本記事はソラコムが提供する「SORACOM公式ブログ」に掲載された「SOC2 Type1 レポートを受領しました!」を再編集したものです。
こんにちは、ソリューションアーキテクトの今井です。factoryというニックネームで呼ばれております。IoTプラットフォーム「SORACOM」を対象としたSOC2レポートを受領したので、今日はこれについて背景や狙い、そしてサイドストーリーをご紹介したいと思います。
SOC2とは?
SOC2という言葉を聞いたことがあるでしょうか?AWSやGoogleなどのクラウドを利用されている方、利用を検討されたことのある方の多くは聞いたことがあるのではないでしょうか。SOC2 は、米国公認会計士協会(AICPA)の既存の Trust サービス基準(TSC)の監査基準審議会に基づく報告書です。この報告書は、セキュリティ、可用性、処理の完全性、機密保持、プライバシーに関して組織の情報システムに影響を与える内部統制を評価することを目的としています。
クラウド以前の時代には、サービスを利用するにあたって当該プロバイダのデータセンターやオフィスへのオンサイト監査をユーザー自身が実施する、ということが一般的でした(もちろん、すべてのユーザーがやっていたわけではありません)。しかし、AWSを始めとするクラウドプロバイダは自身のデータセンターの場所や物理的なオペレーションを開示すること自体がセキュリティリスクであると捉え、こういった情報開示を行っていません。
これは非常にリーズナブルな判断ですが、ユーザー側としてはこれまでの監査基準に則った監査を行うことができず、利用可否の判断ができなくなってしまうケースがありました。また、AWSなどのクラウドプロバイダ側も「使ってほしいけど使ってもらいづらい」というような困った状態に陥ることがありました。
このギャップを埋めるためのひとつのツールがSOC2レポートです。このレポートは前述のように公開された評価軸、評価項目に則ったレポートであること、またISO監査などと違い、監査会社によって内容を保証されたレポートであることが特徴です。つまり、レポートの内容について監査を行った会社が責任を持ってくれるというものです。
ソラコムがSOC2を取るとどうなる?
今回、ソラコムでは「セキュリティ」に加え「機密保持」を保証対象カテゴリーとして追加しSOC2レポートを受領しました。なぜこの項目を追加したのでしょうか?これは、可用性や処理の整合性など、システムのアーキテクチャやその信頼性、可用性についてはこれまでも積極的に情報を公開してきており、今後もそれは変わることはないと考えているためです。例としては、以下のようなCTO安川のプレゼンテーションがあげられます。
一方、機密保持のような項目については分かりやすい説明の難しさとその手法を公開していくこと自体にもリスクを含む可能性があるため、SOC2対応の監査を受け、その結果のレポートを提供していくという判断をいたしました。
関連分野での取り組みとして、セキュリティに対する信頼性を高めるためにソラコムではこれまでも総務省のガイドラインに従ったセキュリティチェックシートの公開や、ISMS(ISO/IEC 27001)の取得を行ってきました。今回のSOC2レポートの取得はこの取り組みの延長線上にあり、より多くのお客様にIoTプラットフォームSORACOMをご利用いただく際の安心度の透明性を高めるためのものであります。
また、実はそれ以外にも多くの得るものがありました。例えばこれまで明文化されていなかったシステムの監視やデプロイプロセスについて、各種ルールやその運用、背景について統一的に文書化されていなかった部分の洗い出しと、それをフォローするための文書化などを行うことができました。これはあくまで一例ですが、この監査自体がプラットフォームとしてのSORACOM、組織としてのソラコムを強くしてくれたということも言えます。
SORACOM Discovery 2024では、担当者が登壇するセッションがあります
2024/7/17に開催されるSORACOM Discovery 2024では、本件の担当者にインタビュー形式でSOC2やその意義と目的、またその苦労などを語ってもらうセッションがあります。このブログではカバーできていないようなディープなお話も聞けると思います。わたしがモデレータをするのでガンガンインタビューで掘っていきますので、ご興味お持ちの方はぜひSORACOM Discoveryにお越しください!
― ソラコム今井 (factory)
投稿 SOC2 Type1 レポートを受領しました! は SORACOM公式ブログ に最初に表示されました。
この連載の記事
-
第466回
デジタル
カメラとAIで楽器演奏シーンを簡単に残す、IoTプロトタイピングの裏側 -
第465回
デジタル
数千を超えるIoT機器を管理!生成AIで設備運用を効率化するhacomonoの挑戦 -
第464回
デジタル
SORACOMのビジネスパートナープログラムに、新たに5社の認定済パートナーが参画、SORACOM Harvest Data で日時データをタイムスタンプとして利用可能に takuyaのほぼ週刊ソラコム 08/31-09/13 -
第463回
デジタル
SORACOM Lagoon 3 の Alert rule の考え方をマスターして、最適な通知を作成 -
第462回
デジタル
LTE USB ドングル UD-USC1 を SORACOM サービスと組み合わせて利用する -
第461回
デジタル
EV充電インフラを保護する5つの方法 -
第460回
デジタル
IoT プロジェクトの課題を解決する、SORACOM サービスの活用事例 -
第459回
デジタル
ATOM Cam 2 専用 LAN アダプターを販売開始、ソラカメのクラウド録画マルチストリーミング再生機能をリリース takuyaのほぼ週刊ソラコム 08/17-08/30 -
第458回
デジタル
IoTで接続された充電ステーションがEVの普及を促進する -
第457回
デジタル
SORACOM Napterがさらに便利に!リモートアクセスの安全性と利便性を両立したWebターミナルのご紹介