サービスの統制を保証する「SOC2」の概要をざっくりまとめてみた

オペレーション部の江口です。7月1日に入社してはや半月余りが経ちました。ようやく会社の雰囲気にも慣れ、少し落ち着いてきた感があります。

さて、今日はクラスメソッドの認証の取り組みについて少しご紹介です。

当社ではお客様に安心してお付き合いいただけるよう、様々な認証を取得しています。

クラスメソッド 各認証ポリシー

その一環として、昨年より当社サービス「クラスメソッドメンバーズ」に対して SOC2の評価を受け、保証報告書を受領しています。

クラスメソッド、内部統制を評価したSOC2 Type1 保証報告書を受領〜AWS支援サービス「クラスメソッドメンバーズ」のサービス体制を強化〜

ところでこのSOC2というのは、いったいどのようなものでしょうか。 上記のリンクでも"「セキュリティ」「可用性」にかかる内部統制のデザインを外部監査人が評価したもの" と簡単に解説は書いてありますが、自分の勉強がてらもう少し詳しく紹介してみたいと思います。

SOCとは

エンジニアならばSOCというと「Security Operation Center」の略の方を連想される方も多いかもしれませんが、 この場合のSOCは「Service Organization Controls」の略です。ざっくり訳すと「サービス組織の統制」といったところでしょうか。

標準化された基準に基づいて内部統制について第三者からの評価を受け、その評価の結果は報告書として受領します。 この報告書は定められた対象のお客様であればお読みいただくことができます。 報告書の公開の範囲はSOCの種類に応じて異なっており、SOC2であればユーザ企業。SOC3は外部に広く公開されます。

SOCの種類

さて、少し触れましたがSOCにはSOC1、SOC2、SOC3と言う3種類があります。最近さらに「SOC for Cybersecurity」も増えました。加えて、「type1」「type2」という2つのタイプがあります。ややこしいですね。

ちなみに前掲のリンクにあるように、クラスメソッドが昨年評価を受けたのはSOC2 type1でした。

SOC 1/2/3/for Cybersecurityの違い

  • SOC1は、その会社の財務報告に関連する内部統制の評価を行います。情報システムを委託している顧客(ユーザー)が財務諸表監査にあたって内部統制の監査を受けた際に、事業者側の内部統制の情報としてSOC1の報告書を利用することができます。
  • SOC2は、企業が監査してほしいサービスやシステムを対象に、セキュリティや可用性などの統制を評価します。具体的には「セキュリティ」「可用性」「処理のインテグリティ」「機密保持」「プライバシー」の5つの指標があり、この中から任意の項目について評価を受けます。前掲のとおり、当社の場合、セキュリティと可用性について評価を受けています。
  • SOC3はSOC2と評価する規準は変わりませんが、前述のとおり、広く公開することを目的とします。そのためSOC2と比べ報告書は簡潔なものとなります。
  • SOC for Cybersecurityは最近追加されたもので、サイバーセキュリティのリスクの統制にフォーカスしています。

参考までにAmazonの場合、SOC1およびSOC2のレポートはAWSを利用している企業であればAWS Artifactからダウンロードできます。、SOC3については公開情報なのでここから誰でもダウンロード可能です(英語ですが)。雰囲気だけでも見てみたいのであればSOC3のレポートをとりあえず見てみるのもよいでしょう。

type1, type2の違い

もう一つの分類、「type1」「type2」についてですが、これは評価を受ける期間の違いです。 評価では統制された運用がきちんと行われているのかを、過去のある期間について証跡を提示することになります。

  • type1はある一日について評価を受けます。
  • type2では一定の期間(半年以上)について評価を受けます。

当然、期間の長いtype2の方が取得の難易度は上がります。

SOC2の規準

SOC2の規準は多岐に渡るので紹介しきれませんが、基本的には

  • 統制を行う体制が敷かれているか
  • リスクの管理、システムの運用、サービスの変更管理などがきちんとプロセスにしたがって管理されているか
  • 上記についてモニタリングが行われているか

などが評価されることになります。プロセスについては、例えば変更管理であれば、変更の起案、リリース前のレビュー、作業の承認、報告、といったものになります。

詳しい内容が知りたい方は、SOC2のベースとなるAICPAの規準について日本公認会計士のページに翻訳された文章が公開されています(リンク先の「実務指針第7号・付録4」が該当の文章です)。こちらを参照されると良いでしょう。なおダウンロードには規約への同意が必要となります。

SOC2の報告書

SOC2の報告書では、評価を受ける企業・システムの統制に関して説明した記述書と、行われた評価の結果などが含まれます。 システム記述書では、例えば

  • 全社レベルの統制
  • サービスの概要や体制など
  • 評価指標(セキュリティや可用性)についてのシステムの記述

などについて記載されます。

詳しい内容を記載することはできませんが、当社の場合はクラスメソッドメンバーズのサービスについて、どういった体制で、どういったプロセスで運用を行なっているかを記述しています。

評価結果は、実際にシステム記述書の記述に沿って運用を行なっているか、前述の期間(type1、2)に対しての監査人による評価結果が記載されます。統制について記述するだけではなく、実際の評価のコメントが記載されることで、ユーザはより客観的な情報を確認することができるわけです。

終わりに

簡単な説明でしたが、SOC2についてざっくりでも理解してもらえたなら幸いです。 クラスメソッドは、こうした外部の評価を受けながら運用を改善し、より安心してお客様にサービスを利用していただけるよう努力していきます。 と言いつつ私はまだ入社1週間なので全然貢献できていない訳なのですが、これから貢献していけるようにがんばります!