“性善説”で考えるセキュリティ、もうやめませんか？：【新連載】今日から始める「性悪説セキュリティ」（2/2 ページ）

[齊藤愼仁，ITmedia]

「SOC2」ではセキュリティの何を見られるの？

　SOC2は一般的な外部監査と同様、クライテリアと呼ばれる一定の基準が存在します。以下の5項目から2項目以上を選択することが必須となっています。

• セキュリティ
• 可用性
• 処理のインテグリティ
• 機密保持
• プライバシー

　さらにSOC2には「type1」と「type2」という2種類があり、ある1日の状態を示したレポートがtype1、ある3カ月以上を切りだした状態を示したレポートがtype2となります。type2については、セキュリティにまつわる運用がきちんとできているかという点も見られると考えてください。従って、SOC2ではこれら5項目全てを選択し、type2で監査されたものが、最も厳しい監査だと考えてよいでしょう。

　ISMSなどをはじめとした多くの監査では、1年に1回の更新審査がありますが、SOC2にはそれが存在せず、あくまで自主的に更新することを求めています。例えばAmazon Web ServicesのSOC2 type2レポートは、半年に1回の頻度で自主更新しているのです。

SOC2で作成されたレポートを自主的に更新していくサービス事業者は多いです（写真はイメージです）

“性善説”が一切許されない「SOC2」――cloudpackでは1年半もかかった

　SOC2における全ての監査要求事項では一貫して、セキュリティにおける「性悪説」が問われるのが特徴です。例えば、「もしも、管理者が悪意を持ってシステムを破壊したらどう対応するのか」「もしも経営者が事故で業務不可能に陥った場合に、事業継続できるのか」などです。そんなケースまで想定するの？　と思った方もいるかもしれません。

　一般的なIT企業の場合、現場部門に一定の権限を渡すことで業務効率が飛躍的に上がるのはよくある話ですが、それはそれとして情報セキュリティを会社としてどう担保しているのかを証明する必要があります。

　SOC2の興味深いところは、これらの無理難題を“クリアしなさいとは言ってこない”点です。あくまでもレポートとして記述されるので、会社のありのままの状況が記述されます。つまり、ダメな部分はリスクとしてはっきり記述されてしまうわけです。せっかく素晴らしいSOC2レポートを作ろうとしているのに、ダメ出しばかりではとても顧客に開示できる資料にはなりません。なので、皆必死になって環境整備を始めるのです。

　cloudpackでは、SOC2をやろうと決めてから、オフィスの堅牢性、物理セキュリティや人材計画、教育、ネットワーク総入れ替え、クラウドサービスの選定と評価、認証基盤の再設計など何もかもをやり直した結果、1年半ほどかかりました。

　その結果、自社の情報セキュリティ状況を全て開示できるまでになり、さらには「監査のためだけに資料を準備して、その日だけ乗り切る」というありがちなこともなくなりました。業務効率の向上を最優先にして監査項目をクリアさせたため、社内の環境は劇的に改善されたのです。

　次回からは、普段あまり目にすることのない「SOC2」のクライテリアと、cloudpackのSOC2監査内容に沿って、企業のセキュリティ体制について気を付けるべきポイントを紹介しつつ、セキュリティの大切さに気付いてもらうための上司の説得方法も紹介していこうと思います。お楽しみに！

著者プロフィール：齊藤愼仁（さいとうしんじ）

アイレット cloudpack事業部にて情報システム、ネットワーク、セキュリティ（cloudpack-CSIRT含む）にわたる3チームを統括し、並びに情報セキュリティ管理責任者、個人情報管理責任者、PCI DSS管理責任者を兼務する。

情報システム部門であると同時に自社の監査機能も持ち合わせているため、業務効率化とセキュリティレベルの向上を同時に実現させるべく、日々奮闘中。

• ブログ：「ロードバランスすだちくん」