SOC 2とは:データセキュリティとSOC2コンプライアンスの理解に関するガイド

公開: 2021-06-24

今日のデータ駆動型社会では、情報セキュリティはほとんどの企業の最前線にあります。 ビジネス機能をサードパーティベンダー(SaaSやクラウドコンピューティングプロバイダーなど)にアウトソーシングするなど、内部の懸念と外部の脆弱性の間には、データが危険にさらされたり、公開されたりする可能性のある方法がいくつかあります。 これにより、あらゆる規模の企業がデータの盗難、ランサムウェア、マルウェア、およびリークに対して脆弱になる可能性がありますが、大規模な企業組織が最もリスクにさらされています。

ビジネスがセキュリティを意識していて、新しいアプリやベンダーとの連携を検討している場合、または単に現在の技術スタックを再評価している場合は、最小要件としてSOC2コンプライアンスの使用を検討する必要があります。 SOC 2コンプライアンスは、サービスプロバイダーがクラウド内のデータを安全に管理できるようにするために、米国公認会計士協会(AICPA)によって定められた最も厳格で業界で認められた監査基準の1つと見なされています。 これは、競争力を維持したいSaaS企業や、企業レベルのクライアントと協力している企業にとって、急速に要件になりつつあります。企業レベルのクライアントの多くは、独自のセキュリティおよびコンプライアンス管理の対象となっています。

SOC2とは

Service Organization Control(SOC)2またはSOC 2は、企業の非財務報告および顧客データ管理のために実施されているシステム、プロセス、および制御を評価する方法についてAICPAによって作成された一連の基準です。 この監査手順は、5つの信頼サービス基準(TSC)に基づいており、すべての企業、そのビジネス慣行、および対応する統制に固有の緩いフレームワークです。 5つのTSCは、セキュリティ、可用性、処理の整合性、機密性、およびプライバシーです。

SOC 2認定は、外部監査人がベンダーがこれらのTSCの1つ以上にどのように準拠しているかについての評価を完了することができたときに取得されます。 この監査が完了すると、ベンダーは、内部統制が5つの基準に関連するリスクにどのように対処するかを概説したタイプIまたはタイプIIのSOCレポートを作成することになります。

SOC 2 Type I認定は、監査人が、関連するTSCに関連する内部統制プロセスの組織の範囲と設計を評価したことを意味します。 このレポートは、ある時点でコントロールを評価しているため、一貫したパフォーマンスは評価されておらず、タイプII認証を取得するための準備段階です。 タイプIは理論上のベースラインと考えてください。ここでは、企業の制御設計が調査および実装されていますが、「ロードテスト」は行われていません。

SOC 2 Type II認定は、監査人が指定された期間(通常は6〜12か月)にわたってこれらのコントロールの運用上の有効性を検査できた後に取得できます。 これは、制御プロセスが適切に設計され、実装されているだけでなく、一貫して実行されていることを確認するため、タイプIレポートよりも上のステップです。 タイプIIは、適切に構築され、正しく機能し、顧客にさらに信頼を提供することが証明されている現実の世界と考えてください。

SOC2認証を構成するもの

前述したように、SOC 2認定は、外部監査人がサービスプロバイダーが上記の関連するTSCの1つ以上に準拠していると判断した場合に授与されます。 これらの各基準と、それらがビジネスにどのように関連するかについて詳しく見ていきましょう。

  1. セキュリティ:この原則は、組織のシステムリソースと、物理的または論理的な不正アクセスからそれらを保護する方法に関連しています。 アクセス制御は、盗難、悪用、または誤用に加えて、情報の不正な削除、変更、または開示を防止します。 これを管理する方法は、2要素認証、ネットワークおよびアプリファイアウォール、セキュリティ違反による不正アクセスを防止する侵入検知などのセキュリティツールです。
  2. 可用性:この原則は、契約またはサービスレベル契約(SLA)で概説されているように、運用または使用可能なシステム、サービス、または製品を参照しています。 これは、プロバイダーと顧客の両方が許容可能な最小レベルで決定し、システムの使いやすさや機能ではなく、アクセスに影響を与える可能性のあるセキュリティ基準を参照します。 これを管理できる方法は、パフォーマンスモニタリング、ディザスタリカバリ、およびセキュリティインシデント処理です。
  3. 処理の整合性:この原則は、適切なデータを適切なタイミングで適切なコストで提供するという観点から、意図された目的を達成するシステムを参照しています。 正確で、完全で、タイムリーで、有効で、承認されている必要があります。 システムに入力する前にエラーが発生した場合、プロセッサの責任ではないため、これは必ずしもデータの整合性と同じではありません。 これは、品質保証(QA)手順とプロセス監視を通じて管理できます。
  4. 機密性:この原則は、機密データが保護されているという考慮に基づいています。 これは、内部の価格設定構造、知的財産、機密性の高い財務情報など、アクセスまたは開示が特に制限されているデータである可能性があります。 つまり、送信には暗号化が含まれ、ストレージにはアクセス制御、ネットワーク/アプリファイアウォールが必要であり、許可されていないユーザーを再び保護する必要があります。
  5. プライバシー:最後の原則は、会社自身のプライバシー通知、およびAICPAの一般的に受け入れられているプラ​​イバシー原則(GAPP)の基準に従って、システムの個人情報の収集、使用、保持、開示、および廃棄に触れています。 これには、名前、住所、社会保障番号などの個人を特定できる情報(PII)が含まれます。これらの情報を使用して、個人または健康記録などの機密と見なされるその他の個人データを特定できます。 これは、アクセス制御、2要素認証、および暗号化を使用して行われます。

SOC2が必要な人

前述のように、SOC 2コンプライアンスは、データのセキュリティと管理に関して最も広く受け入れられている監査基準の1つです。つまり、多くの企業は、新しいソフトウェアまたはサービスの購入を承認する前にレポートを要求します。

SOC 2レポートには、クライアントと自身の利益を保護することに取り組んでいる見込み客と現在の顧客が表示されます。 SOC2に準拠する必要のある業界は次のとおりです。

  • 経理、クラウドコンピューティング、CRM、データ分析、ドキュメントまたはレコード管理、金融サービス、人事、ITセキュリティ管理、医療請求、SaaSベンダー(Justuno!など)など。

SOC2が重要な理由

SOC 2コンプライアンスは、規制の厳しい分野で働くサービスプロバイダー、または上場企業であるクライアントと協力して、雇用のための実行可能なベンダーと見なされるために必要です。 このレポートは、データが保護されていることを見込み客に確信させ、統合によってシステムに脆弱性を導入する可能性はありません。

データのプライバシーの重要性が増し続け、より多くの規制が導入されるにつれて、SOC2コンプライアンスの重要性はますます高まっています。 それが重要である理由はいくつかあります。

  • 企業はそれなしでビジネスを失う可能性があり、逆もまた同様に、競争相手の移動が遅い場合よりも競争上の優位性を得ることができます。
  • 大規模なデータ侵害よりも安価です
  • それは会社の評判と信頼性を高めます

ただし、SOCレポートの種類はSOC 2だけではなく、他に2つあります。

  • SOC 1:財務情報が安全に処理され、他の監査人のために生成されることをユーザーに保証するための財務報告の内部統制に関するレポート。 これは、一部の組織、つまり上場企業が準拠するために実際に必要になる場合があります。
  • SOC 3:SOC 2と同じ5つのTSCについて報告しますが、SOC 2には非常に機密性の高いインフラストラクチャの概要が含まれているため、高レベルの情報しか持たない人なら誰でも公開できます。

結局のところ、企業としてあなたが探すべきSOCレポートの種類は、提供されるサービスと追求する顧客によって異なります。

まとめ

SOC 2コンプライアンスはSaaSプロバイダーの要件ではありませんが、その重要性を誇張することはできません。 独自のSOCレポートを探している企業でも、外部ベンダーとの比較を検討している企業でも、SOC監査とは何か、企業のシステムで何を探すべきか、そしてそれが組織にどのような影響を与えるかを理解することが重要です。

Justunoは、TSCでSOC 2 Type IIに準拠しています。セキュリティ、可用性、処理の整合性は、2021年にDansa、D'Arata、Soucia LLPによって認定されています。個人データと多くの場合機密情報を常に処理するSaaSプラットフォームとして、Justunoにとって重要です。セキュリティ、整合性、プライバシーの最も厳しい基準を維持し、維持していること。