AICPA SOC 2認証をご検討中ですか?Aikidoは最近、当社のシステムおよびセキュリティ管理策の設計がAICPAのSOC 2要件を満たしているかを確認するために審査を受けました。監査中にSOC 2基準について多くのことを学んだため、同じプロセスを開始する方々にとって役立つと思われるいくつかの知見を共有したいと考えています。
ISO 27001:2022に準拠するための当社のヒントをご覧ください。
Type 1 vs. Type 2
まず理解すべきは、SOC 2認証にはSOC 2 Type 1とSOC Type 2という2つの異なるタイプがあるということです。SOC認証について考え始めたばかりであれば、Type 1が良い最初のステップとなるかもしれません。取得がより迅速で、要件もそれほど厳しくありません。Type 1はType 2レポートよりも費用がかかりません。
しかし、その違いは、長期間にわたるモニタリングをカバーしていない点です。SOC 2 Type 1監査では、サイバーセキュリティ対策は特定の時点でのみチェックされます。対照的に、SOC Type 2認証プロセスでは、一定期間にわたるセキュリティコントロールがテストされます。実質的に、Type 1はセキュリティコントロールの設計をテストし、Type 2はその運用上の有効性もテストします。
注:ISAE3402 Type Iレポートについても目にすることがあるかもしれません。これはヨーロッパの代替手段ですが、実際にはほとんどの業界ではこれを気にしません。したがって、ヨーロッパのものがすでに必要だと分かっている場合を除き、SOC 2を選択してください。
SOC 2トラストサービス基準
SOC監査人は通常、SOC 2コンプライアンスに関して企業を評価するために、5つのトラストサービス基準を使用します。
- セキュリティ:不正アクセスからデータとシステムを保護します。
- 可用性:必要なときに顧客データにアクセスできることを保証します。
- 機密性:機密情報が十分に保護されていることを確認します。
- プライバシー:個人情報を保護します。
- 処理の完全性:システムがデータを正確かつ確実に処理することを保証します。
すべてのビジネスが5つの基準すべてを含める必要はありません。SOC 2監査の準備の一環として、顧客がどの基準を要求するかを決定します。
追加の業界固有の基準も存在します。例えば、クラウドサービスプロバイダーはより厳格なクライアントデータ暗号化要件を持つ一方、医療提供者は健康情報を保護する必要があります。
SOC 2認証に関する5つのヒント
1. SOC 2に「準拠」することは実際にはできません
ISO 27001とは異なり、SOC 2コンプライアンスの状態に到達することはできません。これは、潜在的な顧客が企業のセキュリティ体制を評価するために要求できるレポートです。顧客は、その企業がビジネスを行うのに十分安全であるかどうかについて、自ら判断を下す必要があります。
指定された基準への準拠を示すSOC 2レポートを受け取りますが、それは非準拠から準拠に移行することを意味するものではありません。それがビジネスパートナーにとっての価値を損なうことはありません。彼らは必要なものを理解しており、多くの場合、SOC 2監査レポートを要求します。
例えば、SOC 2は必ずしもペンテストの実施を要求しませんが、ISO 27001では強く推奨されています。主要なSOC 2コンプライアンス監視プラットフォームの一つであるVantaは、SOC 2を必須のセキュリティ基準に達したと見なされるためのハードルとして捉えることを推奨しています。しかし、そのハードルを越えた後、さらに一歩踏み込むことで、顧客は追加の安心感を高く評価するでしょう。
その意味で、SOC 2コンプライアンスレポートは、貴社がSOC 2トラストサービス基準を満たしていることを監査人に納得させたことを意味します。
2. タイプ2は、コンプライアンスの観察期間に基づいています
SOC 2 Type 2レポートは、監査ウィンドウと呼ばれる観測期間にわたってセキュリティ体制をチェックします。このウィンドウは3ヶ月から1年の間で選択できます。これはSOC 2 Type 1よりもはるかに徹底的であり、利害関係者や見込み顧客がセキュリティシステムとデータセキュリティに関してさらなる安心感を得られることを意味します。
監査ウィンドウを選択するには、監査人と相談する必要があります。これは、規制要件、顧客の期待、またはセキュリティフレームワークとコントロールをどの程度最近開発したかといった要因に依存する可能性があります。
3. SOC 2 vs. ISO 27001:潜在顧客が米国にいる場合、SOC 2が適しています!
米国の企業は通常、SOC 2レポートをより頻繁に要求しますが、ヨーロッパの企業はISO 27001に依存する傾向があります。これは、SOC 2がアメリカの標準であるためです。可能であれば、両方を取得してください。弊社も2023年にISO 27001に準拠したため、そうしました。両方できない場合は、顧客または見込み客の所在地に基づいて選択してください。
顧客が米国にいる場合、SOC 2レポートを求めている可能性が高いです。
4. 米国の監査人と協力することをお勧めします。
ヨーロッパに拠点を置いている場合、多くのSOC監査人がいます。彼らはおそらく非常に優れていますが、米国の企業にレポートを信頼してもらいたいのであれば、米国の第三者SOC 2監査人を選ぶのが理にかなっています。
5. 顧客がSOC 2レポートを要求するための安全なシステムを使用する
顧客がSOC 2レポートを要求しやすくすることは重要ですが、あまりにも簡単にしすぎないでください。ハッカーがそれを利用してセキュリティの弱点を見つける可能性があります。
メールを使用せず、レポートがダウンロードされた後に何が起こるかを追跡するツールを使用してください。誰が要求しているかを把握し、いつ要求されたかを追跡し、透かしやパスワード保護も検討することをお勧めします。最善のアプローチはNDAを使用することです。
Aikidoと継続的なSOC 2コンプライアンス
当社自身のSOC 2取得を完了した今、Aikido SecurityはすべてのSOC 2トラストサービス基準を満たしています。また、Vanta、Drata、Secureframe、Thoropassなどのコンプライアンス監視プラットフォームと提携し、現在のセキュリティコントロールに関するデータを定期的に同期することで、Aikidoとお客様が強力なセキュリティ体制を維持できるよう努めています。
当社のSOC 2 Type 2レポートを要求する
AikidoのSOC 2 Type 2証明書は、当社のセキュリティトラストセンターでご請求いただけます。
あるいは、SOC 2認証を検討中でまだ疑問がある場合は、LinkedInで私にご連絡ください。プロセスについて詳しくご説明させていただきます。
