SOC 2レポートを活用してファイルとメールデータ通信を保護する
SOC 2報告書は、組織がクライアントのデータをどれだけしっかりと保護しているかを確認するための優れた方法です。しかし、報告書を作成することは、思ったほど簡単ではないかもしれません。
SOC 2とは何ですか?
SOC 2 (システムおよび組織のコントロール2) は、サービス組織のセキュリティ、可用性、処理の完全性、機密性、プライバシーに関連するコントロールを評価する監査プロセスの一種です。SOC 2報告書は、組織のコントロール環境を評価した後、独立した監査人によって発行されます。組織は、データセキュリティと規制要件へのコンプライアンスへの取り組みを示すためにSOC 2監査を受けることがあります。SOC 2報告書は、クラウドサービスプロバイダー、Software-as-a-Service (SaaS) 企業、その他のサービスプロバイダーによって、顧客やステークホルダーにリスクを効果的に管理していることを保証するために一般的に使用されます。
誰がSOC 2報告書を必要としますか?
SOC 2報告書を必要とする組織には、クラウドサービスプロバイダー、SaaSプロバイダー、クラウドにクライアント情報を保存する組織が含まれます。SOC 2報告書は、クライアントのデータが保護され、無許可のユーザーからプライバシーが守られていることを証明します。
SOC報告書とは何ですか?
SOC報告書は、主要な攻撃面に対するセキュリティコントロールの監査を検証します。特定の業界がこれらの報告書を要求するわけではありませんが、金融サービス業界、特に銀行、投資、保険、セキュリティなどのビジネスでは、これらの報告書が必要とされることが多いです。したがって、技術サービスプロバイダーである場合(またはそのようなプロバイダーを雇用している場合)、クライアントまたはビジネスパートナーがSOC監査を要求する可能性が高いです。
システムおよび組織のコントロールフレームワーク内には、3つの異なるタイプの報告書があります:
1. SOC報告書の種類:SOC 1 vs. SOC 2 vs. SOC 3
SOC 1、2、3はすべて、米国公認会計士協会(AICPA)によって開発されたシステムおよび組織のコントロール(SOC)報告書を指します。
SOC 1報告書は、財務報告プロセスに関連する内部コントロールに焦点を当てており、特に会社の財務諸表に影響を与えるコントロールに重点を置いています。これらの報告書は、証明業務基準に関する声明(SSAE)18としても知られ、組織が財務を適切に報告するためのビジネスプロセスと技術インフラを持っていることを示しています。SOC 1の証明には、2つのタイプの報告書があります:
- SOC 1タイプI: 報告および監査コントロールの概要と、それらが必要な報告目的を達成するのにどのように役立つかを説明します
- SOC 1タイプII: 報告および監査コントロールの概要に加え、組織の運用効果または報告およびコントロール目的を達成する能力の監査を含みます
SOC 2報告書は、組織のコントロールがAICPAおよびそのトラストサービス基準(以下参照)に準拠していることを示します。SOC 2報告書は、会社の運用およびセキュリティを構成するシステムに関連する内部コントロールを評価するために設計されています。これは、会社のシステムの機密性、プライバシー、およびセキュリティに関連するコントロールの効果についての情報を提供します。SOC 2報告書は、会社の運用およびセキュリティを構成するシステムに関連する内部コントロールを評価するために設計されています。これは、会社のシステムの機密性、プライバシー、およびセキュリティに関連するコントロールの効果についての情報を提供します。
SOC 2報告書は、セキュリティとデータの機密性に関して最も一般的な報告書であり、一般的に受け入れられているデータプライバシーコントロールに準拠していることを示す際に最もよく参照されます。SOC 2認証は、クライアントやパートナーとの間で追加のセキュリティと信頼の層を提供します。したがって、金融サービス、医療、政府契約などの業界の多くのサービスプロバイダーは、要求されていなくてもSOC 2監査を追求します。
SOC 3報告書は、SOC 2報告書の公開版です。SOC 3報告書は、SOC 2報告書を要約したもので、技術的なものではなく、より一般的な聴衆(会社のステークホルダーなど)を対象としています。この報告書は、SOC 2報告書のサブセットであり、公開利用を目的としています。これは、会社のシステムが特定のセキュリティ、プライバシー、および機密性の基準を満たしていることを保証しますが、評価の具体的な詳細や結果は含まれていません。
2. SOC 2タイプII:SOCコンプライアンスの究極
SOC 2タイプIIコンプライアンスは、他のタイプのSOCコンプライアンスよりも高いレベルの保証を提供します。SOC 2タイプIIコンプライアンスには、組織の内部コントロールを最低6か月間にわたって評価する独立した監査が必要です。この監査は、組織内の技術とプロセスだけでなく、セキュリティ、可用性、処理の完全性、機密性、およびプライバシーをカバーする組織のポリシーも対象としています。この監査は、これらのコントロールが期間中に効果的に機能しているかどうかを評価し、組織がデータを保護するために適切な手段を講じていることを顧客やその他のステークホルダーに保証します。SOC 2タイプIIは、最も包括的なSOCコンプライアンスのタイプであり、組織にとって最高レベルの保証を提供します。
SOC 2報告書は、ITベンダーまたはプロバイダーが機密データを保護するために実施している広範なセキュリティおよび報告コントロールを示しています。SOC要件は、5つのトラストサービス基準に基づいています:
1. SOC 2におけるプライバシー
データが組織によって収集、使用、保持、および開示される方法。
2. SOC 2における機密性
機密として指定されたデータは、組織による使用中も機密のままです。
3. SOC 2におけるセキュリティ
データは、無許可のアクセス、盗難、侵害、または開示から保護されており、これを「共通基準」とも呼びます。
4. SOC 2における処理の完全性
すべてのデータ処理システムは、組織のニーズに基づいて完全、有効、正確、かつタイムリーです。
5. SOC 2における可用性
データは、ビジネスのプロセスの一部として可視化され、使用可能です。
これらの基準は、さまざまな形式のセキュリティコントロールに対応しており、証明は、組織がこれらのコントロールを実施していることを示すものです。
すべてのSOC 2報告書がこれらの基準すべてに対応または証明しているわけではありません。しかし、各基準は、組織のITシステムの完全性と厳格さ(その特定の基準に関連するものとして)を示しています。セキュリティ基準は、特に初回の証明において、最も頻繁に監査されます。
さらに、SOC 2報告書には2つの異なるタイプがあります:
- タイプIは、特定の「時点」での組織のシステムに関する「スナップショット」を提供し、コンプライアンスを証明します。
- タイプIIは、セキュリティコントロール、内部ポリシー、および手順の徹底的な調査を含む、より詳細な報告書を提供します。タイプII報告書は、より完全な形の証明と見なされることが多いです。
SOC 2タイプII報告書の範囲は何ですか?
SOC 2タイプII報告書の範囲は、サービス組織のシステムが、適用されるトラストサービスの原則と基準を満たすように設計および運用されているかに焦点を当てています。これらの原則と基準は、顧客データのセキュリティ、可用性、処理の完全性、機密性、およびプライバシーに関連しています。SOC 2タイプII報告書は、サービス組織が顧客データを保護するために実施したコントロールの設計と運用の詳細な調査を提供します。サービス組織は、コントロールが適切に設計され、トラストサービス基準を満たすように効果的に運用されていることを示さなければなりません。
SOC 2タイプII報告書は、従来のシステムおよび/または財務監査、侵入テスト、脆弱性評価などの他の監査または保証サービスの代替を意図しているわけではないことに注意してください。代わりに、これらのサービスを補完し、サービス組織の情報システムのコントロールと運用に焦点を当てています。これにより、サービス組織がトラストサービスの原則と基準を遵守していることを保証し、顧客データのセキュリティ、可用性、処理の完全性、機密性、およびプライバシーを確保するのに役立ちます。
SOC 2認証を取得するプロセス
SOC 2認証を取得したい、または必要な組織のための「クイック&ダーティ」チェックリストはこちらです:
1. SOC 2の要件を理解する
SOC 2コンプライアンスのためのトラストサービス基準(TSC)の基準と基準に精通してください。
2. SOC 2の事前評価を完了する
現在のポリシー、手順、およびSOC 2コンプライアンスに関連するその他の領域の独立した監査またはレビューを受けてください。
3. SOC 2のアクションプランを作成する
必要なすべてのステップとタイムラインを含む、SOC 2コンプライアンスを達成するためのロードマップを作成してください。
4. SOC 2の監査フレームワークを実施する
TSCの要件に一致するポリシーと手順のシステムを開発および維持してください。これには、使用される技術のリスク評価、セキュリティ設定のレビュー、および必要な変更の実施が含まれます。
5. SOC 2の監査を受ける
通常、独立した第三者監査会社によって実施されます。監査は、コントロールとプロセスをレビューし、最終的にSOC 2コンプライアンスの基準を満たしているかどうかを判断します。
6. SOC 2のコンプライアンスを監視および維持する
SOC 2基準に準拠していることを確認するために、システムコントロールとプロセスを定期的にレビューおよび更新してください。
SOC 2タイプII報告書の有効期間はどのくらいですか?
SOC 2タイプII報告書は、発行日から1年間有効です。ただし、監査されたシステムまたは手順に重大な変更がない場合に限ります。報告書は、監査の範囲内で評価された特定のコンポーネントとプロセスにのみ適用され、組織全体のセキュリティ姿勢の一般的な承認ではありません。報告書の有効性を維持するために、組織は監査の一部として評価されたすべてのコントロールが1年間にわたって効果的であることを確認する必要があります。監査されたシステムまたは手順に変更が加えられた場合、それらの変更を反映するために更新された報告書が必要です。
SOC 2タイプII監査とは何ですか?
SOC 2タイプII監査は、サービス組織のシステムのセキュリティ、可用性、処理の完全性、機密性、およびプライバシーに関連するコントロールとプロセスの詳細なレビューです。これは、タイプI監査よりも具体的で焦点を絞ったものであり、複数の場所、プロセス、およびシステムを含むことがあります。監査は少なくとも6か月間にわたり、監査人がその期間にわたってサービス組織の詳細をレビューできるようにします。さらに、監査人は、実施されているコントロールの設計と運用の効果を評価します。
SOC 2コンプライアンスのベストプラクティス
監査の範囲を事前に決定することが重要です。すべてのビジネスまたはビジネス契約がすべてのトラスト基準に従う必要があるわけではありません(ただし、セキュリティは最もよく使用されます)。監査の範囲やニーズを理解していない場合、組織は必要のない証明を追い求めることで貴重な時間とリソースを浪費する可能性があります。
監査を開始する前に、技術インフラを理解することが不可欠です。たとえば、コンプライアンスに準拠していないソフトウェアを使用している場合、当然のことながらアップグレードが必要です。サードパーティのプラットフォームやSaaS製品を使用している場合、それらのソリューションはコンプライアンスに準拠している必要があります。
ただし、SOC 2証明が必要ない場合もあります。たとえば、医療分野で働くIT企業は、HIPAA要件を満たす必要があり、これが十分である場合があります。病院や保険会社のような対象事業体(CE)は、それでもなお、セキュリティシステムに対する追加の監視を確保するためにSOC監査を要求することがあります。支払い情報を扱う金融サービス会社についても同様です。彼らはPayment Card Industry Data Security Standard (PCI DSS) 要件を満たしているかもしれませんが、追加の信頼性を得るためにSOC 2監査を受けることを選択することもあります。
KiteworksプライベートコンテンツネットワークSOC 2認証取得済み
SOC 2認証を取得した機密コンテンツ通信を必要とする組織にとって、Kiteworksは優れた選択肢です。Kiteworksは6年連続でSOC 2認証を取得しており、FedRAMP中程度の影響レベルの認可、ISO 27001、27017、および27018、Cyber Essentials Plus、および情報セキュリティ登録評価者プログラム(IRAP)のPROTECTEDレベルのコントロールに対する評価など、さまざまなコンプライアンスの成果を誇っています。
KiteworksのSOC 2認証に貢献する重要な要素の1つは、プライベートコンテンツネットワークを包む強化された仮想アプライアンスの使用です。Kiteworksの強化された仮想アプライアンスは、ファイアウォール、侵入検知および防止システム、エンドポイント保護など、複数のセキュリティ層を採用しており、サイバー攻撃の脆弱性の悪用と影響の深刻度を低減します。Kiteworksはまた、AICPAが定めた5つのカテゴリー(セキュリティ、可用性、処理の完全性、機密性、プライバシー)で厳格なSOC 2コンプライアンス基準を満たしています。
セキュリティ対策は、プラットフォームが無許可のアクセスから保護されていることを保証し、疑わしい活動がないか継続的に監視および監査されています。可用性は24/7/365で保証されており、プラットフォームは完全、正確、タイムリー、かつ承認された処理の完全性を誇っています。機密情報は保護され、個人情報はAICPAおよびCICAのガイドラインに従って最大限の注意を払って取り扱われます。
厳格なSOC 2コンプライアンス基準に加えて、Kiteworksはクライアントデータを保護するために継続的な監視と報告を行っています。これには、コンテンツの保存、アクセス、および使用の可視性、ならびに詳細で監査可能な報告が含まれます。Kiteworksのデータ保護は、SOC 2コンプライアンス認証およびSAS 70タイプIIに基づく定期的な外部評価によっても検証されています。
Kiteworksのプライベートコンテンツネットワークについて詳しく知りたい組織は、カスタムデモを今日スケジュールすることができます。