SOC 2とは何ですか？

クラウドサービスやSaaS企業が顧客データを適切に管理していることを第三者が監査・証明する認証フレームワーク。セキュリティ、可用性、処理の完全性、機密性、プライバシーの5つの信頼原則で評価される。

SOC 2のポイントは？

AICPA（米国公認会計士協会）が策定した監査フレームワーク。5つのTrust Service Criteria（信頼性サービス基準）で評価。Type I（ある時点の設計評価）とType II（一定期間の運用評価）がある。SaaSやクラウド企業が顧客に信頼性を示すために取得する

【そっくつー】

💡 うちのサービスは安全です、を第三者が証明する認証

📌 このページのポイント

SOC 2の構成

ひよこ

SOC 2って、ISO 27001とどう違うの？

ペンギン先生

ISO 27001は情報セキュリティマネジメントの国際規格で、組織全体の仕組みを評価するよ。SOC 2は特にクラウドサービスが顧客データをどう管理しているかを監査するもので、米国ではSaaS企業の必須認証になっているんだ

ひよこ

5つの基準って何なの？

ペンギン先生

セキュリティ（必須）、可用性、処理の完全性、機密性、プライバシーの5つだよ。セキュリティは必須で、残りは該当するものを選んで監査を受けるんだ。全部取得する必要はないんだよ

ひよこ

Type IとType IIの違いはあるのかな？

ペンギン先生

Type Iは『ある時点で統制が適切に設計されているか』の評価、Type IIは『6か月以上の期間にわたって統制が有効に運用されているか』の評価だよ。当然Type IIの方が信頼性が高くて、顧客から求められることが多いんだ

ひよこ

取得するのは大変なのかな？

ペンギン先生

初回は半年から1年かかることもあるよ。アクセス制御、ログ監視、インシデント対応、変更管理などの統制を整備して、外部の監査法人に監査してもらうんだ。VantaやDrataなどの自動化ツールを使って準備を効率化する企業も増えているよ

まとめ：ざっくりこれだけ覚えればOK！

「SOC 2」って出てきたら「クラウドサービスのセキュリティを第三者が監査する認証」と思えればだいたいOK！

📖 おまけ：英語の意味

「System and Organization Controls 2」＝システムおよび組織の統制 2

💬 SOC 1は財務報告に関する監査で、SOC 2はセキュリティやプライバシーに特化した監査だよ