本記事はソラコムが提供する「SORACOM公式ブログ」に掲載された「SOC2 Type1 レポートを受領しました!」を再編集したものです。
こんにちは、ソリューションアーキテクトの今井です。factoryというニックネームで呼ばれております。IoTプラットフォーム「SORACOM」を対象としたSOC2レポートを受領したので、今日はこれについて背景や狙い、そしてサイドストーリーをご紹介したいと思います。
SOC2とは?
SOC2という言葉を聞いたことがあるでしょうか?AWSやGoogleなどのクラウドを利用されている方、利用を検討されたことのある方の多くは聞いたことがあるのではないでしょうか。SOC2 は、米国公認会計士協会(AICPA)の既存の Trust サービス基準(TSC)の監査基準審議会に基づく報告書です。この報告書は、セキュリティ、可用性、処理の完全性、機密保持、プライバシーに関して組織の情報システムに影響を与える内部統制を評価することを目的としています。
クラウド以前の時代には、サービスを利用するにあたって当該プロバイダのデータセンターやオフィスへのオンサイト監査をユーザー自身が実施する、ということが一般的でした(もちろん、すべてのユーザーがやっていたわけではありません)。しかし、AWSを始めとするクラウドプロバイダは自身のデータセンターの場所や物理的なオペレーションを開示すること自体がセキュリティリスクであると捉え、こういった情報開示を行っていません。
これは非常にリーズナブルな判断ですが、ユーザー側としてはこれまでの監査基準に則った監査を行うことができず、利用可否の判断ができなくなってしまうケースがありました。また、AWSなどのクラウドプロバイダ側も「使ってほしいけど使ってもらいづらい」というような困った状態に陥ることがありました。
このギャップを埋めるためのひとつのツールがSOC2レポートです。このレポートは前述のように公開された評価軸、評価項目に則ったレポートであること、またISO監査などと違い、監査会社によって内容を保証されたレポートであることが特徴です。つまり、レポートの内容について監査を行った会社が責任を持ってくれるというものです。
ソラコムがSOC2を取るとどうなる?
今回、ソラコムでは「セキュリティ」に加え「機密保持」を保証対象カテゴリーとして追加しSOC2レポートを受領しました。なぜこの項目を追加したのでしょうか?これは、可用性や処理の整合性など、システムのアーキテクチャやその信頼性、可用性についてはこれまでも積極的に情報を公開してきており、今後もそれは変わることはないと考えているためです。例としては、以下のようなCTO安川のプレゼンテーションがあげられます。
一方、機密保持のような項目については分かりやすい説明の難しさとその手法を公開していくこと自体にもリスクを含む可能性があるため、SOC2対応の監査を受け、その結果のレポートを提供していくという判断をいたしました。
関連分野での取り組みとして、セキュリティに対する信頼性を高めるためにソラコムではこれまでも総務省のガイドラインに従ったセキュリティチェックシートの公開や、ISMS(ISO/IEC 27001)の取得を行ってきました。今回のSOC2レポートの取得はこの取り組みの延長線上にあり、より多くのお客様にIoTプラットフォームSORACOMをご利用いただく際の安心度の透明性を高めるためのものであります。
また、実はそれ以外にも多くの得るものがありました。例えばこれまで明文化されていなかったシステムの監視やデプロイプロセスについて、各種ルールやその運用、背景について統一的に文書化されていなかった部分の洗い出しと、それをフォローするための文書化などを行うことができました。これはあくまで一例ですが、この監査自体がプラットフォームとしてのSORACOM、組織としてのソラコムを強くしてくれたということも言えます。
SORACOM Discovery 2024では、担当者が登壇するセッションがあります
2024/7/17に開催されるSORACOM Discovery 2024では、本件の担当者にインタビュー形式でSOC2やその意義と目的、またその苦労などを語ってもらうセッションがあります。このブログではカバーできていないようなディープなお話も聞けると思います。わたしがモデレータをするのでガンガンインタビューで掘っていきますので、ご興味お持ちの方はぜひSORACOM Discoveryにお越しください!
― ソラコム今井 (factory)
投稿 SOC2 Type1 レポートを受領しました! は SORACOM公式ブログ に最初に表示されました。
この連載の記事
-
第425回
デジタル
IoT x GenAI Labによる生成AIプロジェクトの実際: 三菱電機様の場合 -
第424回
デジタル
AIによる問い合わせ回答はここまで来た!SORACOM Support Botの実力と適した質問 -
第423回
デジタル
IoTの最新ソリューションが集結!スポンサー展示の見どころをご紹介【SORACOM Discovery 2024】 -
第422回
デジタル
IoTのデータ活用を広げる「通知」を SORACOM Lagoonで設定するポイント -
第420回
デジタル
IoTを始めよう!2024年夏の IoT デバイス特価キャンペーン -
第419回
デジタル
ソラカメ デモルームに工場設備の巡回・点検効率化サービスのデモ展示を新設、新規導入事例のご紹介 takuyaのほぼ週刊ソラコム 06/15-06/28 -
第418回
デジタル
IoTの基礎から学べる書籍「IoTの知識地図」SORACOM IoTストアで取り扱い開始 -
第417回
デジタル
スマホでもWebブラウザでも、ソラカメの各種の操作が可能に! -
第416回
デジタル
今年は17作品!触れて学べる「IoTプロトタイピングコーナー」ご紹介【SORACOM Discovery 2024】 -
第415回
デジタル
IoTプラットフォームを活用したEV充電器の導入事例