SOC2報告書のご紹介 – SOC2報告書には一体何が書かれているのか?
オペレーション部 江口です。
当社のサービス利用を検討されているお客様などから、セキュリティチェックをご要望いただくことがあります。こうした場合、当社ではまず、以前ブログでもご紹介した標準セキュリティチェックシートをご提供し、詳細が必要な場合にはSOC2報告書が入手できることをご案内させていただいています。
ただ、当社のSOC2報告書の入手はNDAの締結が必要なこともあり、「どんなことが書かれているのか」「セキュリティチェックに有効なのか」といった点を知りたいと思われることもあるかと思います。
そういうわけで、この記事でSOC2報告書とはなにか、お客様は何を知ることができるのか、簡単にご紹介してみたいと思います。
SOC2報告書とは
まずはそもそもSOC2報告書とはなにか、といえば、SOC2の基準に従った監査の成果物として作成される報告書です。
SOC2の概要については、私が以前記事にしているため、そちらをご参照ください。ざっくり言えば、サービスやシステムの統制についての評価が行われます。
SOC2の報告書がどんなものかについても、上記の記事で簡単に紹介をしています。以下該当箇所を引用します。
SOC2の報告書では、評価を受ける企業・システムの統制に関して説明した記述書と、行われた評価の結果などが含まれます。 システム記述書では、例えば
全社レベルの統制 サービスの概要や体制など 評価指標(セキュリティや可用性)についてのシステムの記述 などについて記載されます。
詳しい内容を記載することはできませんが、当社の場合はクラスメソッドメンバーズのサービスについて、どういった体制で、どういったプロセスで運用を行な>っているかを記述しています。
もう少し補足しておくと、システム記述書は監査を受ける側、すなわち私たちクラスメソッド側が記述しているものです。監査側はその内容をもとに、正しく運用が行われているかの監査を行っています。
対象
上記で引用したSOC2報告書の紹介の文章でも触れていますが、システム記述書で記述の対象としているのは当社の当社のAWS総合支援サービスである「クラスメソッドメンバーズ」とそれに関連するシステムとなります。クラスメソッドメンバーズのサービス概要について当社Webサイトのページなどをご参照ください。
https://classmethod.jp/services/members/
ただ、システムの統制の前提として全社としての統制についても記載しています。このため「特定のサービスに限らず全社の統制の状況も把握したい」という場合でもご参考いただけます。
内容
ざっと以下のようなことを記載しています。 (実際の目次とは異なります)
- 全社の統制について
- サービスおよびシステムの概要
- サービスの運用体制
- リスク管理や統制の設計
- 統制のモニタリング体制
- セキュリティ
- 障害管理
- 変更管理
- 可用性、サービス継続性
お客様にとってのメリット
ではこの報告書を入手することでお客様にはどのようなメリットがあるでしょうか。
- 「クラスメソッドメンバーズ」サービスの運用・体制を把握できる
- 「内容」に記載したように、サービスの運用・統制・セキュリティに関する情報を全般的に網羅しています。
- システム記述書通りの運用が行われているかの評価を知ることができる
- システム記述書では運用について記述してますが、実態がこの記述に即していなければ意味がありません。SOC2報告書では、システム記述書の内容に則って運用が行われているか、という監査人による評価の結果が含まれています。この評価結果をもとに、運用の実態を把握できます。
SOC2報告書を入手するには
弊社営業、もしくは下記のお問い合わせフォームからお問い合わせください。
https://classmethod.jp/inquiry/
冒頭に記述したように、ご提供にはNDAの締結が必要となりますので、この点ご留意いただければと思います。
おわりに
以上、簡単ですがSOC2報告書についてのご紹介でした。当社のサービスを安心してご利用いただくため、ぜひご活用いただければと思います。