Webサイトを快適にご利用いただくためには、IE11以降、Chrome、Firefox、またはSafariをご使用ください。

SOC 2とは

原則、タイプ、およびメリットの説明

サイバーセキュリティフレームワークは、企業がセキュリティ体制を改善するために従う必要がある原則とベストプラクティスを定めます。SOC 2はこうしたフレームワークの1つであり、顧客データをクラウドサービスに保存して処理するテクノロジー企業に適用します。

SOC 2とは

SOC 2(Service Organization Control Type 2)は、米国公認会計士協会(AICPA)が開発したサイバーセキュリティ・コンプライアンス・フレームワークです。SOC 2の主な目的は、サードパーティのサービスプロバイダがクライアントデータをセキュアな方法で保存および処理できるようにすることです。

このフレームワークは、セキュリティ、プライバシー、可用性、機密性、および処理の完全性という5つのトラストサービス原則に基づいて、高水準のデータセキュリティを維持するための基準を指定します。

SOC 2コンプライアンス

SOC 2コンプライアンスの説明

一連の条件がすべての企業に対して事前定義される他のコンプライアンスフレームワークとは違い、SOC 2要件は組織ごとに異なります。各組織は、独自の運用モデルに応じて、独自のセキュリティ制御を5つのトラスト原則に準拠するように策定する必要があります。

セキュリティ。大まかに言えば、セキュリティの原則は、不正アクセスに対するデータおよびシステムの保護を強制します。そのためには、場合によっては、アクセス制御リストやID管理システムを使用するなど、何らかの形式のアクセス制御を実装する必要があります。

また、より厳格なアウトバウンドルールとインバウンドルールを導入してファイアウォールを強化し、侵入検出とリカバリシステムを導入し、多要素認証を実施する必要がある場合もあります。

機密性。データは、特定グループのメンバーのみがアクセスする必要がある場合、機密と見なされます。これには、アプリケーションのソースコード、ユーザ名とパスワード、クレジットカード情報、事業計画などが含まれます。

この原則に準拠するため、機密データを保管時と転送中の両方で暗号化する必要があります。さらに、機密データへのアクセスを提供しながら、最小特権の原則に準拠します。つまり、作業を行う必要がある人に必要最小限の権限/権利を付与します。

可用性。システムは、常に可用性SLAを満たす必要があります。これには、高負荷でも壊れることがない、本質的にフォールトトレラントなシステムを構築する必要があります。また、組織がネットワーク監視システムに投資し、ディザスタリカバリ計画を策定することも求められます。

プライバシー。個人情報(PII)の収集、保存、処理、および開示は、「一般に公正妥当と認められたプライバシー原則(GAPP)」でAICPAによって定義された条件に準ずると共に、組織のデータ使用とプライバシーのポリシーに準拠する必要があります。

PIIは、名前、年齢、電話番号、クレジットカード情報、社会保障番号など、個人を一意に識別するために使用できる情報です。組織は、不正アクセスからPIIを保護するために厳しい統制を実行する必要があります。

処理の完全性。すべてのシステムは常に設計通りに機能し、遅延、脆弱性、エラー、またはバグがない状態でなければなりません。この原則に準拠するため、品質保証と、パフォーマンス監視のアプリケーションおよび手順が不可欠です。

SOC 2監査のメリット

  • SOC 2監査は、セキュリティの全体的な見通しを改善するのに役立ちます。
  • SOC 2に準拠した企業は機密情報を保護するための適切なツールと手順をすべて備えているため、顧客は安心してデータを委ねることができます。
  • SOC 2の要件は、 ISO 27001HIPAAなど、他のフレームワークと重複するものが多いため、SOC 2を満たせば一石二鳥になる可能性があります。
  • セキュリティを重視する企業としてのブランド評価を高め、強力な競争優位性を築くことができます。
  • SOC 2コンプライアンスを達成することで、データ漏洩とそれに伴う経済的、風評的なダメージの回避に役立つ可能性があります。

SOC 2のタイプ1とタイプ2の違い

SOC 2コンプライアンスには、大きく分けるとタイプ1とタイプ2の2種類があります。

タイプ1は「特定の時点」に、組織が標準システムおよびプロセスを使用していることを証明します。一方、タイプ2は、一定期間(通常は12ヶ月間)のコンプライアンスのアテステーションです。

タイプ1レポートは、組織が使用する統制について記述し、統制が適切に設計および実行されていることを裏付けます。タイプ2レポートには、タイプ1レポートに含まれるすべての内容と、統制が運用上有効であるというアテステーションを含めます。

SOC 1、SOC 2、SOC 3の違い

SOCレポートには主にSOC 1、SOC 2、およびSOC 3の3種類があります。最初の2つが最も一般的であり、テクノロジー企業には2番目が最も関連性があります。

SOC 1は財務レポート作成を中心に展開するのに対して、SOC 2はコンプライアンスとビジネス運営により重点を置きます。SOC 3はSOC 2に手を加え、SOC 2の結果を一般の人々が理解できる形式で報告します。詳細については、次の表で確認できます。

 

SOC 1

SOC 2

SOC 3

目的

財務統制について報告する

セキュリティ、機密性、可用性、プライバシー、および処理の完全性という5つのトラスト原則に準拠していることを報告する

SOC 2と同じ統制を報告するが、一般の人々に分かる方法で報告する

対象者

主として監査人

顧客およびその他のステークホルダー

一般人

財務データを処理するほとんどの企業でSOC 1コンプライアンスが必要になる

database-as-a-service企業は、複数の顧客に属している機密データをホストする前に、SOC 2コンプライアンスを達成することが求められる

SOC 2コンプライアンスを達成する組織は、SOC 3レポートを作成して、データセキュリティとプライバシーに真剣に取り組んでいることを一般の人々に知らせることもできる

利点

  • SOC 1コンプライアンスを必要とする顧客と作業する
  • ブランド評価を高める
  • 適切な統制がすべて取れていることを顧客に保証する
  • SOC 2コンプライアンスを必要とする顧客と作業する
  • ブランド評価を高める
  • 適切な統制がすべて取れていることを顧客に保証する

貴社のコンプライアンスについてより多くの人に知ってもらうためのマーケティング資料を作成する

SOC 2コンプライアンスとIAM

SOC 2コンプライアンスとIAM(IDおよびアクセス管理)は密接に関連しています。IAMを何らかの形で導入しない限り、SOC 2コンプライアンス達成は不可能であると言っても過言ではないでしょう。IAMシステムは、SOC 2のセキュリティ、機密性、およびプライバシー原則の基本である、アクセス制御の実行に役立ちます。

最新のIAMアプリケーションは、多要素認証、IDフェデレーション、パスワード自動リセット、IDライフサイクル管理、きめ細かいアクセス制御などの機能を備えているので、SOC 2準拠までの過程を早めることができます。

SOC 2コンプライアンスは、テクノロジー企業がデータセキュリティとプライバシーに真剣に取り組んでいることを証明するのに役立ちます。SaaSプロバイダを探す際は必ず、SOC 2コンプライアンス順守をチェックリストの最上位に加えることを忘れないでください。