SOC2 Type2 取得までの道のり
はじめに
VPoT の廣津です。
エムシーデジタルでは、法人向け生成AI サービスである Tachyon 生成AI や、社内の共通基盤である Tachyon Platform など、さまざまなプロダクトの開発に取り組んでいます。AI やクラウドサービスのような新たなテクノロジーの普及が進む現代においては、高いセキュリティ水準を確保するための取り組みが不可欠となってきています。これは弊社も例外ではなく、お客様のデータを活用したビジネス変革を実現する上では、セキュリティは非常に重要です。
セキュリティと聞くと、「Pマーク」や「ISMS (ISO27001)」のような規格を思い浮かべる方も多いかもしれません。しかし、これらの規格は主に組織全体の情報セキュリティ管理体制を評価するものであり、個々のサービスやシステムそのもののセキュリティ対策を詳細に評価するものではありません。
このような背景から、エムシーデジタルでは Tachyon 生成AI と Tachyon Platform の 2 つのサービスに対して高いセキュリティ水準を保つために、内部統制の国際セキュリティ認証である SOC2 Type2 認証を取得しました。本記事では、SOC2 Type2 認証を取得するまでの道のりについて紹介します。本記事が、同様の取り組みを検討されている方々の参考になれば幸いです。
SOC2 とは
SOC2 は、アメリカの公認会計士協会 (AICPA) が策定した、サービス提供組織の情報セキュリティに関する内部統制の国際セキュリティ認証です(公式サイト)。対象となるシステムについて、以下の 5 つの Trust Service Criteria (以下、TSC) に基づき、独立した第三者機関(監査会社)によって評価されます。
- Security(セキュリティ)
- Availability(可用性)
- Processing Integrity(処理の完全性)
- Confidentiality(機密性)
- Privacy(プライバシー)
さらに、 SOC2 には Type 1 と Type 2 という 2 つの種類があります。 Type 1 は、特定の時点における内部統制の設計を評価するものであり、Type 2 は、一定期間(通常では3〜6ヶ月)にわたる内部統制の運用状況とその有効性を評価します。このため、Type 2 の方がより取得が難しく、信頼性が高いとされています。
| 比較項目 | Type 1 | Type 2 |
|---|---|---|
| 監査の焦点 | 内部統制の「設計」を評価 | 内部統制の「運用状況」とその「有効性」を評価 |
| 監査期間 | 特定の時点 | 一定期間(通常3〜6ヶ月) |
| 信頼性 | 設計時点での有効性を証明 | 設計と運用の継続的な有効性を証明 |
| 難易度 | 比較的容易 | 取得が困難 |
| 主な用途 | 内部統制の初期評価や概要把握 | 高い信頼性が求められる場合の詳細な証明 |
今回、エムシーデジタルではこのうち “Security”, “Availability”, “Confidentiality” の 3 つの TSC について、SOC2 Type2 認証を取得しました。
プレスリリース: 法人向け生成AIサービス「Tachyon 生成AI」および共通プラットフォーム「Tachyon Platform」が情報セキュリティ認証「SOC2 Type2」を取得
なお、当社が提供する SOC2 レポート については、サービスに関する詳細な内部情報やセキュリティ対策の内容を含んでいるため、秘密保持契約を締結いただいたお客様に限り提供しています。レポートの取得をご希望される場合や、内容に関してご不明な点がございましたら、弊社ホームページよりお気軽にご連絡ください。
SOC2 Type2 取得までの道のり
前置きが長くなりましたが、ここからが本題です。エムシーデジタルがどのようにして SOC2 Type2 認証を取得したのか、その具体的な道のりを詳しくご紹介します。
セキュリティ認証用の自動化プラットフォームの検討
まず私たちが直面したのは、SOC2 Type 2 認証取得に必要な膨大な作業量と、社内に十分な専門的ノウハウが不足しているという課題でした。SOC2 Type 2 の取得には、以下のような多岐にわたるタスクが求められます。
- 組織全体のプロセス整備: セキュリティポリシーや手順の策定と文書化など、組織全体での統一的なプロセスの整備
- 内部統制の設計・運用: リスク評価や管理方針の策定、モニタリング体制の構築など、内部統制システムの確立と運用
- 各種ドキュメントの作成: 手順書、ポリシー文書などの膨大な文書の作成
- 監査証跡の収集: 監査で必要となる証拠書類やログの収集と整理
これらを一から自社内で対応することは、リソースや時間の面で非常に大きな負担となることが予想されました。
このような背景から、コンプライアンス管理を自動化・効率化できるプラットフォームの活用を検討しました。具体的には、以下の 3 つのサービスについて、機能の充実度や操作性・導入コスト・サポート体制など、さまざまな観点から評価を実施し、最終的に Vanta を選定しました。
Vanta は SOC2 をはじめとするさまざまなセキュリティの認証フレームワークに対応しており、 Google Cloud などのクラウドサービスプロバイダや GitHub をはじめとした各種 SaaS、 Jamf や Microsoft Intune のような端末管理ツールなど、さまざまなサービスと連携してセキュリティ対策を自動化することができます。また、 SOC2 の監査ではさまざまなポリシーや監査証跡のドキュメントの作成が必要となりますが、 Vanta ではこれらのテンプレートも提供されており、監査までに必要な作業を効率的に進めることができます。
例えば、 SOC2 の監査に必要なタスクは以下のように一覧表示され、進捗状況をリアルタイムで確認することができます。
なお、Vanta を利用する場合、監査証跡は基本的に Vanta 上にアップロードしていくことになるため、監査会社もそれに対応できる会社を探す必要があります。弊社では、 Vanta から紹介された複数の監査会社の中から、価格やサポートなどを総合的に判断して最終的に監査会社を選定しました。
準備から監査までの流れ
Vanta を導入した後、 SOC2 Type2 の取得までの流れは大まかに以下のようになります。
1 準備
- 社内の実施体制の構築
- Vanta の導入と各種連携サービスの設定
- SOC2 の監査スコープと対象とする TSC の決定
- Vanta 上での各タスクの担当者整理と、監査スケジュールの計画立案
2 監査証跡の作成と監査会社の選定
- Vanta が提供しているテンプレートを利用しつつ、各種ポリシー文書や監査証跡を作成
- Vanta が自動検出したアラートを元に、クラウドサービスの設定見直しやアーキテクチャの変更を実施
- ペネトレーションテストの依頼・実施・報告された脆弱性の修正
- 監査会社の選定と監査スケジュール (audit window) の調整
3 監査の実施
- 指摘事項の対応(弊社の場合、 3 ヶ月間を audit window として設定)
SOC2 の監査項目としては、バックグラウンドチェックの実施状況や取締役会の議事録など、組織全体のセキュリティ対策に関する項目も多数含まれています。このため、エンジニアや社内 IT の担当者だけでなく、経営陣や人事部門など、組織全体を巻き込んで取り組む必要があります。 監査証跡の作成については、基本的には Vanta 上で未完了のタスクをひとつずつ解消していくだけなので、比較的スムーズに進めることができたと思っています。
また、Vanta 上では、 SOC2 の監査に向けた進捗状況をリアルタイムで確認することができます。以下は監査終了後に取得したスクリーンショットですが、監査の開始にはおおよそ 90 % 程度が完了していることが必要となるようです。
監査が開始すると、監査会社の担当者が Vanta 上で各項目の証跡を確認し、必要に応じて質問や追加の証跡の提出を要求してきます。弊社では、監査会社の担当者とは主に Slack でコミュニケーションを取りながら、証跡の提出や質問に対する回答を行いました。
報告書の受領
無事に監査が終了すると、監査会社から SOC2 Type2 の報告書が提出されます。報告書の内容が問題ないことを確認し、署名を行うことで正式に監査が完了となります。
これによって 1 年間は認証が有効となりますが、SOC2 Type2 は、継続的な運用が行われていることに対して認証を行うため、毎年の監査・更新が必要となります。 今回の監査を経て社内の仕組みやプロセスが整備されたため、 Vanta 上で 100 % を維持するように日々のセキュリティ対策を適切に実施することで、次回の認証取得もスムーズに進めることができると考えています。
おわりに
取得までを振り返ると、証跡の作成に想定より多くの工数が多くかかったり、監査会社との英語でのコミュニケーションに苦労したりと、さまざまな課題がありました。しかし、 Vanta の導入により、 SOC2 の取得に必要な作業を効率的に進めることができたと思います。
冒頭でも述べた通り、セキュリティは弊社にとって非常に重要なテーマであり、 SOC2 Type2 の取得はその一環として取り組んだものです。 お客様のデータを取り扱うサービスを提供する上では、セキュリティ対策は欠かせないものであり、今後も引き続きセキュリティ対策に取り組んでいきたいと考えています。
エムシーデジタルでは、技術力向上のためのイベントや勉強会なども定期的に実施しています。 もしエムシーデジタルで働くことに興味を持っていただいた方がいらっしゃいましたら、カジュアル面談も受け付けておりますので、お気軽にお声掛けください!
