こんにちは、ソリューションアーキテクトの今井です。factoryというニックネームで呼ばれております。IoTプラットフォーム「SORACOM」を対象としたSOC2レポートを受領したので、今日はこれについて背景や狙い、そしてサイドストーリーをご紹介したいと思います。
SOC2とは?
SOC2という言葉を聞いたことがあるでしょうか?AWSやGoogleなどのクラウドを利用されている方、利用を検討されたことのある方の多くは聞いたことがあるのではないでしょうか。SOC2 は、米国公認会計士協会(AICPA)の既存の Trust サービス基準(TSC)の監査基準審議会に基づく報告書です。この報告書は、セキュリティ、可用性、処理の完全性、機密保持、プライバシーに関して組織の情報システムに影響を与える内部統制を評価することを目的としています。
クラウド以前の時代には、サービスを利用するにあたって当該プロバイダのデータセンターやオフィスへのオンサイト監査をユーザー自身が実施する、ということが一般的でした(もちろん、すべてのユーザーがやっていたわけではありません)。しかし、AWSを始めとするクラウドプロバイダは自身のデータセンターの場所や物理的なオペレーションを開示すること自体がセキュリティリスクであると捉え、こういった情報開示を行っていません。
これは非常にリーズナブルな判断ですが、ユーザー側としてはこれまでの監査基準に則った監査を行うことができず、利用可否の判断ができなくなってしまうケースがありました。また、AWSなどのクラウドプロバイダ側も「使ってほしいけど使ってもらいづらい」というような困った状態に陥ることがありました。
このギャップを埋めるためのひとつのツールがSOC2レポートです。このレポートは前述のように公開された評価軸、評価項目に則ったレポートであること、またISO監査などと違い、監査会社によって内容を保証されたレポートであることが特徴です。つまり、レポートの内容について監査を行った会社が責任を持ってくれるというものです。
ソラコムがSOC2を取るとどうなる?
今回、ソラコムでは「セキュリティ」に加え「機密保持」を保証対象カテゴリーとして追加しSOC2レポートを受領しました。なぜこの項目を追加したのでしょうか?これは、可用性や処理の整合性など、システムのアーキテクチャやその信頼性、可用性についてはこれまでも積極的に情報を公開してきており、今後もそれは変わることはないと考えているためです。例としては、以下のようなCTO安川のプレゼンテーションがあげられます。
一方、機密保持のような項目については分かりやすい説明の難しさとその手法を公開していくこと自体にもリスクを含む可能性があるため、SOC2対応の監査を受け、その結果のレポートを提供していくという判断をいたしました。
関連分野での取り組みとして、セキュリティに対する信頼性を高めるためにソラコムではこれまでも総務省のガイドラインに従ったセキュリティチェックシートの公開や、ISMS(ISO/IEC 27001)の取得を行ってきました。今回のSOC2レポートの取得はこの取り組みの延長線上にあり、より多くのお客様にIoTプラットフォームSORACOMをご利用いただく際の安心度の透明性を高めるためのものであります。
また、実はそれ以外にも多くの得るものがありました。例えばこれまで明文化されていなかったシステムの監視やデプロイプロセスについて、各種ルールやその運用、背景について統一的に文書化されていなかった部分の洗い出しと、それをフォローするための文書化などを行うことができました。これはあくまで一例ですが、この監査自体がプラットフォームとしてのSORACOM、組織としてのソラコムを強くしてくれたということも言えます。
SORACOM Discovery 2024では、担当者が登壇するセッションがあります
2024/7/17に開催されるSORACOM Discovery 2024では、本件の担当者にインタビュー形式でSOC2やその意義と目的、またその苦労などを語ってもらうセッションがあります。このブログではカバーできていないようなディープなお話も聞けると思います。わたしがモデレータをするのでガンガンインタビューで掘っていきますので、ご興味お持ちの方はぜひSORACOM Discoveryにお越しください!
― ソラコム今井 (factory)