SOC 2 コンプライアンスと認証 📑

SOC2 Type IIとは？ 誰が必要か？

まず、SOCはサービス組織の統制を示す仕組みです。SOCは「システムと組織の統制」を意味し、サービス組織が情報をどう管理しているかを評価するための基準の集まりです。

SOC基準は、貴社が外部ベンダーと取引する際の安心材料となります。SOC認証を受けた組織は、独立した公認会計士による監査を経ています。

SOC 2 Type II監査は、独立した監査法人が組織の統制活動と目標を精査し、その統制が実際に機能しているかどうかを確認するものです。

これは、コミュニケーション、方針、監視、手順に基づいています。

SOC 2 Type II監査は、貴社のサービス提供者が該当するプライバシーやセキュリティ基準を守り、システムが効率的に運用されているかを確認するためのものです。

SOC 2 Type II監査により、サービス提供者の処理活動が、情報のセキュリティ、守秘性、正確性、及び利用可能性にどう影響しているかを評価できます。

また、サービス提供者は、この監査を通じて統制の十分性や基準への適合状況を明確にできます。

SOC 2 Type II監査は、「認定セキュリティ評価者」（QSA）が実施し、AICPAがその基準を管理しています。

SOC 2の簡単な歴史

SOC 2以前は、主な監査基準としてSAS 70（監査基準書第70号）が使われていました。これらの監査は、内部財務統制の有効性を報告する目的で公認会計士（CPA）が実施し、1990年代初頭に始まりました。

時が経つにつれ、監査は情報セキュリティに関する内部統制の有効性をより詳しく報告する手段として用いられるようになりました。

2010年頃、AICPA（米国公認会計士協会）は、企業が外部でセキュリティ状態を証明・伝達するニーズに応え、SOC 1とSOC 2の報告書を導入しました。

現在、SOC 1報告書は財務報告に影響する統制に焦点を当てています。一方、SOC 2報告書は信頼サービス基準（TSC）に沿って監査を行います。ビジネスプロセスとセキュリティ双方の成熟度を高める上で理想的な基準です。

‍

SOC 2報告書の種類

• SOC 2 Type I報告書

SOC 2 Type I報告書は、特定の時点における統制の適切性や設計、運用範囲を詳述します。これはAICPAなどの監査手法や業界のベストプラクティスに沿っていることを示し、SOC 2準拠の企業であればデータが安全であると貴社に安心感を与えます。

サイバー攻撃の頻度や巧妙さが増す中、SOC 2 Type Iに準拠するプロバイダーの需要は高まっています。法的義務はなくとも、医療や金融など顧客データを扱う企業にとって、適切な統制が整っていることを示す手段として重視されています。

SOC 2 Type Iの準備が整えば、即時に監査が始まり報告書が作成されます。準備評価、統制の整備、文書化ができていれば、承認監査人が速やかに監査に入ることが可能です。

SOC 2 Type I報告書の作成には通常2～4週間かかります。一方、SOC 2 Type II報告書は6ヶ月から1年かかるため、短期間で第三者と取引する場合や複数のベンダーを評価する際にSOC 2 Type Iは適しています。

• SOC 2 Type II報告書

SOC 2 Type II報告書は、Type Iと同様にシステムと統制の設計状況を記述するものですが、統制が実際に機能しているかを評価します。Type Iに比べ、より高い安心感を提供します。

SOC 2 Type II準拠を達成するには、長期間にわたる方針や統制の徹底的な検証をクリアする必要があり、より多くの時間とリソースが求められます。多くの企業は自社の会計年度と重なる期間を選び、AICPAは6ヶ月を推奨しています。連続した報告を行うため、一般的には12ヶ月の報告期間が採用されます。

SOC 2 Type II準拠と報告は、潜在顧客に対して優れたデータセキュリティと統制体制を示し、大規模でセキュリティに敏感な組織との取引に有利となります。

SOC 2 Type IIはSOC Type Iと同じ原則に基づきますが、追加のリソースと時間が必要です。統制が成熟し、常時監視・更新されている企業にとっては、SOC 2 Type IIの取得は容易です。主に機密データを扱う中〜大規模な企業や、厳格な規制のある業界で求められます。

SOC 2の主要な信頼原則

SOC 2認証は外部監査人によって発行され、整備されたプロセスとシステムに基づいて、ベンダーが5つの信頼原則のうち1つ以上にどの程度従っているかを調べます。

信頼原則は以下の通りです：

1. セキュリティ

セキュリティ原則は、システム資源を不正なアクセスから守ることに関係します。アクセス制御は、システムの悪用、データ盗難、不正持ち出し、ソフトウェアの乱用、情報の不適切な改変や漏洩を防ぎます。

ネットワークやウェブアプリのファイアウォール (WAFs)、二要素認証、多要素認証、侵入検知などのITセキュリティツールは、不正なアクセスによる侵害を防ぐ上で有効です。

2. 可用性

可用性原則は、SLAや契約に基づいたシステムやサービス、プロダクトの稼働状態を指し、双方で合意した最低限のパフォーマンスが求められます。

この原則は使いやすさや機能性ではなく、可用性に影響するセキュリティ要件に関するものです。ネットワークの稼働状況、サイトのフェイルオーバー、セキュリティインシデントの対応が重要となります。

3. 処理の完全性

処理の完全性原則は、システムが目的通りに、正しいデータを適切な場所と時期に届けるかどうかに関わります。そのため、データ処理は有効、完全、正確、許可済み、且つタイムリーである必要があります。

しかし、処理の完全性が必ずしもデータそのものの完全性を意味するわけではありません。システムに入力される前の誤りは、通常、処理担当者の責任ではなく、監視や品質保証の手順によって確認されます。

4. 守秘性

データは、特定の個人や組織に限定してアクセス・開示される場合、守秘性が保たれているとみなされます。例として、社内用の情報、事業計画、内部価格、知的財産、その他機微な財務情報などが挙げられます。

暗号化は送信中の守秘性を維持するための重要な対策です。ネットワークやアプリのファイアウォールと厳格なアクセス管理で、情報の保存や処理中の保護が可能です。

5. プライバシー

プライバシー原則は、個人情報の収集、利用、開示、保存、廃棄について、組織のプライバシー通知とAICPAの一般的なプライバシー原則（GAPP）に沿った対応を求めます。

個人を特定できる情報（PII）は、個々を識別できる詳細情報（例：名前、住所、社会保障番号）です。健康、性的、民族、宗教に関する情報は特に敏感とされ、追加の保護が求められます。すべてのPIIは不正アクセスから守る統制が必要です。

SOC 2コンプライアンスが重要な理由

SOC 2コンプライアンスにより、貴社のプロセスと手順が顧客データを守るために適しているか確認でき、安心感が得られます。さらに、以下のメリットもあります：

• SOC 2 Type II認証を受けたSaaSプロバイダーは、セキュリティへの取り組みが示され、より信頼を集めます。

• 大量のデータを扱う企業、特に大規模な顧客基盤を持つ企業は、SOC 2準拠のSaaSプロバイダーを選びやすくなります。

多くのSaaS企業がユーザーの信頼を得てデータを守るため、SOC 2認証を取得しています。一例として、IntercomがSOC 2準拠を発表しました。IntercomはB2Cのメッセージ交換を円滑にするプラットフォームです。

革新的な製品開発を目指す一方で、顧客がその製品を信頼できるようにすることも重要です。SOC 2準拠に沿い、Intercomは顧客データ保護の手順が十分か、顧客の期待に応えているかを確認するため、年次レビューを実施する予定です。

SaaSプロバイダーは、成長のために顧客の信頼に依存します。どれだけ先進的な製品でも、顧客がデータの安全性に確信を持たなければ利用されません。セキュリティ、処理の完全性、可用性、守秘性、プライバシーへの取り組みがビジネス成功を決めます。まとめると、SOC 2コンプライアンスは技術革新と顧客との信頼関係をつなぐ役割を果たします。

さらに、SOC 2コンプライアンスが重要なその他の理由を見ていきます。

• SOC 2コンプライアンスは長期的なセキュリティリスクを低減する

SOC 2報告書には、Type IとType IIの2種類があります。Type Iは、標準的な手順が整っているかを確認するため、準備が容易です。例えば、Type Iではデータ漏洩などへの対応策が計画されているかを調べ、実際に機能しているかは評価しません。また、Type Iの監査は特定の一時点のみを対象とします。

一方、Type II監査は、手順が整っているだけでなく、それが一定期間（例えば6ヶ月間）機能しているかも確認します。

このレベルの認証を得るための監査は、Type Iより厳格かつ詳細ですが、その分大きなメリットがあります。

SaaS管理プラットフォームBlissfullyによれば、Type II監査は「顧客、見込み客、取締役、パートナー、保険会社などにとってより価値がある」とのことです。第三者の監査人が貴社のセキュリティ対策が高水準であることを認めれば、投資や取引の機会が広がります。

• SOC 2コンプライアンスは、強みを示す機会となる

5つの信頼サービス原則すべてを用いる必要はありません。例えば、データ保存に注力するSaaS企業は、不正アクセス防止が最優先です。そのため、SOC 2監査ではセキュリティに重点が置かれます。

SOC 2監査開始前に、5つの基準が貴社の業務にどう関係するかを考え、注力すべき分野を決めてください。以下の例を参考に：

• CRMサービスを提供する場合、5原則すべてが適用される可能性がある。

• 営業・マーケティングサービスでは、守秘性、可用性、セキュリティが重要となる。

• 解析アプリ提供の場合、処理の完全性、可用性、セキュリティが重点となる。

顧客のニーズを考えれば、どの基準に注力すべきかが明確になります。例として、データ復旧、エンドツーエンド暗号化、二要素認証などの機能に興味があるかを確認してください。

例えば、Auth0はSOC 2報告書取得時に顧客の要望を重視し、顧客が求めるのは次の2点であると分かりました：

• Auth0がデータ漏洩防止のためにどのようなセキュリティ対策を行っているか

• サービスが常に利用可能であるか

その結果、Auth0はSOC 2 Type II報告取得のため、セキュリティと可用性の2原則での監査を選びました。

ちなみに、Authは認証・認可プラットフォームです。

• SOC 2コンプライアンスは企業文化を醸成する

新たなセキュリティ統制の導入は手間がかかるものの、たとえば多要素認証によるログインの手間などの小さな不便は、得られる成果のための投資です。早期に新プロセスを導入すれば、安心で準拠した企業文化の形成と将来的な成長が容易になります。従業員3名規模の企業でもSOC 2監査を経験しており、できる限り自動化して組織文化に根付かせると効果的です。

• SOC 2コンプライアンスは文書化を促進する

文書化は早く整備するほど良いです。方針や手順、内部基準が文書化されていれば、社内コミュニケーションや一貫性が向上し、法令対応や取引拡大、合併・買収、VC資金調達などの変化にも柔軟に対応できます。

• SOC 2コンプライアンスはリスク管理を支援する

SOC 2監査の準備は、リスクを認識し軽減する枠組みを提供します。正式な監査を受けていない組織は、セキュリティリスクに気付いていなかったり、場当たり的な対応に終始することが多いですが、体系的に取り組むことで、見落としがちなリスクにも適切に対処できます。

‍

SOC 1 vs SOC 2

ベンダーとしてのSOC 2の価値

ベンダーがSOC 2準拠でなければ、大企業と取引する前に多数のセキュリティ質問票に記入しなければならない場合があります。一見、SOC 2監査より容易に思えるかもしれませんが、質問票は非常に詳細で複雑な上、セキュリティ用語に精通していなかったり、適切なツールや文書化の仕組みがなければ対応が難しいものです。つまり、SOC 2に必要な方針の整備と実施ができていなければ、質問票対応で苦労する可能性があります。

要するに、SOC 2準拠は大企業への提案を容易にし、同時に会社や顧客のデータを守るための確固たるベストプラクティスを実践するための指針となります。セキュリティはすべてのテクノロジー企業にとって重要な課題であり、SOC 2準拠の達成は、その取り組みを示す良い手段です。

‍

SOC 2 Type IIおよびSOC 2監査の詳細は第2部を参照ください。