAWSインフラを採用

Canvaのシステム基盤(サーバー等)は、世界最高峰のセキュリティを誇るAWS(Amazon Web Services)上で構築されています。

データは保存時・通信時のいずれも暗号化されており、物理的なデータセンターの管理体制も含めて世界トップレベルの防壁で守られています。

3. GDPR(データプライバシー規制)への準拠

Canvaは、世界で最も厳しいとされるEUの個人情報保護規則である「GDPR」にも完全に準拠しています。

企業や個人のデータを単に保存するだけでなく、その「プライバシー保護」に対しても世界最高峰の法規制レベルで対策が講じられているため、日本国内での利用においても大きな安心材料となります。

4. 【実務で重要】企業向けのアクセス制御(SSO・MFA)

企業の情シス・総務担当者にとって嬉しいのが、アカウントの不正アクセスを防ぐための機能が充実している点です。

  • SSO(シングルサインオン)に対応: SAML 2.0に対応しており、会社で既に導入しているOktaやAzure AD、Google WorkspaceなどのID管理システムと連携して、ログインを一元管理できます。退職者のアカウントを会社側で一発で停止できるため、情報漏洩を防ぐ強力な対策になります。
  • 多要素認証(MFA / 二段階認証): 万が一パスワードが漏洩しても、アカウントの乗っ取りを防ぐ二段階認証(MFA)を全ユーザーが設定可能です。

5. 監査ログ・不審なアクセスの監視体制

不正アクセスや情報漏洩が起きた際の「防犯カメラ」の役割を果たすログ周りについても、Canvaは強固な体制を敷いています。

Canvaの企業向けプラン(Canvaエンタープライズ等)では、詳細な「監査ログ(アクティビティログ)」の取得が可能です。

  • ログで追跡できる主なアクション: ユーザーのログイン履歴だけでなく、「誰がデザインを作成・コピーしたか」「誰がファイルを外部にエクスポート(ダウンロード)したか」「チーム外への共有設定を行ったか」といった、情報漏洩に直結するユーザーの挙動を網羅的に追跡できます。
  • 外部ストレージ(SIEM)との連携: 取得した生の監査ログデータは、AWSのS3バケット等を経由して、社内の監視ツールやSIEMシステムと統合して一元監視することも可能です。
  • 24時間の監視体制: Canva独自の脅威検出・警告システムが動いており、不審な挙動(インインシデントの予兆)を検知した場合は、24時間オンコール体制のセキュリティ専門チームへ即座に通知がいき、迅速に対処する仕組みが整っています。

6. まとめ:Canvaは安全?担当者が下すべき結論

ここまでの調査結果をまとめます。

  • ISMAP: 未登録(官公庁への導入時は注意が必要)
  • ISO 27001(ISMS): 取得済み(世界基準の安全性)
  • アクセス制御: SSO(SAML 2.0)や多要素認証(MFA)に対応
  • 監査ログ: デザインのダウンロードや共有設定まで詳細に追跡可能
  • インフラ・監視: AWSの暗号化基盤 + 専門チームによる24時間体制の監視

結論として、システム面・機能面におけるCanvaは、「企業のセキュリティ審査を十分にクリアできる、極めて高い信頼性がある」と言いきれます。

7. 【担当者の盲点】どれだけ強固な認証を取得しても防げない「最大の危険性」とは?

――このように、Canva側では世界基準のISO27001認証を取得し、SSOや詳細な監査ログ、強固な24時間監視体制を敷いており、システムとしての安全性は非常に優秀です。

しかし、どれだけシステムが頑丈であっても、それを扱う現場の『人間側のリテラシー教育』がセットでなければ、情報漏洩のリスクを根本から消し去ることはできません。

例えば、Canvaを運用する上で以下のような「悪意のない操作ミス・やらかし」は、システムがどれだけ安全でも防ぐことができないからです。

  1. 共有設定のミス: 社外秘のプレゼン資料やデザインの共有リンクを、誤って「リンクを知っている全員が閲覧可能(実質的な全公開)」のまま発行・送信してしまうリスク
  2. 個人アカウントへの流出(シャドーIT): 会社のPCから、セキュリティ管理の及ばないプライベートのCanva無料アカウントにログインし、業務用の機密データをアップロードしてデザインを作ってしまうリスク

💡 総務担当者様へあわせて共有(関連記事)

Canvaのようにスマホでも手軽に使えるツールは、社員が「個人のスマートフォン」で勝手に業務データを扱う原因(BYODリスク)になりがちです。

会社として定めるべき利用ルールは[こちらの「社員の個人スマホを業務で使う(BYOD)リスクと、総務・情シスが定めるべきルール」]にまとめています。

💡 総務担当者様へあわせて共有(関連記事)

現場の社員が「無料だから」と勝手に使っているそのツール、会社のデータが勝手にAIの学習や外部への二次利用に使われているかもしれません。

[無料ツールを使う前にチェック!利用規約に潜む「データ二次利用」の罠]で、規約の恐ろしい落とし穴を解説しています。

クラウドの利便性を最大限に活かしつつ、企業として確実な安全性を担保するために、今すぐスタートできる『現場の人間教育ソリューション』を当サイトではご用意しています。

🎁 【まずは手軽に社内啓発】無料ダウンロードのご案内

「動画研修をすぐに実施するのは難しい」「まずは今すぐできる対策から始めたい」という総務・情シスの方へ。

特典の「職場の情報セキュリティ 10箇条(社内啓発用ポスターPDF)」を、今だけ【完全無料】で単体ダウンロードいただけます。

オフィスの壁や休憩室に貼るだけ、または社内チャット(Slack/Teams等)やメールで全社員に一斉送信するだけで、今日から組織全体のセキュリティ意識をパッと高めることができます。

ぜひお気軽にご活用ください。

【無料】「職場の情報セキュリティ 10箇条ポスター」のダウンロードはこちら(STORES)

※クリックすると、新しいタブでSTORESのダウンロードページが開きます。0円でそのまま決済・取得いただけます。

🎬 クラウドサービスを安全に使うための、全社員向け研修動画

BoxBacklogCanva等の便利なクラウドツールを導入しても、利用する社員・職員側の情報セキュリティ基礎リテラシー(パスワード管理、フィッシング詐欺対策、情報取扱いのルール)が不足していると、重大な情報漏洩リスクに繋がります。

本サイトでは、組織全体のセキュリティ意識を一気に底上げするための「全社員(職員)向け 研修動画パッケージ」をご用意しています。

  • ① 自治体・公的機関向け情報セキュリティ研修:33,000円(税込)
  • ② 一般企業向け情報セキュリティ研修:55,000円(税込)

🎥 YouTubeにて冒頭5分のサンプル動画を公開中!

・自治体・公的機関向けパッケージ

自治体・公的機関向けパッケージ購入ページ(STORES)

・企業向けパッケージ

企業向けパッケージ購入ページ(STORES)

お届けする内容

  1. 研修本編動画データ(MP4形式) ※社内ポータル、LMS(学習管理システム)、共有サーバー等で自由に再生・共有可能です。
  2. 研修動画用スライド一式
📄 特典1:受講確認ミニテスト(解答・解説付き・PDF)

研修受講後の職員・社員様の理解度チェックにそのまま使えるミニテストです。

前半が問題編、後半が解答・解説編となっています。

📄 特典2:研修実施報告書テンプレート(Wordフォーマット)

上司や役員、社内への報告書が5分で完成する穴埋め式のフォーマットです。

本動画のカリキュラム内容があらかじめ記載されています。

🎨 特典3:職場の情報セキュリティ 10箇条(社内啓発用ポスターPDF)

オフィスの壁への掲示や、社内チャット(Slack/Teams)での定期周知にそのまま使えるA4サイズ・プロ仕様の啓発ポスターです。

🏢 【効果を最大化】講師派遣研修プラン

講師が貴社へ直接訪問(またはオンライン)し、職員・社員の皆様へ直接講義を行います。

質疑応答を含め、より当事者意識を高める研修が可能です。

  • ③ 講師派遣セキュリティ研修
  • オンライン研修

➔ [研修の詳細、ご相談・お見積もりはこちら]

タイトルとURLをコピーしました