本記事はソラコムが提供する「SORACOM公式ブログ」に掲載された「SOC2 Type1 レポートを受領しました!」を再編集したものです。
こんにちは、ソリューションアーキテクトの今井です。factoryというニックネームで呼ばれております。IoTプラットフォーム「SORACOM」を対象としたSOC2レポートを受領したので、今日はこれについて背景や狙い、そしてサイドストーリーをご紹介したいと思います。
SOC2とは?
SOC2という言葉を聞いたことがあるでしょうか?AWSやGoogleなどのクラウドを利用されている方、利用を検討されたことのある方の多くは聞いたことがあるのではないでしょうか。SOC2 は、米国公認会計士協会(AICPA)の既存の Trust サービス基準(TSC)の監査基準審議会に基づく報告書です。この報告書は、セキュリティ、可用性、処理の完全性、機密保持、プライバシーに関して組織の情報システムに影響を与える内部統制を評価することを目的としています。
クラウド以前の時代には、サービスを利用するにあたって当該プロバイダのデータセンターやオフィスへのオンサイト監査をユーザー自身が実施する、ということが一般的でした(もちろん、すべてのユーザーがやっていたわけではありません)。しかし、AWSを始めとするクラウドプロバイダは自身のデータセンターの場所や物理的なオペレーションを開示すること自体がセキュリティリスクであると捉え、こういった情報開示を行っていません。
これは非常にリーズナブルな判断ですが、ユーザー側としてはこれまでの監査基準に則った監査を行うことができず、利用可否の判断ができなくなってしまうケースがありました。また、AWSなどのクラウドプロバイダ側も「使ってほしいけど使ってもらいづらい」というような困った状態に陥ることがありました。
このギャップを埋めるためのひとつのツールがSOC2レポートです。このレポートは前述のように公開された評価軸、評価項目に則ったレポートであること、またISO監査などと違い、監査会社によって内容を保証されたレポートであることが特徴です。つまり、レポートの内容について監査を行った会社が責任を持ってくれるというものです。
ソラコムがSOC2を取るとどうなる?
今回、ソラコムでは「セキュリティ」に加え「機密保持」を保証対象カテゴリーとして追加しSOC2レポートを受領しました。なぜこの項目を追加したのでしょうか?これは、可用性や処理の整合性など、システムのアーキテクチャやその信頼性、可用性についてはこれまでも積極的に情報を公開してきており、今後もそれは変わることはないと考えているためです。例としては、以下のようなCTO安川のプレゼンテーションがあげられます。
一方、機密保持のような項目については分かりやすい説明の難しさとその手法を公開していくこと自体にもリスクを含む可能性があるため、SOC2対応の監査を受け、その結果のレポートを提供していくという判断をいたしました。
関連分野での取り組みとして、セキュリティに対する信頼性を高めるためにソラコムではこれまでも総務省のガイドラインに従ったセキュリティチェックシートの公開や、ISMS(ISO/IEC 27001)の取得を行ってきました。今回のSOC2レポートの取得はこの取り組みの延長線上にあり、より多くのお客様にIoTプラットフォームSORACOMをご利用いただく際の安心度の透明性を高めるためのものであります。
また、実はそれ以外にも多くの得るものがありました。例えばこれまで明文化されていなかったシステムの監視やデプロイプロセスについて、各種ルールやその運用、背景について統一的に文書化されていなかった部分の洗い出しと、それをフォローするための文書化などを行うことができました。これはあくまで一例ですが、この監査自体がプラットフォームとしてのSORACOM、組織としてのソラコムを強くしてくれたということも言えます。
SORACOM Discovery 2024では、担当者が登壇するセッションがあります
2024/7/17に開催されるSORACOM Discovery 2024では、本件の担当者にインタビュー形式でSOC2やその意義と目的、またその苦労などを語ってもらうセッションがあります。このブログではカバーできていないようなディープなお話も聞けると思います。わたしがモデレータをするのでガンガンインタビューで掘っていきますので、ご興味お持ちの方はぜひSORACOM Discoveryにお越しください!
― ソラコム今井 (factory)
投稿 SOC2 Type1 レポートを受領しました! は SORACOM公式ブログ に最初に表示されました。
この連載の記事
-
第474回
デジタル
SORACOM Flux の AI アクションに Amazon Bedrock – Anthropic Claude 3.5 Haiku を追加、Teltonika RUT240 の価格を改訂 takuyaのほぼ週刊ソラコム 11/02-11/15 -
第473回
デジタル
IoTセキュリティの基本知識と実践をご紹介 ― 10/31開催:SORACOMユーザー向けオンラインセミナー開催レポート -
第472回
デジタル
SORACOM Flux に追加された Incoming Webhook をつかってインタラクティブな Flux アプリを作る -
第471回
デジタル
サーバールームの異常な温度上昇を通知する新規掲載レシピのご紹介 -
第470回
デジタル
Virtual Private Gateway (VPG) Type-F2 が正式リリースになりました! -
第469回
デジタル
暗号化非対応のTCPクライアントでもNapterまでの通信を暗号化する方法 -
第468回
デジタル
SORACOM Beam や SORACOM Flux の開発・デバッグに使える HTTP モックサーバーを素早く作る方法 -
第467回
デジタル
IoTプラットフォームSORACOMの契約回線数が700万を突破、次世代SIMテクノロジー「iSIM」を商用化、搭載モジュールを提供開始 takuyaのほぼ週刊ソラコム 10/12-11/02 -
第466回
デジタル
カメラとAIで楽器演奏シーンを簡単に残す、IoTプロトタイピングの裏側 -
第465回
デジタル
数千を超えるIoT機器を管理!生成AIで設備運用を効率化するhacomonoの挑戦