AICPA SOC 2認証をご検討中でしょうか。Aikido 最近、当社のシステムとセキュリティ管理の設計がAICPAのSOC 2要件を満たしていることを確認するために審査を受けました。私たちは監査中にSOC 2基準について多くのことを学んだので、同じプロセスを開始する人に役立つと思われる洞察のいくつかを共有したいと思います。
ISO 27001:2022に準拠するためのヒントをお読みください。
タイプ1とタイプ2の比較
最初に理解しておくべきことは、SOC 2認証には2つの異なるタイプがあるということである:SOC 2 Type 1とSOC Type 2である。SOC認証について考え始めたばかりであれば、タイプ1が最初の一歩として良いかもしれません。取得が早く、要件もそれほど厳しくない。また、タイプ1はタイプ2よりも安価です。
しかし、その違いは、長期間にわたる監視を対象としていないことである。SOC 2タイプ1の監査では、サイバーセキュリティ対策はある特定の時期にチェックされるだけです。対照的に、SOC Type 2 の認証プロセスでは、一定期間にわたってセキュリティ管理策がテストされます。事実上、タイプ1ではセキュリティ対策の設計がテストされますが、タイプ2では運用の有効性もテストされます。
注:ISAE3402タイプI報告書についてもお読みください。これは欧州の代替案であるが、実際にはほとんどの業界では気にする必要はない。欧州の報告書が必要だと分かっているのでなければ、SOC 2をお勧めします。
SOC 2信託サービスの基準
SOC監査人は通常、5つの信託サービス基準を用いてSOC 2準拠の企業を評価する:
- セキュリティ:不正アクセスからデータとシステムを保護する。
- 可用性:必要なときに顧客データにアクセスできるようにする。
- 守秘義務:機密情報が十分に保護されていることを確認する。
- プライバシー:個人情報を保護する。
- 処理の完全性:システムがデータを正確かつ確実に処理すること。
すべての企業が5つの基準すべてを含める必要はない。SOC 2監査の準備の一部は、顧客がどの基準を要求するかを決定することである。
さらに業界特有の基準も存在する。例えば、クラウド・サービス・プロバイダーは、クライアントのデータ暗号化要件がより厳しく、ヘルスケア・プロバイダーは健康情報を保護する必要がある。
SOC 2認証取得のヒントトップ5
1.SOC2に "準拠 "することはできない。
ISO 27001とは異なり、SOC 2準拠の状態に到達することはできません。これは、潜在的な顧客が企業のセキュリティ体制を評価するために要求できるレポートです。顧客は、その企業がビジネスを行うのに十分安全かどうかを自分で判断しなければなりません。
指定された基準への準拠を証明するSOC 2報告書は取得できるが、それは非準拠から準拠になることを意味しない。だからといって、ビジネスパートナーにとっての価値が下がるわけではありません。ビジネスパートナーは何が必要かを知っており、SOC 2監査報告書を要求することが多い。
例えば、SOC 2では必ずしもペンテストを実施する必要はありませんが、ISO 27001ではペンテストの実施が強く推奨されています。SOC 2コンプライアンス・モニタリング・プラットフォームのトップ企業の1つであるVantaは、SOC 2を本質的なセキュリティ基準に達しているとみなされるために乗り越える必要のあるハードルとして扱うことを推奨しています。しかし、そのハードルを乗り越えた後、さらに1マイルを進むかもしれませんし、顧客はおそらく、さらなる安心感を評価するでしょう。
その意味で、SOC 2準拠報告書は、貴社がSOC 2信託サービスの基準を満たしていることを監査人に納得させたことを意味します。
2.タイプ2はコンプライアンス観察期間に基づく
SOC 2 タイプ 2 レポートは、監査ウィンドウと呼ばれる観察期間にわたって、セキュリティ体制をチェックする。監査期間は 3 か月から 1 年の間で選択できる。これは、SOC 2 Type 1よりもはるかに徹底したものであり、利害関係者や見込み顧客は、セキュリティ・システムとデータ・セキュリティについてさらなる安心感を得ることができる。
監査窓口を選択するには、監査人と相談する必要がある。監査期限は、規制上の要件、顧客の期待、セキュリティのフレームワークや管理策を開発した時期などの要因によって異なります。
3.SOC 2とISO 27001の比較:潜在顧客が米国にいる場合は、SOC 2が適している!
一般的に、米国の企業はSOC 2報告書を依頼することが多いが、欧州の企業はISO 27001に依存する傾向が強い。これは、SOC 2がアメリカの規格であるためです。できることなら両方取得しましょう。私たちも2023年にISO 27001に準拠しました。両方ができない場合は、顧客や見込み客がどこに拠点を置いているかに基づいて選択する。
貴社の顧客が米国にいる場合、SOC 2報告書を探している可能性が高い。
4.米国内の監査法人に依頼することをお勧めします。
欧州を拠点とする場合、SOC監査人はたくさんいる。彼らはおそらく非常に優秀ですが、米国企業に報告書を信頼してもらいたいのであれば、米国の第三者SOC 2監査人に依頼するのが理にかなっています。
5.顧客がSOC 2報告書を要求できる安全なシステムを使用する。
顧客がSOC 2報告書を簡単に請求できるようにする必要がありますが、簡単にしすぎてはいけません。ハッカーがセキュリティの弱点を特定するために利用するかもしれません。
電子メールは使わず、ダウンロード後にレポートがどうなったかを追跡できるツールを使いましょう。誰が要求したのか、いつ要求されたのかを追跡し、透かしやパスワードによる保護も検討すべきです。最善の方法はNDAの使用である。
Aikido 継続的なSOC 2コンプライアンス
現在、Aikido セキュリティは、SOC 2のすべての基準を満たしています。また、コンプライアンス・モニタリング・プラットフォーム(Vanta、Drata、Secureframe、Thoropassなど)と提携し、現在のセキュリティ管理に関するデータを定期的に同期し、Aikido当社のお客様が強固なセキュリティ体制を維持できるようにしています。
SOC 2 タイプ2レポートを請求する
セキュリティ・トラスト・センターでは、AikidoSOC 2 Type 2証明書をリクエストすることができます。
また、SOC 2認証を検討中で、まだ質問がある場合は、LinkedInで私とつながれば、そのプロセスについてより詳しくご説明させていただきます。
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
