SOC2で評価される統制の例
SOC2では、組織全体の情報セキュリティ体制(ガバナンスやリスク管理等)に加え、技術的なセキュリティ対策の有効性も含めて検証が行われます。 これは、ISMSが主にPDCAを中心とした情報セキュリティ体制の整備・運用に重点を置いているのに対し、SOC2ではアクセス制御や脆弱性管理などの技術的なセキュリティ対策の有効性にまで踏み込んで評価される点が大きな特徴です。
SOC2の評価は、AICPAが定めるトラストサービス基準(共通統制基準:CC1~CC9)に沿って、以下のような多層的統制の整備・運用状況が対象となります。
(なお、セキュリティ以外のカテゴリーを追加する場合には、そのカテゴリーに対応する追加基準も満たす必要があります)
CC1~CC5:ガバナンス・リスクアセスメント・モニタリング等に関する統制
ISMSと同様に、情報セキュリティ体制に関する評価項目であり、以下のような統制が該当します:
- 人材の採用および育成(研修の実施を含む)
- 情報セキュリティに関する方針・規程の整備と周知
- リスクアセスメントの実施
- 対応策の策定およびその実施
- 内部監査などのモニタリングの実施、改善対応の記録・フォローアップ
CC6~CC9:セキュリティに関する技術的な内部統制
以下のような技術的なセキュリティ統制も、実際の運用実績とともに検証対象となります(以下は一例であり網羅的な記載ではありません):
- ネットワーク管理:ファイアウォール、WAF、IDS/IPS 等の運用管理
- データ暗号化:保存時および通信時の暗号化の適用状況
- エンドポイント管理:MDM や EDR によるデバイス制御
- 脆弱性管理:定期的な脆弱性スキャンやペネトレーションテストの実施と対処
- アクセス制御:ID 管理、認証・認可、最小権限の原則、物理セキュリティ対策 など
これらは主に、以下の基準に関連しています:
- CC6:アクセス制御
- CC7:システムの監視と運用管理
- CC8:システム変更管理
- CC9:リスク対応およびインシデント対応計画
(関連リンク)