SOC 2 そっくつー
SOC 2セキュリティ監査トラストサービス基準AICPAクラウドセキュリティ
SOC 2について教えて
簡単に言うとこんな感じ!
「うちのクラウドサービスはちゃんと安全に管理されてますよ」を第三者の監査法人が証明する報告書のこと。SaaS企業が取引先に「信頼してください」と示すための定番の証明書だよ!
SOC 2とは
SOC 2(Service Organization Control 2)とは、クラウドやSaaSなどのサービス組織が、顧客のデータを安全・適切に管理していることを、独立した監査法人が検証する報告書の種類です。米国公認会計士協会(AICPA)が定めたトラストサービス基準(TSC)に基づいて審査されます。
SOC 2レポートは特に北米の企業間取引で重視されます。「あなたのSaaSを使いたいが、セキュリティは大丈夫?」と問われたとき、SOC 2レポートを提示することで第三者による客観的な証拠を示せます。日本でも外資系企業やグローバルに展開するSaaS企業の間で取得が広まっています。
5つのトラストサービス基準
| 基準 | 内容 | 必須/任意 |
|---|---|---|
| セキュリティ(Security) | 不正アクセス・不正使用・改ざんへの対策 | 必須 |
| 可用性(Availability) | 合意した水準でシステムを利用可能にする | 任意 |
| 処理の完全性(Processing Integrity) | 処理が完全・正確・適時である | 任意 |
| 機密性(Confidentiality) | 機密として指定された情報を保護する | 任意 |
| プライバシー(Privacy) | 個人情報を方針に従い収集・使用・保持・開示する | 任意 |
Type I と Type II の違い
| 種類 | 内容 | 特徴 |
|---|---|---|
| SOC 2 Type I | 特定の時点でコントロール(管理策)が設計されているかを検証 | 取得が早い、点の証明 |
| SOC 2 Type II | 一定期間(6〜12ヶ月)にわたりコントロールが効果的に運用されているかを検証 | 信頼性が高い、線の証明 |
取引先から求められる場合、多くはSOC 2 Type IIが求められます。
歴史と背景
SOC報告書はもともと財務報告に関するSAS 70から発展しました。クラウド・SaaSの台頭に伴い「データを預けるサービスの信頼性をどう評価するか」の需要が高まり、AICPAが2011年にSOC 2基準を整備。2017年に現行のトラストサービス基準(TSC)へ改訂されました。今日では世界中の主要SaaSベンダーがSOC 2 Type IIを取得・公開するのが業界標準になっています。
ISO 27001との比較
関連用語
- ISO 27001・27017 — 国際標準のセキュリティ認証
- FedRAMP — 米国政府向けクラウドセキュリティ認定
- ISMAP — 日本の政府向けクラウドセキュリティ評価制度