SOC 2とは？ SOC 2 Type IIコンプライアンスガイド

この一連の標準は、安全なデータ環境の提供に取り組んでいるセキュリティ ベンダーに焦点を当てています。.

あらゆる素晴らしい関係の根底にあるのは、信頼です。.

セキュリティベンダーについても同様です。.

信頼できるベンダーを探すのは、言うほど簡単ではありません。顧客の声、同業者からの紹介、オンラインレビューなどはありますが、ベンダーのセキュリティがどれほど信頼できるかを示すものはありません。しかし、SOC 2 Type II監査だけは例外です。.

SOC 2とは？ SOC 2 Type IIコンプライアンスガイド 

SOC 2コンプライアンスの何がそんなに重要なのでしょうか？組織（および顧客）のデータが危険にさらされる場合、どのベンダーを信頼できるかを知ることが重要です。.

SOC 2 タイプ II コンプライアンスとは何ですか? 

Service Organization Control (SOC) は、オンプレミスとクラウド環境の両方でベンダーがデータを管理する方法を作成、維持、証明し、さらに強化するための一連の標準です。.

SOC 2は、米国公認会計士協会（AICPA）によって制定され、財務情報や医療記録などの機密データを組織がどのように取り扱うかを規定しています。SOC 2 Type II認証を取得するには、ベンダーは資格を有する第三者監査人による独立監査を受ける必要があります。監査人は、ベンダーが以下の信頼原則の1つ以上において、該当するすべての要件を満たしていることを証明します。

• 安全
• 可用性
• 処理の整合性
• 機密保持
• プライバシー

ベンダーにとって取得するにはコストのかかる認定ですが、セキュリティを重視する組織にとっては非常に大きな意味を持ちます。.

SOC 2準拠に必要なこと

SOC 2 Type IIに準拠するには、適切なテクノロジーを導入するだけでは不十分です。企業は厳格なプロセスも確立する必要があります。これは、ベンダーがお客様のデータの機密性、可用性、および整合性を保護するための適切な管理策を実施していることを保証するものです。.

SOC 2監査は、サービス提供のあらゆる側面を評価します。また、データが同意に基づいて収集されているか、不正アクセスや改ざんから適切に保護されているかを評価します。これは、お客様のデータがセキュリティベンダーによって安全に保管され、お客様の同意なしに第三者と共有されることがないことを意味します。.

SOC 2 Type II監査は非常に徹底したプロセスであり、Swimlaneはこれを完了しました。そのプロセスの概要は以下のとおりです。

• まず、監査チームがポリシーや手順、サービス提供モデルのあらゆる側面を含むシステムドキュメントを徹底的にレビューします。.

• 次に、組織内の主要担当者にインタビューを行い、プロセスと手順が適切に遵守されていることを確認します。.

• 最後に、施設の物理的な現地調査を実施し、ハードウェアとソフトウェアの構成、および関連するすべてのネットワークインフラストラクチャを検査します。

最終結果は？ベンダーが業界のベストプラクティスに従って適切なセキュリティ対策を実装していることを検証するレポートです。.

なぜ気にする必要があるのですか?

SOC 2 Type IIコンプライアンスの理由はシンプルです。データ侵害は日々増加しており、企業は毎年数十億ドルもの損害を被っています。IBMによると、2021年のデータ侵害の平均コストは1億424万ドルで、増加傾向にあります。しかも、この数値には侵害を報告しない企業は含まれていません。.

SOC 2 Type IIコンプライアンスの重要性は、いくら強調してもし過ぎることはありません。ベンダー選定時に十分な情報に基づいた意思決定を行うのに役立ち、将来的に第三者による侵害のリスクを最小限に抑えることができます。これは、顧客、ビジネスパートナー、サプライヤー、投資家など、あらゆる関係者に対するセキュリティへのコミットメントを証明することにもなります。.

セキュリティソリューション（セキュリティ自動化など）をお探しの際は、SOC 2認証を取得しているものを選ぶことが重要です。これは、不正なアクセスからデータを保護するための対策を講じていることを証明するものです。特に、機密情報をクラウドに保存している場合は、この点が重要になります。.

SwimlaneはSOC 2 Type IIに準拠していることを誇りに思っています。SwimlaneのグローバルセキュリティおよびエンタープライズIT担当シニアバイスプレジデントであるMichael Lyborgは次のように述べています。

“「脅威の状況は常に変化し、組織に対するサイバー攻撃も増加していますが、この独立監査により、特にSwimlane Turbineの発表を受けて、認定プロバイダーを必要とする企業にとってSwimlaneが優れた選択肢であることが第三者によって検証され、お客様に提供されます。」”