セキュリティ意識の高い多くの企業がSaaSプロバイダーを探している場合、SOC 2コンプライアンスは最低限の要求事項です。
この記事では、SOC 2とは何かを確認し、SOC 2コンプライアンスの必須要件を説明します。 SOC 2は、ビジネスパートナーやベンダーがデータを安全に管理し、顧客の利益やプライバシーを保護できるかどうかを判断するために開発されました。 その手順の中で、SOC 2レポートには2つのタイプがあります。
- SOC 2 Type 1では、セキュリティコンプライアンスのために導入しているシステムとコントロールを詳細に説明しています。 監査人は、証拠を確認し、関連する信頼原則を満たしているかどうかを検証します。
- SOC 2 Type 2は、望ましいレベルのデータセキュリティと管理を提供するためのプロセスが、一定期間にわたってどれだけ効果的であるかを評価します。
SOC 2コンプライアンスの必須要件とは?
SOC 2コンプライアンスは、顧客データを正しく管理するための具体的な基準に基づいており、5つのトラストサービスカテゴリー(セキュリティ、可用性、処理の完全性、機密性、およびプライバシー)で構成されています。
セキュリティはSOC 2準拠のベースラインであり、5つのトラストサービスカテゴリーに共通する幅広い基準で構成されています。
セキュリティの原則は、SOC 2準拠の対象となるサービスの資産やデータを不正使用から保護することに焦点を当てています。 悪意のある攻撃やデータの不正な持ち出し、会社のソフトウェアの悪用、承認されていない改変、会社の情報の開示などを防ぐために、アクセスコントロールを導入することができます。
セキュリティに関しては、最も基本的なSOC 2準拠のチェックリスト(監査人を満足させるもの)は、「Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy Document」に詳細が記載されており、これらのコントロールに対応する必要があります。
- 論理的および物理的なアクセス制御-どのように論理的および物理的なアクセスを制限および管理するか。
- システム運用-設定された手順からの逸脱を検出し、緩和するために、どのようにシステム運用を管理するか
- 変更管理-管理された変更管理プロセスをどのように実施し、不正な変更を防止するか
- リスク軽減-事業の中断やベンダーサービスの使用に対処する際に、どのようにリスク軽減活動を特定し、展開するか
SOC 2の基準の中には、非常に広範でポリシーに基づいたものもあれば、技術的なものもあります。 しかし、技術的な基準であっても、あなたが何をすべきかを正確に教えてくれるわけではありません。 しかし、技術的な基準であっても、具体的に何をすべきかはわかりません。 各基準の目的を達成するためには、各企業がさまざまなコントロールを実施することが必要です。
例えば、「論理的および物理的なアクセスコントロール」の基準を満たすために、ある企業は新しいオンボーディングプロセス、二要素認証、サポートを行う際の顧客データのダウンロードを防止するシステムを導入するかもしれませんし、別の企業はデータセンターへのアクセスを制限し、四半期ごとに権限の見直しを行い、本番システムで行われていることを厳密に監査するかもしれません。 どの組み合わせも完璧ではありませんし、特に必要なものでもありません。
前述の共通の基準に対応すれば、セキュリティの原則をカバーしたことになり、これはSOC 2に準拠するための最低限の要件です。
その他のSOC 2コンプライアンス要件とは?
セキュリティがカバーされていれば、ビジネスを引き付けることができるはずです。 しかし、金融や銀行など、プライバシーや機密性が重視される業界で事業を行っている場合は、より高い水準のコンプライアンスを実現する必要があります。
基本的なセキュリティの原則を超えて、以下の他のトラスト サービスのカテゴリーの追加基準に準拠することができます。
可用性
可用性の原則は、インフラストラクチャ、ソフトウェア、およびデータを監視および維持し、ビジネス目標を達成するために必要な処理能力とシステム コンポーネントを確保するという、システムのアクセシビリティに焦点を当てています。
このカテゴリにおけるSOC 2のコンプライアンス要件には、以下のものがあります。
- 現在の使用状況を測定する-容量管理のためのベースラインを確立し、容量の制約によって生じる可用性の低下のリスクを評価するために使用できます。
- 環境上の脅威の特定-悪天候、火災、停電、環境制御システムの故障など、システムの可用性に影響を与える可能性のある環境上の脅威を評価する。
処理の整合性
処理の整合性の原則は、適切なデータを適切な価格で適切な時間に提供することに焦点を当てています。
このカテゴリにおけるSOC 2準拠の要件には以下のものがあります。
- システム入力の記録の作成と維持-システム入力アクティビティの正確な記録をコンパイルする。
- 処理活動の定義-製品やサービスが仕様を満たしていることを確認するための処理活動を定義する。
機密性
機密性の原則は、特定の人や組織だけが閲覧できるように、プライベートなデータのアクセスと開示を制限することに焦点を当てています。
このカテゴリにおけるSOC 2のコンプライアンス要件には、以下のものが含まれます。
- 機密情報の識別-機密情報を受領または作成したときに識別する手順を導入し、どのくらいの期間保持すべきかを決定する。
- 機密情報の破棄-破棄のために識別された後、機密情報を消去するための手順を導入する。
プライバシー
プライバシーの原則は、システムがクライアントのプライバシーポリシーやAICPAの一般に認められたプライバシー原則(GAPP)を遵守することに焦点を当てています。
このカテゴリのSOC 2準拠の要件には、以下のものがあります。
- 明確で目立つ言語を使用する-企業のプライバシー通知の言語は、明確で首尾一貫しており、誤解の余地がありません。
- 信頼できるソースから情報を収集する-企業は、第三者のデータソースが信頼できるものであることを確認し、データ収集プロセスを公正かつ合法的に運営する。
ソフトウェアを使用してSOC 2コンプライアンスを迅速に進めることができるか
SOC 2は、技術的なタスクではなく、主にポリシーとプロセスに焦点を当てています。
SOC 2の要件は規定されていないので、SOC 2に準拠するためのプロセスと厳格な管理を考案し、その管理を容易に実施できるツールを使用する必要があります。
例えば、コントロールの1つとして、Linuxシステムへのアクセスを数人の特定の管理者に限定しようとしたとします。
実施するすべてのコントロールについて、監査人に提出する証拠を考えてみてください。 コントロールを持つことはSOC 2コンプライアンス要件の一部に過ぎず、それが効果的に機能していることを実証する必要があることを忘れないでください。
UptycsはどのようにSOC 2準拠を支援するか
Uptycsは、OSクエリを使用したセキュリティ分析ソリューションであり、以下のように監査とコンプライアンスを支援します。
- ワークステーションやサーバーエンドポイントのホストレベルでの構成状態やネットワークアクティビティを追跡したり、Amazon Web Services全体のアクティビティを監視したりすることができます。 例えば、Uptycsを使用してシステム上のネットワークアクティビティを分析し、ファイアウォールが期待通りに動作していることを確認することができます。
- 義務の分離を実施し、これが侵害されているかどうかを検出するために、ファイルの整合性監視を実行します。
さらに、Uptycsは脅威インテリジェンスデータを内蔵しており、Mac、Linux、Windowsの侵入検知システムとして機能するため、SOC 2のコントロールの1つとしてツール自体を活用することができます。
Uptycsが監査やコンプライアンスの要求にどのように応えることができるか、短いデモビデオをご覧になるか、無料トライアルをお申し込みください。