SOC2 (Service and Organization Controls 2) 保証報告書
概要
業務で必要になったため、「SOC2 (Service and Organization Controls 2) 保証報告書」について簡単にまとめ、参考サイトも貼っておきます。
- SOC2保証報告書の提示が「取引条件」に入る日は近いかもしれない | cloudpack.media
- https://blog.kaspersky.co.jp/soc2-audit/23960/
- SOC2報告書|サービス:オペレーショナルリスク|デロイト トーマツ グループ|Deloitte
- サービスの統制を保証する「SOC2」の概要をざっくりまとめてみた | Developers.IO
上記サイトから私の興味があった点だけピックアップしたものですので、詳細は掘り下げていただければと思います。
SOC2 とは
SOC2(Service and Organization Controls 2)は、受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持に係る内部統制の監査で、サイバーセキュリティのリスクマネジメント統制に関する報告書の実質的なグローバルスタンダードです。
簡単に言うと、この報告書は受託業務のサービス提供会社の内部統制について、独立した監査法人や公認会計士が第三者の立場から検証した結果が記されたものです。
したがって、外部のクラウドサービスを利用するにあたって、そのサービスの運営会社を業務委託先として評価する際に、内部統制の視点からの有用な報告書だと言えます。
ISMS との違い
日本では ISMS(情報セキュリティマネジメントシステム)の認証を取得している企業も多いかと思います。 定期的に、ISMS 監査があるのでデスク周りに機密書類を置かないようにしてください、などのアナウンスが回ってくることもあるでしょう。
まずSOC2は、外部から『保証報告書として提供』されるものであり、ISMSのような何らかの「認証を取得する」ものではありません。ここがピンとこない方もいるのでは。
ISMSは、情報セキュリティに対するマネジメントシステムの仕組みが、そのクラウドサービスを運営している企業にある一定以上の水準で『存在する』ことを証明しているだけで、そのサービスそのものがどういう内部統制で運営されているかを知ることができません。また、監査で部分的に問題が見つかっても改善されていれば証明書が発行されます。一体どのような不適合が見つかったのか、何がどう改善されたのかを知る手段がありません。
SOC2保証報告書は、内部統制の仕組みが詳細に記述されているため、入手して読めば、そのクラウドサービスのセキュリティ設計や運用に関する具体的な手続きについて知ることができます。また、監査で検出された内容がありのまま記載されています。原則として、報告書はそのまま提出するルール(抜粋等はNG)なので、そのサービスを利用して問題ないかどうかの判断材料として有効だと言えるでしょう。
SOC2 保証報告書は ISMS のように認証ではないため、実際のドキュメントは数十ページにわたる監査項目と実際の内部統制の仕組みの詳細が細かく記されています。
ですのでクラウドのシステム構成、ネットワークアーキテクチャや HR のロール(オンボーディング、トレーニングやセパレーション)、さらに様々な IT オペレーションについての仕組みが記述されています。
そのため、ISMS のように「内部統制の仕組みがある」ことが証明されているだけの認証よりも、もう一段深く踏み込んだ報告となっています。
まとめ
これから SOC2 保証報告書を取得しようとしている方だけでなく、SOC2 を取得している企業のサービスを利用している方も いるでしょう。
よくセキュリティ部門から聞かれるのが「ISMS と何が違うの? ISMS 認証取得していないけど大丈夫(SOC2で大丈夫)?」といったことかと思いますが、基本的に ISMS と同等に(か、それ以上に)そのサービスの運営会社を業務委託先として評価する際に有用なものです。
ほとんどこちらの記事から抜粋させていただきました。
cloudpack.media