トップ > セキュリティ技術解説 > SOC2報告書の核心:トラストサービスの原則を徹底解説
最終更新日

SOC2報告書の核心:トラストサービスの原則を徹底解説

セキュリティ技術解説
プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

外部監査の重要性

皆さん、こんにちは。情シスセキュリティ担当の城咲子です。

クラウドサービスの利用が拡大する中、外部ベンダーのセキュリティ対策をどのように評価すれば良いか、頭を悩ませている方も多いのではないでしょうか。自社の情報資産を預ける以上、単に「セキュリティ対策をしています」というベンダーの言葉を鵜呑みにすることはできません。

そこで重要になるのが、第三者による監査報告書です。

多くのベンダーが取得している報告書の一つに、SOC2報告書があります。これは、米国公認会計士協会(AICPA)が定めた基準に基づき、サービスを提供する企業(サービス組織)が、顧客のデータを安全に取り扱っていることを証明するものです。

今回は、このSOC2報告書の核心であるトラストサービスの原則について、私の知見と具体的な例を交えながら詳しく解説します。

SOC2報告書の核心:トラストサービスの原則とは

トラストサービスの原則(Trust Services Criteria)とは、SOC2報告書で評価される、セキュリティ、可用性、処理の完全性、機密性、プライバシーの5つのカテゴリを指します。これらの原則は、サービス組織が顧客のデータをどのように保護しているかを客観的に評価するための基準となります。

SOC2報告書は、これらの5つの原則の中から、サービス組織が提供するサービスにとって適切な原則を選択して評価されます。必ずしも5つ全てが対象となるわけではありません。

1. セキュリティ (Security)

セキュリティは、システムや情報が不正アクセスから保護されているかを評価する原則です。これは5つの原則の中で唯一必須とされており、SOC2報告書には必ず含まれます。

  • 評価対象の具体例:
    • 不正アクセス防止: ネットワークファイアウォール、侵入検知システム(IDS)、多要素認証(MFA)の導入状況。
    • 論理的アクセス制御: ユーザー認証、パスワードポリシー、権限管理が適切に行われているか。
    • 物理的セキュリティ: データセンターへの入退室管理、監視カメラ、警備体制。
    • 暗号化: 保存データや通信データの暗号化の有無と方法。

2. 可用性 (Availability)

可用性は、システムや情報が、顧客との合意に基づき、いつでも利用可能であるかを評価する原則です。

  • 評価対象の具体例:
    • システム稼働率: サービス稼働時間のモニタリング、SLA(サービスレベルアグリーメント)の遵守状況。
    • 災害復旧計画(DRP): 大規模な災害発生時の復旧手順や、バックアップ体制が整備されているか。
    • システム性能: システムの処理能力や応答時間が、顧客の要件を満たしているか。

3. 処理の完全性 (Processing Integrity)

処理の完全性は、システム処理が正確、完全、タイムリー、かつ承認されているかを評価する原則です。

  • 評価対象の具体例:
    • データ処理の正確性: 財務データや顧客情報の計算処理に誤りがないか。
    • 処理の完了性: バッチ処理などが、途中で中断することなく正常に完了しているか。
    • エラー処理: 処理エラーが発生した場合に、適切に検知・修正する仕組みがあるか。

4. 機密性 (Confidentiality)

機密性は、機密情報が、許可されたユーザーにのみ開示されているかを評価する原則です。

  • 評価対象の具体例:
    • データの分類: 機密情報(例:企業秘密、顧客情報)が適切に分類されているか。
    • アクセス制御: 特定の機密情報にアクセスできるユーザーを制限する仕組みがあるか。
    • 情報開示の制御: 機密情報を外部に提供する際の承認プロセスが確立されているか。

5. プライバシー (Privacy)

プライバシーは、個人を特定できる情報(PII)が、プライバシーに関する通知や規約に従って収集、利用、保持、開示、廃棄されているかを評価する原則です。

  • 評価対象の具体例:
    • プライバシーポリシー: サービス組織が、PIIの取り扱いに関する明確なプライバシーポリシーを公開しているか。
    • 同意の取得: PIIを収集する際に、ユーザーからの適切な同意を得ているか。
    • データ保持期間: 法律や規制に基づき、PIIの保持期間を定め、期間経過後に適切に廃棄しているか。

まとめ:SOC2報告書の活用法

今回のブログでは、SOC2報告書を理解する上で不可欠なトラストサービスの原則について解説しました。

  • セキュリティ(必須)可用性処理の完全性機密性プライバシーの5つの原則から構成されます。
  • サービス組織は、提供するサービスに応じてこれらの原則を選択し、監査を受けます。

情シスセキュリティ担当の皆さんには、ベンダーからSOC2報告書を入手した際、単に「SOC2を取得している」という事実だけでなく、どのトラストサービスの原則が評価対象となっているかを必ず確認することをお勧めします。

自社のビジネスにとって重要な原則が網羅されているかを確認することで、より安心してサービスを利用できるベンダーを選定できるはずです。