サイバーセキュリティフレームワークは、企業がセキュリティ体制を改善するために従う必要がある原則とベストプラクティスを定めます。SOC 2はこうしたフレームワークの1つであり、顧客データをクラウドサービスに保存して処理するテクノロジー企業に適用します。
SOC 2(Service Organization Control Type 2)は、米国公認会計士協会(AICPA)が開発したサイバーセキュリティ・コンプライアンス・フレームワークです。SOC 2の主な目的は、サードパーティのサービスプロバイダがクライアントデータをセキュアな方法で保存および処理できるようにすることです。
このフレームワークは、セキュリティ、プライバシー、可用性、機密性、および処理の完全性という5つのトラストサービス原則に基づいて、高水準のデータセキュリティを維持するための基準を指定します。
一連の条件がすべての企業に対して事前定義される他のコンプライアンスフレームワークとは違い、SOC 2要件は組織ごとに異なります。各組織は、独自の運用モデルに応じて、独自のセキュリティ制御を5つのトラスト原則に準拠するように策定する必要があります。
セキュリティ。大まかに言えば、セキュリティの原則は、不正アクセスに対するデータおよびシステムの保護を強制します。そのためには、場合によっては、アクセス制御リストやID管理システムを使用するなど、何らかの形式のアクセス制御を実装する必要があります。
また、より厳格なアウトバウンドルールとインバウンドルールを導入してファイアウォールを強化し、侵入検出とリカバリシステムを導入し、多要素認証を実施する必要がある場合もあります。
機密性。データは、特定グループのメンバーのみがアクセスする必要がある場合、機密と見なされます。これには、アプリケーションのソースコード、ユーザ名とパスワード、クレジットカード情報、事業計画などが含まれます。
この原則に準拠するため、機密データを保管時と転送中の両方で暗号化する必要があります。さらに、機密データへのアクセスを提供しながら、最小特権の原則に準拠します。つまり、作業を行う必要がある人に必要最小限の権限/権利を付与します。
可用性。システムは、常に可用性SLAを満たす必要があります。これには、高負荷でも壊れることがない、本質的にフォールトトレラントなシステムを構築する必要があります。また、組織がネットワーク監視システムに投資し、ディザスタリカバリ計画を策定することも求められます。
プライバシー。個人情報(PII)の収集、保存、処理、および開示は、「一般に公正妥当と認められたプライバシー原則(GAPP)」でAICPAによって定義された条件に準ずると共に、組織のデータ使用とプライバシーのポリシーに準拠する必要があります。
PIIは、名前、年齢、電話番号、クレジットカード情報、社会保障番号など、個人を一意に識別するために使用できる情報です。組織は、不正アクセスからPIIを保護するために厳しい統制を実行する必要があります。
処理の完全性。すべてのシステムは常に設計通りに機能し、遅延、脆弱性、エラー、またはバグがない状態でなければなりません。この原則に準拠するため、品質保証と、パフォーマンス監視のアプリケーションおよび手順が不可欠です。
SOC 2コンプライアンスには、大きく分けるとタイプ1とタイプ2の2種類があります。
タイプ1は「特定の時点」に、組織が標準システムおよびプロセスを使用していることを証明します。一方、タイプ2は、一定期間(通常は12ヶ月間)のコンプライアンスのアテステーションです。
タイプ1レポートは、組織が使用する統制について記述し、統制が適切に設計および実行されていることを裏付けます。タイプ2レポートには、タイプ1レポートに含まれるすべての内容と、統制が運用上有効であるというアテステーションを含めます。
SOCレポートには主にSOC 1、SOC 2、およびSOC 3の3種類があります。最初の2つが最も一般的であり、テクノロジー企業には2番目が最も関連性があります。
SOC 1は財務レポート作成を中心に展開するのに対して、SOC 2はコンプライアンスとビジネス運営により重点を置きます。SOC 3はSOC 2に手を加え、SOC 2の結果を一般の人々が理解できる形式で報告します。詳細については、次の表で確認できます。
SOC 1
SOC 2
SOC 3
目的
財務統制について報告する
セキュリティ、機密性、可用性、プライバシー、および処理の完全性という5つのトラスト原則に準拠していることを報告する
SOC 2と同じ統制を報告するが、一般の人々に分かる方法で報告する
対象者
主として監査人
顧客およびその他のステークホルダー
一般人
例
財務データを処理するほとんどの企業でSOC 1コンプライアンスが必要になる
database-as-a-service企業は、複数の顧客に属している機密データをホストする前に、SOC 2コンプライアンスを達成することが求められる
SOC 2コンプライアンスを達成する組織は、SOC 3レポートを作成して、データセキュリティとプライバシーに真剣に取り組んでいることを一般の人々に知らせることもできる
利点
貴社のコンプライアンスについてより多くの人に知ってもらうためのマーケティング資料を作成する
SOC 2コンプライアンスとIAM(IDおよびアクセス管理)は密接に関連しています。IAMを何らかの形で導入しない限り、SOC 2コンプライアンス達成は不可能であると言っても過言ではないでしょう。IAMシステムは、SOC 2のセキュリティ、機密性、およびプライバシー原則の基本である、アクセス制御の実行に役立ちます。
最新のIAMアプリケーションは、多要素認証、IDフェデレーション、パスワード自動リセット、IDライフサイクル管理、きめ細かいアクセス制御などの機能を備えているので、SOC 2準拠までの過程を早めることができます。
SOC 2コンプライアンスは、テクノロジー企業がデータセキュリティとプライバシーに真剣に取り組んでいることを証明するのに役立ちます。SaaSプロバイダを探す際は必ず、SOC 2コンプライアンスへの準拠をチェックリストの最上位に加えることを忘れないでください。