本記事はソラコムが提供する「SORACOM公式ブログ」に掲載された「SOC2 Type1 レポートを受領しました!」を再編集したものです。
こんにちは、ソリューションアーキテクトの今井です。factoryというニックネームで呼ばれております。IoTプラットフォーム「SORACOM」を対象としたSOC2レポートを受領したので、今日はこれについて背景や狙い、そしてサイドストーリーをご紹介したいと思います。
SOC2とは?
SOC2という言葉を聞いたことがあるでしょうか?AWSやGoogleなどのクラウドを利用されている方、利用を検討されたことのある方の多くは聞いたことがあるのではないでしょうか。SOC2 は、米国公認会計士協会(AICPA)の既存の Trust サービス基準(TSC)の監査基準審議会に基づく報告書です。この報告書は、セキュリティ、可用性、処理の完全性、機密保持、プライバシーに関して組織の情報システムに影響を与える内部統制を評価することを目的としています。
クラウド以前の時代には、サービスを利用するにあたって当該プロバイダのデータセンターやオフィスへのオンサイト監査をユーザー自身が実施する、ということが一般的でした(もちろん、すべてのユーザーがやっていたわけではありません)。しかし、AWSを始めとするクラウドプロバイダは自身のデータセンターの場所や物理的なオペレーションを開示すること自体がセキュリティリスクであると捉え、こういった情報開示を行っていません。
これは非常にリーズナブルな判断ですが、ユーザー側としてはこれまでの監査基準に則った監査を行うことができず、利用可否の判断ができなくなってしまうケースがありました。また、AWSなどのクラウドプロバイダ側も「使ってほしいけど使ってもらいづらい」というような困った状態に陥ることがありました。
このギャップを埋めるためのひとつのツールがSOC2レポートです。このレポートは前述のように公開された評価軸、評価項目に則ったレポートであること、またISO監査などと違い、監査会社によって内容を保証されたレポートであることが特徴です。つまり、レポートの内容について監査を行った会社が責任を持ってくれるというものです。
ソラコムがSOC2を取るとどうなる?
今回、ソラコムでは「セキュリティ」に加え「機密保持」を保証対象カテゴリーとして追加しSOC2レポートを受領しました。なぜこの項目を追加したのでしょうか?これは、可用性や処理の整合性など、システムのアーキテクチャやその信頼性、可用性についてはこれまでも積極的に情報を公開してきており、今後もそれは変わることはないと考えているためです。例としては、以下のようなCTO安川のプレゼンテーションがあげられます。
一方、機密保持のような項目については分かりやすい説明の難しさとその手法を公開していくこと自体にもリスクを含む可能性があるため、SOC2対応の監査を受け、その結果のレポートを提供していくという判断をいたしました。
関連分野での取り組みとして、セキュリティに対する信頼性を高めるためにソラコムではこれまでも総務省のガイドラインに従ったセキュリティチェックシートの公開や、ISMS(ISO/IEC 27001)の取得を行ってきました。今回のSOC2レポートの取得はこの取り組みの延長線上にあり、より多くのお客様にIoTプラットフォームSORACOMをご利用いただく際の安心度の透明性を高めるためのものであります。
また、実はそれ以外にも多くの得るものがありました。例えばこれまで明文化されていなかったシステムの監視やデプロイプロセスについて、各種ルールやその運用、背景について統一的に文書化されていなかった部分の洗い出しと、それをフォローするための文書化などを行うことができました。これはあくまで一例ですが、この監査自体がプラットフォームとしてのSORACOM、組織としてのソラコムを強くしてくれたということも言えます。
SORACOM Discovery 2024では、担当者が登壇するセッションがあります
2024/7/17に開催されるSORACOM Discovery 2024では、本件の担当者にインタビュー形式でSOC2やその意義と目的、またその苦労などを語ってもらうセッションがあります。このブログではカバーできていないようなディープなお話も聞けると思います。わたしがモデレータをするのでガンガンインタビューで掘っていきますので、ご興味お持ちの方はぜひSORACOM Discoveryにお越しください!
― ソラコム今井 (factory)
投稿 SOC2 Type1 レポートを受領しました! は SORACOM公式ブログ に最初に表示されました。
この連載の記事
-
第489回
デジタル
業界別に学べる、IoT・デジタル化の課題と解決策の動画を公開 -
第488回
デジタル
M5StackからSORACOM、そしてAWSを体験!北陸のIoTイベント ― IoT Get Started Day レポート -
第487回
デジタル
ソラコムサンタより愛をこめて 2024 -
第486回
デジタル
SORACOMをもっと便利に!無料機能フル活用&SIMの選び方 -
第485回
デジタル
省電力通信LTE-M対応の小型マイコンボードをSORACOM IoTストアで提供開始、ローコードIoTアプリケーションビルダー「SORACOM Flux」の料金プランを発表 takuyaのほぼ週刊ソラコム 11/30-12/13 -
第484回
デジタル
AWS re:Invent 2024に見る、IoTの成熟と生成AIとの融合 -
第483回
デジタル
二歳半の子供を持つエンジニアの一日の働き方 -
第482回
デジタル
VPN 対応の産業用 LTE ルーターの価格改定【30%オフ】 -
第481回
デジタル
時間帯に応じたメール通知の構築方法 : SORACOM LTE-M Button と SORACOM Flux の活用 -
第480回
デジタル
SORACOM Flux 料金プランを発表しました