NotPetya、CloudBleed、Spectre、Wannacry ウイルスなどの新しいセキュリティ脅威がインターネット上で増殖する中、データ・セキュリティ基準は常に変化しています。このため、最も精通したCIOであっても、クラウドベースのデータシステムをコンプライアンスと安全性を維持することは困難です。

このガイドでは、データ・セキュリティ・コンプライアンスを達成するためのプロセスを分かりやすく説明するために、現在最も重要なデータ・セキュリティ・コンプライアンス基準SOC 2について説明しています。

以下のセクションでは、SOC 2 コンプライアンスの詳細を説明し、コンプライアンスと認証を達成するためのマルチステップのアプローチを提供します。

  1. SOC2コンプライアンスとは?
  2. SOC 2コンプライアンスの基本を理解する
  3. SOC 2コンプライアンス基準を満たすシステムを保証する4つのステップ
  4. SOC 2コンプライアンスに関する一般的な疑問
  5. Integrate.io: SOC 2コンプライアンスのための暗号化されたETL

SOC2コンプライアンスとは?

米国公認会計士協会(American Institute of CPAs)は、第三者サービスプロバイダーによる個人事業情報や顧客情報の保管を管理するための認証基準としてSOC 2コンプライアンスを制定しました。SOCとは「Service Organization Control」の略で、SOC 2は特にクラウドベースのサーバーに顧客情報を保管する企業のデータセキュリティに関連しています。 

簡単に言えば、外部の監査人が顧客のデータセキュリティ管理プロセスを評価する技術的な認証です。  

SOC 1 のような以前のコンプライアンス義務は、単に監査テストに合格することを要求していましたが、SOC 2コンプライアンスは、より包括的な監査手順です。SOC 2は、内部統制を強化して顧客情報の安全性を高めるための長期的な方針と手順を義務付けています。 

SOC 2の基準は、AICPAによって概説された5つのTrustサービス原則(セキュリティ、可用性、処理の完全性、機密性、プライバシー)に基づいています。米国公認会計士協会のTrustサービス基準の詳細については、こちらをご覧ください。これらについては、次のセクションで詳しく説明します。

SOC 2コンプライアンスの基本を理解する

SOC 2 は、Integrate.io のような SaaS (Software as a Service) プロバイダーや、Integrate.io の何百もの自動ETL 統合の背後にあるSaaS プラットフォームに特に関連しています。これは、これらのプラットフォームが大量の機密性の高い情報をクラウドで管理しているからです。ここでは、SOC 2コンプライアンスの理解を深めるための基礎知識をご紹介します。 

SOC 2コンプライアンスには2つのタイプがある:

SOC 2 Type I

これは、ベンダーのシステムがTrustサービスの原則を満たしていることを確認するための詳細についてです。監査人は、ある時点においてシステムが準拠しているかどうかを判断します。

SOC 2 Type II

Type Ⅱは、これらの運用システムが一定期間にわたって有効であるかどうかを評価するものです

SOC 2は、以下の方法によりクライアントのデータ保護のための高水準の基準を作成します。

  • クラウド型データシステムのデータセキュリティポリシーと手順を確立し、それに従うことを企業に要求する。
  • 企業が SOC 2 データセキュリティポリシーと手順を遵守していることを確認するための評価を実施する。
  • 現在のクラウドデータセキュリティの脅威がもたらす独自の課題を反映するために、情報コンプライアンスおよびセキュリティ基準を継続的に更新する。

SOC 2は、以下のTrust原則に従って、お客様のデータセキュリティプロセスを評価します。

  • セキュリティ:不正アクセスや悪意のあるアクセスからデータシステムを保護することに関連するもの、例えば、情報の盗難、システムの悪用、不正なデータの削除、ソフトウェアの誤用、情報の不正な変更、またはデータの不正な開示を防ぐためのアクセス制御の能力などです。二要素認証、ファイアウォール、侵入検知などの情報システムセキュリティツールは、この種のセキュリティ侵害を防ぐことができます。
  • 可用性:データシステム、サービス、または製品がどの程度アクセス可能かを指し、通常はサービスレベル契約(SLA)で規定されています。場合によっては、情報セキュリティプロトコル対策がシステムの可用性に影響を与える可能性があるため、セキュリティ対策が可用性を制限するにあたり事前に、サービスレベルのコミットメントを理解しておくことが重要です。ネットワークの可用性/性能の監視、セキュリティインシデント処理、サイトフェイルオーバーは、このTrust原則に含まれています。 
  • 処理の完全性:データシステムがその目標を達成しているかどうかに関係しています。言い換えれば、データシステムは意図した通り、約束した通りにデータを処理し、生成しているかということです。この文脈では、データ処理は正確で、タイムリーで、要求された通りに行われなければなりません。このTrust原則は、厳密には処理に関連するものであり、通常はデータ自体の完全性や正確性は対象としません。データ処理の品質保証手順とモニタリングは、データ処理の完全性を保護するのに役立ちます。
  • 機密性:企業の内部情報、ビジネス情報、価格表、知的財産、機密の顧客データなどのようなデータの機密性に関連するものです。多くの企業では、送信時にデータを暗号化することでデータの機密性を確保しています。アプリケーションやネットワークのファイアウォール、厳格な社内外のアクセスコントロール、その他の戦略は、機密情報を安全に保つための効果的な方法です。 
  • プライバシー:データシステムが使用、収集、保持、開示、廃棄する顧客の個人情報を指します。このデータには、クライアント名、住所、社会保障番号などの識別可能な情報(PII)が含まれます。人種、性的指向、健康、宗教、その他のデータに関連する情報についても、特別なセキュリティ対策が必要となる可能性があります。SOC 2 の下では、これらの情報に厳格なアクセス管理を適用する必要があります。また、企業は、クライアント情報のプライバシーに関する通知および AICPAのGAPP(一般に認められたプライバシーの原則)に従って、これらの個人情報を取り扱う必要があります。

最終的には、SOC 2の準拠を求めているかどうかにかかわらず、これら5つのTrust原則を確保するために時間をかけてカスタムプランを作成することで、データ保護戦略のレベルを大幅に上げることができます。

次のセクションでは、クラウドベースのデータシステムがSOC 2認証基準を満たし、それを超えることを保証するために最も重要な4つのステップについて説明します。

SOC 2コンプライアンス基準を満たすシステムを保証する4つのステップ

1) データセキュリティ監視計画の策定

SOC 2 認証を取得するための最初のステップは、クラウドベースのクライアント情報を安全に保つためのプロセスを詳細に記述した正式なデータセキュリティ監視計画を策定することです。この計画には、企業内のさまざまなレベルの監視を含める必要があります。

SOC 2 データセキュリティ監視計画を完成させるには、以下を含めます。

  • 不審な行為や悪意のある行為が行われていないか、サーバーの動作を監視するためのプロセスを策定する。
  • クラウドシステムにおける「通常の」ユーザーの活動とは何かを明確にし、疑わしい活動が調査のきっかけとなるようにする。
  • 許可されているかどうかにかかわらず、サーバー構成の変更を追跡するためのパラメータを確立する。
  • ユーザーのアクセスレベルを割り当てて管理するためのフレームワークを作成する。
  • データセキュリティ監視計画を明確な言葉で成文化し、チームがそれに従うことができるようにし、SOC 2の監査時に利用できるようにする。
  • 計画をウェブサイトで公開することで、顧客が個人情報が安全であることを安心できるようにします。

監視計画を策定することで、データ・セキュリティの脅威が内部または外部のソースから来ているかどうかを監視し、検出することができるようになります。これにより、クラウド・データ・セキュリティ侵害に発展する前に危険に対応できるようになります。

2) アラートシステムを構築する

監視パラメータを設定したら、「セキュリティインシデント」が発生したときに何をするかを決定する必要があります。アラートシステムは、クラウドサーバーへの不正アクセス(または許可された不審なアクセス)などの脅威をチームに通知する必要があります。アラートシステムは、データシステムのセキュリティを迅速かつ効果的に確保できる適切な担当者に直ちに通知しなければなりません。

アラートシステムの最大の課題は、誤報による注意力欠如です。アラートが過敏になりすぎると、スタッフは多くの誤検知を調査するため、重要なアラートを無視し始めたり、非イベントの調査に時間を浪費したりすることになります。そのため、通常のユーザーの行動を規定することがアクティビティのモニタリングには不可欠です。これにより、ユーザーの行動が正常でない場合にのみアラートシステムを起動することができます。

SOC 2では、不審なファイル転送、顧客データの不正な露出、サーバー構成の不審な変更、クライアントファイルの不正な変更に対するアラートが必要とされています。また、不正ログインや特権アカウントやファイルへの不審なアクセスがあった場合にもアラートが発動します。

以下の方法でアラートシステムを微調整してください。

  • 通常のユーザー活動を構成するものを基準化する。
  • 脅威を示すすべてのインシデントをリスト化して対処する。 
  • アラートのトリガーとなるリスクプロファイルを設定する。
  • 適切な担当者がアラートを確実に受信できるようにして、すぐに対応できるようにする。

3) 監査証跡を記録するシステムの開発

監査証跡を記録するシステムを持つことは、セキュリティ侵害が発生した後に理解するために不可欠です。監査証跡は、何が起こったのかを詳細に把握することができるため、活発なセキュリティ侵害に対処し、攻撃後の脆弱性を迅速に解決することができます。

監査証跡は、すべてのクラウドサーバのアクティビティを追跡・記録しておく必要があり、攻撃の状況を理解するために以下の情報を得ることができます。

  • 攻撃を行ったのは誰か?
  • 攻撃は誰のアクセス資格情報の下で行われたのか?
  • 攻撃中に何が起こったか? 
  • どのようなファイルにアクセスしたか? 
  • どのようなサーバ構成が変更されたか? 
  • どのようなマルウェアがインストールされましたか?
  • 攻撃の影響はどのようなものだったか?
  • 攻撃はいつ発生したか?
  • 攻撃はどこから来たのか(内部の犯行なのか、それともどこか他の場所から来たのか)
  • 攻撃者はどのようにして攻撃に成功したか?

監査証跡にこれらの詳細が記載されていれば、チームは迅速かつ成功した修正を開始できる可能性が高くなります。

4) 修復時間の短縮

データベースのセキュリティ監視計画、正確な警告システム、詳細な監査計画だけでは十分ではありません。SOC 2コンプライアンスには、攻撃に対する修復を迅速かつ成功させることが不可欠です。したがって、データセキュリティプロセスが、セキュリティ問題の予防と解決の能力を実質的にサポートしていることを確認する必要があります。

この点で SOC 2 コンプライアンス計画の成功を測定するには、「平均検出時間」(MTTD)と「平均修復時間」(MTTR)の統計を厳密に追跡する必要があります。これらの指標により、データセキュリティ監視計画がどれだけうまく機能しているかを測定することができます。

2019年のSANSによるインシデント対応調査によると、MTTDが2~7日の組織は19.5%で、MTTDが24時間以下の組織は52.6%にすぎませんでした。さらに悪いことに、22.8%の組織が脅威に対応するのに1週間から1年かかっていました。検知から封じ込めまでの時間については、67%の組織が24時間以内に脅威を封じ込めていました。封じ込めから修復までの時間については、68.7%の組織が24時間以内に脅威を修復した。

あなたのチームは、これらの MTTD および MTTR 統計に関連して、どのように評価していますか? 

常に改善の余地があり、データチームは応答時間の改善に継続的に取り組む必要があります。アラートの問題をより早く検出し、監査証跡データがより実用的で正確であればあるほど、データセキュリティチームはより速く、より効率的になります。 

SOC 2コンプライアンスに関する一般的な疑問

SOC2事前アセスメントとは?

事前アセスメントは、コンプライアンス監査の準備をするものです。これは、ネットワークのセキュリティ ギャップやその他の弱点を特定するのに役立ちます。また、内部統制の準備が整っているかどうかを説明します。最も重要なことは、どのコントロールが機能していない可能性があるかを特定し、その過程で顧客の機密情報が漏洩する可能性があることです。

セキュリティ・ギャップを特定するには、以下について徹底的に気を配る必要があります。

  • サードパーティのベンダーや顧客とのコミットメント
  • 採用されているデータ配信手段
  • 生成、使用、保存、破棄に関するデータの種類
  • システムの動作環境
  • すべての業務とテクノロジーの特性

初めてSOC 2監査を受ける準備をする人の中には、そのプロセスがやや難しいと感じる人もいます。多くの質問をするのが一般的です。監査の全体のスコープはどこまでか?どのような文書が必要か?監査にはどのような会社のリソースが必要か?

事前評価では、企業はSOC 2監査の前に、不備を是正するために何をすべきかを学びます。

SOC 2コンプライアンスを実証するのは誰か?

機密性の高い顧客データを保存、処理、および/または管理するサービス提供者は、それを保護しなければなりません。SOC 2レポートは、サービス提供者のセキュリティとプライバシーに対するコミットメントを示すものです。これは、顧客を保護するための適切な管理が行われているという事実を証明するものです。SOC 2レポートは、顧客が期待する安全で高品質なサービスを確実に提供するのに役立ちます。

SOC 2への準拠は、多くの場合、マーケットでの競争上の優位性となります。SOC 2準拠は、以下のようなさまざまな企業にメリットをもたらします。

  • データセンター
  • SaaSプロバイダー
  • データ分析プロバイダー
  • ドキュメント制作

ユーザー企業は、サービス提供者に内部統制の有効性を確認してもらいたいと考えています。SOC 2レポートは、顧客の機密データが保護されていることを保証するための貴重なリソースです。サービス提供者を検討中のユーザー企業であれば、SOC 2 コンプライアンスは基本的な要件と考えてください。

企業がクラウドホスティングプロバイダーやデータセンターへの依存度を高めるにつれ、SOC 2レポートの需要は拡大しています。たとえば、Google Cloud は、自社製品のコンプライアンスを保証するために第三者監査の対象となっています。

誰がSOC 2監査を行うのか?

SOC 2の監査を完了することができる専門的な会計事務所は様々です。すべてのSOC 2報告書が同じではないことを理解してください。第三者監査法人を探す際には、デューデリジェンスを行うことが重要です。検討中の監査法人のリファレンスをチェックしてみてください。IT監査を専門とする公認会計士事務所が理想です。

また、SOC 2レポートを作成する特定の監査人についても、遠慮なく情報を求めてください。監査人は、その仕事に必要なスキルと専門知識を持っていることが重要です。理想的には、CISAおよび/またはCISSPの資格を持つ監査人を検討してください。

SOC 2レポートの中身は?

SOC 2 報告書の構成は SOC 1 報告書と似ています。一般的には、意見書、管理者の主張、システムの説明、テストプロトコルの概要、およびテスト結果が含まれています。

したがって、SOC 2レポートでは通常、以下を含みます。

  • 不正アクセスの試みの監視についての記載
  • 詳細な監査証跡の存在の確認
  • 実用的なフォレンジック(コンピュータの記憶媒体に保存されている文書ファイルやアクセスログなどから犯罪捜査に資する法的証拠を探し出すこと)が存在についての記載

SOC 2報告書の一部として、選定された公認会計士事務所は、統制の設計とその有効性に関する専門的な意見を提供します。これは、企業が選択された基準を満たしていることを証明するものです。

どのようにSOC 2レポートは活用される?

SOC 2レポートは、以下のような様々な方法で使用されています。

  • 内部リスクの管理
  • 契約上のコミットメントが守られていることの確認
  • ベンダーの管理
  • 規制要件への対応

これらは、サービス組織とその顧客のみを対象としています。その点では、SOC 3報告書とは異なります。SOC 3のレポートは一般に公開されており、マーケティングのために使用されることが多い。

SOX 2レポートはいくらくらいコストがかかる?

SOC 2監査の費用は、いくつかの要因によって異なります。

  • 含まれるサービスの範囲
  • 選択された特定のTSC(Trust Services Criteria)
  • 企業規模
  • システムの量と範囲

関連する既存のフレームワークにマッピングすることで、SOC 2 コンプライアンスのコストを削減することができます。

Integrate.io: SOC 2コンプライアンスのための暗号化されたETL

SOC 2認証は、顧客データを保護し、顧客との強固な信頼関係を構築するために不可欠です。しかし、SOC 2コンプライアンスを満たし、維持することは一度きりのことではありません。長期的な計画、継続的な監視、そして社内のセキュリティ慣行の真摯な遵守が必要です。

最後に、SOC 2コンプライアンスは、クラウドネットワーク上で機密性の高い顧客情報を送受信、変換、統合するプロセスに適用されるため、ETL(抽出、変換、ロード)プロセスが全体的なデータセキュリティの課題をサポートしているかどうかを検討することが重要です。

Integrate.ioでは、データセキュリティとコンプライアンスは、自動ETLサービスの最も重要な2つの側面です。そのため、私たちは以下のような最先端のデータセキュリティと暗号化技術を私たちのプラットフォームに組み込んでいます。

  • 認定されたAmazon Web Service (AWS)技術によってホストされた物理的なインフラストラクチャ
  • EU一般データ保護規則(GDPR)の基準を満たすための事前準備
  • すべてのウェブサイトとマイクロサービスのSSL/TLS暗号化
  • フィールドレベルの暗号化 
  • 業界標準の暗号化を使用して、Integrate.ioプラットフォーム内の機密データをいつでも「保存時」に暗号化
  • セキュリティ証明書と暗号化アルゴリズムの常時検証
  • Integrate.ioのスタッフに限定されたオペレーティングシステムのアクセスと、ユーザー名と鍵の認証を必要
  • 外部ネットワークからのシステムへのアクセスや、内部のシステム間のアクセスを制限するファイアウォール

Integrate.ioはSOC 2認証をもつETLプラットフォームです。Integrate.ioがいかに安全にデータを保護するかについて詳しく知りたい方は、ぜひオンラインデモにお申し込みください。