SOC 2 [知っておくべきすべて]
SOC 2監査を受ける予定ですか、それとも準備を進めていますか?監査前に考慮すべき重要なポイントをすべて解説します。
SOC 2コンプライアンスとは何ですか?SOC 2は、企業のセキュリティ、可用性、処理の整合性、機密性、プライバシー管理をチェックするコンプライアンス規格です。これらの基準は米国公認会計士協会(AICPA)によって作成され、独立したCPAまたは企業によってチェックされます。
![SOC 2 [知っておくべきすべて]](/wp-content/uploads/2022/01/SOC2-Glossary.webp "SOC 2 [知っておくべきすべて]")
システム組織管理2コンプライアンスとは?
政府はすべてのセキュリティコンプライアンスフレームワークを義務付けているわけではありません。さまざまな業界や組織が、参加する企業や組織が直面する可能性のある課題やリスクに対処するための特定のフレームワークを提案しています。これらのフレームワークの1つであるSOC 2フレームワークは、主に金融サービス業界で、機密ユーザー情報を扱う企業のリスクとセキュリティ管理をサポートします。
AICPAは金融業界の問題に対処するためにSOCコンプライアンスを作成しましたが、この規格はさまざまな企業にとって有用なアプリケーションを持っています。
SOC 2監査とは?
監査を受けることはしばしば「認証」または「証明」と呼ばれ、監査人が作成した報告書は組織のコンプライアンスを証明します。組織がSOC 2コンプライアンス監査を受けることを選択した場合、次の2つの報告書のいずれかを完了する必要があります:
- タイプI報告書は、コンプライアンス要件を満たすための適合性に関連する組織のセキュリティおよびITシステムを説明します。
- タイプII報告書は、要件に基づく組織のシステムの実際の有効性を詳述します。
主な違いは、タイプIは実際の管理策のみを報告し、タイプIIは特定の期間内の運用コンプライアンスを証明することです。
SOC 2監査は、一般的なコンプライアンス達成として、業界標準の特定の要件の一部として、または提案依頼書(RFP)として、組織のニーズに基づいています。監査はまた、特定のセキュリティとプライバシーの懸念をカバーする5つの「信頼原則」に分かれています。
各監査には、信頼原則の要件を満たしているかどうかを確認するための管理策と能力の少なくとも1つ以上の検査が含まれます。
5つの信頼原則は次のとおりです:
- セキュリティ: セキュリティ原則はサイバーセキュリティ、侵害や不正アクセスからの保護、システムの整合性の維持に関するものです。この原則の下で期待される管理策には、暗号化標準、メールおよびファイル転送要件、ソフトウェアおよびハードウェアのセキュリティ、IDおよびアクセス管理、境界セキュリティ対策が含まれます。このカテゴリーの管理策には、ファイアウォール、アンチウイルスソフトウェア、多要素認証(MFA)が含まれます。監査に何が含まれていても、組織は常にセキュリティ評価を受ける必要があります。
- 可用性: 可用性には、ユーザーや従業員が必要なときに情報に安全かつ効果的にアクセスできるようにするためのすべての技術と実践が含まれます。これには、組織のクライアントへの可用性が含まれ、内部システムからのものと、ベンダーとのサービスレベル契約(SLA)によって規定されるものがあります。
- 整合性: デジタルシステムが適切に機能し、そこに含まれるデータと一致していることが重要です。システムには、すべてのデータが完全で、有効で、正確で、タイムリーで、許可されていることを保証する管理策と処理技術が含まれている必要があります。データを破損させる可能性のあるシステムエラー、収集や送信中のエラーを引き起こすエラー、またはそのデータの監査ログを作成するエラーは、整合性要件を満たしていません。
- 機密性: 機密性は、情報が保存中または送信中に不正な開示から保護されることを保証します。これには、情報を難読化することに特に関連する送信またはその他のセキュリティ対策が含まれる場合があります。
- プライバシー: この原則は、ユーザーのプライバシーとその個人識別情報(PII)を維持するために使用されるポリシーと手順を具体的に指します。
Kiteworksは、コンプライアンスと認証の達成において長いリストを誇ります。
SOC 2信頼サービス基準とは?(TSC)
SOC 2信頼サービス基準(TSC)は、セキュリティ、可用性、処理の整合性、機密性、プライバシーに関連する組織の管理策の有効性を評価し報告するためのフレームワークです。これは、米国公認会計士協会(AICPA)によって開発された一連の基準であり、サービスプロバイダーがクライアントに安全で信頼性のあるサービスを提供することを示すために使用されます。TSCフレームワークは5つのカテゴリーに編成されており、それぞれのカテゴリーにはコンプライアンスを達成するために満たすべき基準が含まれています:
- セキュリティ: 情報とシステムを物理的および論理的に不正アクセスから保護することに焦点を当てています
- 可用性: システムが必要に応じてアクセス可能で利用可能であることを保証します
- 処理の整合性: データが正確に、完全に、タイムリーに処理されることを保証します
- 機密性: 機密情報を保護することに焦点を当てています
- プライバシー: 個人情報が適用される法律および規制に従って収集、使用、保持、開示されることを保証します
SOC 2要件の理解
SOC 2は、組織または企業の情報技術(IT)インフラストラクチャのセキュリティと管理策に関する保証を提供するために使用される監査基準です。これは、企業がデータを保存、処理、送信するために使用する内部システムです。この基準は、企業のユーザー、顧客、および株主に対して、ITおよびセキュリティの特定の要素に関する保証を提供するように設計されています。SOC 2は認証ではなく、企業はこの保証を得るためにシステムの独立した監査を受ける必要があります。
5つの信頼サービス原則(再度:セキュリティ、可用性、処理の整合性、機密性、プライバシー)は、SOC 2コンプライアンスを達成するために満たす必要があります。これらの各原則は、企業が取り扱うデータを保護するためのプロセスと管理策を持っていることを要求します。たとえば、セキュリティ原則は、企業が強力な認証プロセスを持ち、システムへの不正アクセスを防ぐことを要求します。可用性原則は、システムが常に稼働していることを保証し、処理の整合性、機密性、およびプライバシー原則は、保存および送信するデータの整合性、正確性、およびプライバシーを保証することを要求します。
全体として、SOC 2監査は、企業がユーザーや顧客に対してITシステムが安全であり、特定の基準を満たしていることを保証するために使用する重要なツールです。SOC 2コンプライアンスを達成するためには、5つの信頼サービス原則を理解し、満たすことが重要です。
なぜSOC 2コンプライアンスを追求するべきですか?
SOC 2は主に金融サービス業界の組織向けに開発されました。しかし、多くの他の企業もさまざまな理由でSOC 2を追求することを選択しています。
コンプライアンスはどの企業にとっても法的要件ではないことに注意してください。一部の金融企業(CPA事務所など)にとっては、業界要件として機能します。
コンプライアンスを追求する理由には、次のようなものがあります:
- 強力で実証済みのセキュリティ姿勢: 多くの企業は法的または業界要件の一環としてセキュリティ規制に準拠していますが、多くの企業はSOC 2のようなフレームワークを利用して、現代の進化する脅威に対してインフラストラクチャをより良く位置付けることを目指しています。監査を受けることで、組織のセキュリティポリシーと手順に対する追加の注意と評価が加わります。
- 評判と信頼性: 企業が監査を受ける主な理由の1つは、監査がデータ保護へのコミットメントを証明できることです。認証は、顧客、潜在的なクライアント、およびビジネスパートナーに対して、組織がセキュリティとプライバシーを重視していることを示すことができます。
- リスク管理の実施: 2017年以降、SOC 2セキュリティ要件にはリスク評価が含まれています。これは単なる形式的なものではなく、リスク管理は現代のセキュリティの重要な部分であり、積極的な措置を講じたい組織は、コンプライアンスをガイドラインとして活用できます。
- コストの削減: IBMの報告によれば、米国での平均的なデータ侵害は被害者に4.24百万ドルの費用をかけました。監査のサポートと徹底性が、企業に損害や修復費用を節約することは言うまでもありません。さらに、悪評を回復することはできず、コンプライアンスは顧客やクライアントを失う侵害を防ぐことができます。
- 補完的なコンプライアンス: 他の業界(HIPAAやISO 27001など)のコンプライアンス基準を満たす準備をしている組織にとって、認証は良い出発点を提供できます。
SOC 2レポートとは?
評価者が監査を完了すると、組織の技術的および組織的管理策の適切性を証明する報告書を作成します。セキュリティのバックグラウンドを持つ登録CPAのみが監査を実施し、報告書を提供できます。
SOC 2レポートには通常、次のセクションが含まれます:
- 管理の主張: 各組織が完了するこのセクションは、コンプライアンス規制を満たす管理策、プロセス、製品、およびサービスを証明します。
- 独立したサービス監査人の報告書: 範囲、監査評価、システムと管理策の評価、および監査人の全体的な意見を含みます。監査人は、合格、不合格、または未完了の評価に基づいて、組織に特定の評価を割り当てます。
- システムの説明: 監査人が展開した監査の種類に基づいて、組織のシステムの評価と説明を詳述する包括的なセクションです。
- 関連する信頼サービス基準と管理策: 他の信頼サービスカテゴリーに関連する評価の開発を含む長いセクションです。
- 報告書に含まれない情報: 将来の計画、顧客やクライアントにとって重要な情報、または監査の対象ではないが公衆にとって重要なデータ。
SOC 1とSOC 3とは?
SOC 2についての上記の議論は、「SOC 1とSOC 3はどうなのか?」という疑問を引き起こします。これらの報告書も存在し、まったく異なる機能を果たします。
- SOC 1レポートは、ビジネスプロセス、IT管理策、および財務報告に関連するビジネスおよび技術的目標を概説します。より重要なのは、この報告書には、これらのプロセスと管理策に関連するリスクと脆弱性が含まれる場合があることです。これはセキュリティまたは技術的な監査ではありませんが、監査を伴う証明であり、組織が透明性と完全な開示をもって運営されていることを証明します。この報告書は、通常、リスクプロファイルとビジネス運営を証明することを要求するクライアントや利害関係者によって要求されます。
- SOC 3レポートは、組織のセキュリティ、可用性、整合性、機密性、およびプライバシーの証明である点で他の報告書と似ています。ただし、SOC 3監査にははるかに少ない情報が含まれており、通常、管理策と評価のリストを含むセクションが省略されます。通常、監査人の意見、いくつかの発見、および監査の全体的な結果が含まれています。
SOC 2についてもっと知りたいですか?
SOC 2は、金融業界以外でも著名なセキュリティフレームワークであり、組織に追加のセキュリティとサイバーハイジーンを提供します。組織内外で移動する機密コンテンツに関して、SOC 2コンプライアンスは重要な考慮事項です。
KiteworksがSOC 2に準拠して機密コンテンツを統合、追跡、制御、保護する方法について詳しく知りたい場合は、当社のウェブページをご覧ください。そこでは概要を提供しています。または、Kiteworksのプラットフォームを実際に体験するために、デモをスケジュールしてください。メール、ファイル共有、ファイル転送と自動化、アプリケーションプログラミングインターフェース(API)、およびウェブフォームを通じてプラットフォームを体験できます。
