SOC 2 (Service and Organization Controls) について:SaaS の評価と脆弱性への対応

Why Vulnerability Scanning is Critical for SOC 2

2022/09/12 TheHackerNews — SOC 2 (Service and Organization Controls) は自発的な基準かもしれないが、今日のセキュリティに対して敏感なビジネスにとって、SaaS プロバイダを検討する際の最小要件でもある。コンプライアンスには長く複雑なプロセスが必要だがが、Intruder のようなスキャナーを使用すれば、脆弱性管理の項目にチェックを入れることが簡単になる。

SaaS ベンダーやクラウド・プロバイダーのような、サードパーティに主要な業務を委託している組織を含め、すべての組織にとってセキュリティは重要である。特にアプリケーションやネットワーク・セキュリティのプロバイダーは、データの取り扱いを誤ると、データの盗難/恐喝/マルウェアなどの攻撃に対して、組織を危殆化する可能性があるため、当然のことながら重要となる。

しかし、あなたがデータを託した第三者は、どの程度安全なのだろうか? SOC 2 とは、これらのサービス・プロバイダーが、顧客やクライアントを保護するためにデータを安全に管理することを保証するフレームワークのことである。セキュリティ意識の高い企業にとって、また、今日の全ての企業にとって、セキュリティは優先事項であるべきであり、SaaS プロバイダを検討する際の SOC 2 は、今や最低限の要件となっている。

SaaS にとっての SOC 2 の意味

SaaS プロバイダは、SOC 2 レポートにより自社のビジネスと顧客にもたらされるメリットを理解している。それは、競争上の優位性をもたらすものもある。自社のセキュリティ対策を継続的に改善し、顧客の期待に応えるものでもある。最も重要なことは、現在および将来の顧客に安心感を与えることだ。SaaS プロバイダにとって、データの安全性を確保するための強固な情報セキュリティ対策を、実施していることが確信できるものである。

SOC2 とは?

米国公認会計士協会 (AICPA : American Institute of CPAs) が作成した SOC 2 は、セキュリティ/可用性/完全性/機密性/プライバシーという5つの基準 (trust service principles) に基づき、顧客データを管理するためのコンプライアンスを要求している。

それは技術的な監査であると同時に、包括的な情報セキュリティの方針/手順が文書化され、それに従うことを要求する。すべての優れたコンプライアンス認証/認定と同様に、単に点を繋ぐだけではない。文書化/レビュー/対処/監視などを実施するための、一連の複雑な要件も含まれる。そして、Type 1 と Type 2 の、2つのステージがある。

Type 1 か? Type 2 か?

SOC 2 の Type 1 レポートは、ある時点におけるサイバー・セキュリティのコントロールを評価するものだ。その目的は、顧客データを保護するために導入された内部統制が十分であり、正しく設計されているかどうかを判断する点にある。つまり、必要な基準を満たしているかという視点を提供する。

Type 2 のレポートは、さらに一歩踏み込んで、これらの統制が、どの程度有効であるかについても報告する。監査人は、システムおよび統制が長期的 (通常 3〜12ヶ月) にわたって、どの程度まで機能しているのかを調べる。つまり、その運用の有効性は、どの程度なのかを評価する。言い換えるなら、意図したとおりに機能/動作しているかという視点を提供する。

技術系だけではない

SOC 2 認証が必要なのは、SaaS やクラウドのような、技術系企業だけだと思っているなら、考え直してほしい。業種や業界を問わず、SOC 2 の認証は、組織において高レベルの情報セキュリティが維持されことを示すものだ。

そのため、病院や保険会社などのヘルスケ・アプロバイダでも、自社のセキュリティ・システムを厳しく監視するために、SOC 2 の監査を必要とする場合がある。同じことが、支払いや財務を扱う金融サービス会社/会計事務所にも言える。PCI DSS (Payment Card Industry Data Security Standard) などの業界要件を満たしていても、さらなる信頼性を確保するために、あるいはクライアントの要求に対応するために、SOC 2 評価を選択することが多いようだ。

費用対効果の高いコンプライアンス

厳格なコンプライアンス要件は、責任を持って機密情報を取り扱うことを保証する。必要な管理を実施している組織は、データ漏洩やユーザー・プライバシー侵害の可能性を低く抑えられる。それにより、データ損失における規制措置や風評被害などの、悪影響から保護される。

SOC 2 に準拠した組織は、このフレームワークにより、情報セキュリティに取り組んでいることを顧客に証明できる。また、準拠した組織は、監査に合格した他の組織とのみデータを共有できるため、新しいビジネス・チャンスを生み出すことが可能となる。

Intruder による SOC 2 の簡素化

SOC 2 レポートを得るために、合格する必要のあるコントロールの1つは、脆弱性管理である。そのためにも、Intruder を使用できる。Intruder は、理解も購入も使用も簡単である。サインアップして、クレジットカードで支払うだけだ。これで完了である。10分以内に SOC 2 の脆弱性管理の項目に、チェックを入れられる。

もちろん、Intruder は、日常的に使用するのにも最適なツールである。境界の安全を確保するための continuous monitoring  だけではなく、デューデリジェンス (Due Diligence) などの、SOC 2レポートを必要とする他のシナリオでも使用できる。新規投資の確保、企業の買収/合併などの場合に、デューデリジェンスにおいて、セキュリティ体制/データの扱い方/リスクや脅威に対する露出度などを確認する。Intruder があれば、情報セキュリティに真剣に取り組んでいることを簡単に証明できる。

Intruder の Web を見てみると、脆弱性スキャナーであり、4つの特徴として Ongoing attack surface monitoring/Intelligent results/Effortless Compliance & Reporting/Continuous Penetration Testing が列挙されたあとに、インテグレーションが可能なクラウド・サービスのロコが並んでいます。その一方、SOC 2 (Service and Organization Controls) ですが、検索したところ 2019年8月の Kaspersky ブログ (日本語) が見つかり、同社における SOC 2 Type 1 監査が終了したと述べられています。また、SOC 2 については、「サイバー・セキュリティのリスクマネジメント統制に関する報告書のグローバルスタンダードであり、米国公認会計士協会 AICPA が定めた Trust サービスの原則と基準 (2018年3月に更新) に基づいて評価さる」と記されています。

%d bloggers like this: