SOC 2 そっくつー
簡単に言うとこんな感じ!
「このクラウドサービス、本当にセキュリティちゃんとしてる?」って確認したいとき、第三者の監査法人が「ちゃんとしてますよ」とお墨付きを出してくれる仕組みだよ。特にSaaSを企業に売るときに「SOC 2取得済みです」って言えると、お客さんがグッと安心してくれるんだ!
SOC 2とは
SOC 2(System and Organization Controls 2)は、クラウドサービスやデータセンターなどのサービス提供者が、顧客のデータを適切に管理・保護しているかどうかを、独立した公認会計士(または監査法人)が審査・報告する第三者認証の仕組みです。米国の会計士協会(AICPA)が定めたフレームワークで、特にSaaS企業やITサービス企業が取得を求められることが増えています。
SOC 2は「トラストサービス基準(TSC: Trust Services Criteria)」と呼ばれる5つの観点に基づいて評価されます。企業がどれだけセキュリティポリシーを文書化し、実際に運用しているかを監査するもので、単なる「自己申告」ではなく外部の専門家による客観的な検証が行われる点が大きな特徴です。
日本では法的な義務ではありませんが、グローバルな企業との取引や、米国市場への進出を目指すSaaS企業にとっては「取引開始の前提条件」として求められるケースが急増しています。「御社のセキュリティ体制を証明してください」と言われたとき、SOC 2レポートを提示できるかどうかが商談の分岐点になることも珍しくありません。
SOC 2の5つのトラストサービス基準
SOC 2の評価軸となる5つの基準(TSC)を理解しておくと、監査の範囲がイメージしやすくなります。
| 基準名 | 英語名 | 主な評価内容 |
|---|---|---|
| セキュリティ | Security | 不正アクセス・不正利用からシステムを守る仕組み(必須) |
| 可用性 | Availability | 合意したレベルでシステムが使えるか |
| 処理の完全性 | Processing Integrity | データ処理が正確・完全・タイムリーに行われているか |
| 機密性 | Confidentiality | 機密情報が適切に保護・廃棄されているか |
| プライバシー | Privacy | 個人情報の収集・利用・保持・廃棄が適切か |
ポイント: 「セキュリティ」のみが必須基準で、残り4つは顧客のニーズや自社サービスの特性に応じて任意で追加します。多くの企業は「セキュリティ+可用性+機密性」の3つをセットで取得します。
SOC 1・SOC 2・SOC 3の違い
「SOC」シリーズには3種類あり、混同しやすいので整理しておきましょう。
| 種類 | 対象 | 主な用途 |
|---|---|---|
| SOC 1 | 財務報告に関する内部統制 | 経理・給与計算などの財務系サービス |
| SOC 2 | セキュリティ・可用性などの運用統制 | SaaS・クラウドサービス全般 |
| SOC 3 | SOC 2の概要版(公開向け) | Webサイトで「取得済み」を広くアピールしたいとき |
Type I と Type II の違い
SOC 2にはさらにType IとType IIの2種類があります。
| 種類 | 内容 | 信頼度 |
|---|---|---|
| Type I | 「ある特定の時点」でコントロールが適切に設計されているか | ★★☆ |
| Type II | 「一定期間(通常6〜12ヶ月)」にわたって継続的に運用されているか | ★★★ |
取引先から求められる場合、Type IIのほうが信頼性が高いとみなされ、エンタープライズ向け商談では「Type IIレポートを提出してください」と指定されることがほとんどです。
歴史と背景
- 1992年 — AICPAが「SAS 70」(Statement on Auditing Standards No.70)を制定。財務系サービス向けの内部統制報告の走りとなる
- 2010年 — クラウドサービスの普及に伴い、財務目的に限らないセキュリティ評価のニーズが高まる
- 2011年 — AICPAが「SSAE 16」と「SOC 1/2/3」フレームワークを導入。SAS 70を置き換える形で登場
- 2017年 — 「SSAE 18」に改訂。より厳密な管理要件が追加される
- 2018年以降 — GDPRやCCPAなどのプライバシー規制の強化に伴い、SOC 2のプライバシー基準への注目が急上昇
- 2020年代 — SaaS市場の拡大とともに、日系企業が海外展開・グローバル取引をする際の「必須資格」として日本国内でも認知が急拡大
SOC 2と他のセキュリティ認証との比較
SOC 2と似た目的を持つセキュリティ認証がいくつかあります。どれを取得すべきかは、ビジネスの市場や顧客によって異なります。
実務上の使い分け:
- 北米・グローバルのSaaS顧客向け → SOC 2 Type II が最優先
- 日本国内の顧客向け → ISMS(ISO 27001)が認知度・要求頻度ともに高い
- クレジットカード決済を扱う → PCI DSS は業種問わず必須
- 複数市場を狙う → SOC 2とISO 27001の両方取得が理想的(統制の重複が多く、同時進行しやすい)
SOC 2取得の流れ
SOC 2の審査を受けるまでには、大きく3つのフェーズがあります。
フェーズ1: 準備(3〜6ヶ月)
├── スコープ(対象範囲)の決定
├── ギャップ分析(現状と基準のズレを把握)
├── ポリシー・手順書の整備
└── セキュリティコントロールの実装
フェーズ2: 監視期間(通常6〜12ヶ月)
├── ログ管理・アクセス管理の継続運用
├── インシデント対応訓練
├── ベンダー管理の記録
└── 内部監査の実施
フェーズ3: 外部監査(1〜2ヶ月)
├── 監査法人による証拠収集
├── テスト・インタビュー
└── SOC 2レポート発行コスト感: 一般的に初回取得には数百万〜1,000万円以上のコストがかかります(コンサルティング費用+監査費用)。ただし「Drata」「Vanta」などのコンプライアンス自動化ツールを活用すると、証拠収集の手間を大幅に削減できます。
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| AICPA TSC 2017 | SOC 2の評価基準「トラストサービス基準(Trust Services Criteria)」の最新版 |
| SSAE 18 | SOC 2レポートの発行根拠となる監査基準(Statements on Standards for Attestation Engagements) |
| ISO/IEC 27001 | SOC 2と統制内容に重複が多い国際的な情報セキュリティマネジメント規格 |
関連用語
- ISMSと情報セキュリティ — ISO 27001に基づく情報セキュリティマネジメントシステム。日本国内での認知度が高い
- PCI DSS — クレジットカード情報を扱う事業者に求められるセキュリティ基準
- ゼロトラスト — 「社内ネットワークも信頼しない」という現代のセキュリティ設計思想
- クラウドセキュリティ — クラウド環境特有のリスクと対策の総称
- 内部統制 — 組織内のルール・プロセスが適切に機能しているかを管理する仕組み
- SaaS — インターネット経由でソフトウェアを提供するサービス形態。SOC 2の主な取得対象
- 脆弱性管理 — システムの弱点を継続的に発見・修正するプロセス
- コンプライアンス — 法令・規制・社内規程への準拠。SOC 2はその証明手段の一つ