こんにちは、IT Security Officer の高橋(ニックネームは mash )です。
この度、私たちが開発・運用するIoTプラットフォーム「SORACOM」が、「SOC 2 Type 2 レポート」を受領したことをご報告します。
これは、お客様がプラットフォーム「SORACOM」を安心してご利用いただくための「信頼の証明書」のようなものです。特に、お客様が実施されるセキュリティ監査の負担を大きく軽減できると考えています。本記事では、このレポートがお客様のビジネスにどう役立つのか、1年前に取得した「SOC 2 Type 1」との違いも交えながら、分かりやすく解説します。私たちが提供するIoTプラットフォームを「SORACOM」、株式会社ソラコムを「ソラコム」と表記します。
「SOC 2 レポート」とは? ― “信頼性”を客観的に証明する仕組み
まずは「SOC 2 レポート」について簡単にご紹介します。一言でいうと、クラウドサービスなどの信頼性を、第三者の専門家(公認会計士)が国際的な基準である米国公認会計士協会(AICPA)の定めたTrustサービス規準に基づいて評価した「保証報告書」です。
ちょうど1年ほど前の 2024年6月、私たちはまず、特定時点での体制を評価する「SOC 2 Type 1」レポートを取得しました。そして今回、その次のステップである一定期間の運用状況まで評価する「SOC 2 Type 2」レポートを取得しました。この2つの違いは「健康診断」に例えると分かりやすいかもしれません。
- SOC 2 Type 1 レポート(1年前に取得)
- サービス提供のためのルールや体制が、基準に沿ってきちんと「整備されているか」を評価します。
- ある一日だけの「健康診断」のようなものです。
- SOC 2 Type 2 レポート(今回取得)
- SOC 2 Type 1 の評価項目に加えて、整備されたルールや体制が、一定期間、実際に「有効に運用され続けているか」を評価します。
- 過去数ヶ月にわたる「生活習慣の記録」も確認する、より詳細な健康診断です。
このように段階を経て、今回、より厳格で信頼性の高い証明となる Type 2 レポートを取得することができました。
SORACOMが証明した3つの信頼性
今回SORACOMは、IoTプラットフォームに特に重要だと考える以下の3つの項目(Trustサービス規準)で評価を受けました。
- セキュリティ: サイバー攻撃からシステム全体を守る仕組み
- 悪意のある第三者による不正なアクセスを防ぐための対策が適切に運用されているか、といった点を評価。
- 機密保持: お客様の大切な情報を許可なく閲覧・利用させない仕組み
- お客様の登録情報や利用データといった「機密情報」を、限定された従業員だけが必要な範囲でのみアクセスできるように管理されているか、データの保管や廃棄が安全に行われているか、といった点を評価。
- 可用性(今回追加!): いつでも安定してサービスを提供し続けられる仕組み
- 一部のサーバーに障害が発生してもサービス全体が停止しないような冗長設計になっているか、万一の災害時にもサービスを復旧できる計画と訓練はされているか、24時間365日の監視体制が整っているか、といった点を評価。
これにより、SORACOMの信頼性がさらに高まったことを客観的に示すことができるようになりました。
お客様のこんな課題を解決します:SOC 2 レポートの具体的な使い方
では、このレポートは、お客様にとって具体的にどのように役立つのでしょうか?
セキュリティリスクを考慮したサプライチェーン管理、どうしていますか?
情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2025」でも2位に位置付けられていますが、「サプライチェーンの弱点を悪用した攻撃」が常に上位に挙げられます。
「サプライチェーン」とは、製品が原材料の調達から製造、販売を経てお客様に届くまでの一連の「供給の連鎖」を指します。ITの世界では、皆様のビジネスを支えるソフトウェアや外部のクラウドサービス(SORACOMなど)も、このサプライチェーンの重要な一部です。「サプライチェーン攻撃」は、標的の企業を直接狙うのではなく、その企業が信頼して利用している取引先やサービス提供者をまず攻撃し、そこを踏み台にして間接的に侵入する巧妙な攻撃手法です。そのため、自社のセキュリティ対策だけでなく、利用するサービスの安全性まで管理することが重要になっています。
皆様のビジネスにおいても、利用する外部サービス(SORACOMなど)の安全性を確認・証明する必要性が増しているのではないでしょうか。
私たちソラコムも、こうしたお客様の期待に応えるため、これまでも積極的に情報公開に取り組んできました。例えば、国際的な情報セキュリティ認証である「ISO 27001(ISMS)」の取得や、総務省の指針に基づくセキュリティ対応状況の公開などです。
しかし私たちは、常により高いレベルの透明性と信頼性を追求しています。セキュリティチェックシートのやり取りなど、お客様と私たちの双方にとって負担の大きい作業を、もっと効率的で確実な方法に置き換えられないか。そうした課題意識から、これまでの取り組みをさらに一歩進めるものとして、今回の「SOC 2 Type 2 レポート」の取得に至りました。
サプライチェーン管理における課題例:
- 取引先または監査人から、利用サービス(SORACOMなど)のセキュリティについて説明を求められている
- 何百項目もあるセキュリティチェックシートの記入や確認に、時間と手間がかかりすぎる
- セキュリティの質問票への回答内容が適切か、判断に迷う
その不安と手間、SORACOMのSOC 2レポートで改善できます
私たちソラコムが提供する IoTプラットフォーム「SORACOM」における「SOC 2 Type 2 レポート」は、こうした課題を解決するための強力なツールです。
【お客様のメリット】
- 信頼性の客観的な証明
「SORACOMは大丈夫だろう」という期待ではなく、「グローバル基準でセキュリティ・可用性・機密保持が証明されている」という客観的な事実に基づいて、安心してサービスをご利用いただけます。監査法人がその内容に責任を持つ保証報告書であるため、極めて信頼性が高いのが特徴です。 - 監査・説明コストの大幅な削減
SORACOM が第三者機関による厳格な監査を受けた結果が本レポートにまとめられています。お客様が SORACOM を直接監査する代わりに、利用されているサービスの評価結果として自社のセキュリティ監査や取引先への説明資料としてこのレポートをご活用いただけます。一般的なセキュリティチェックシートで問われる統制項目の多くを本レポートで網羅しているため、お客様による情報収集や記述の工数を大幅に削減できます。 - ビジネスの迅速化
セキュリティ確認プロセスが大幅に短縮されることで、お客様は本来注力すべきIoT製品・サービスの開発や展開に、より一層集中できます。
実際に、AWSなどの大手クラウドベンダーも「SOC 2 Type 2 レポート」を取得しており、利用者はそのレポートを使って、クラウドベンダーの監査を実施しています。今回私たちが取得したレポートも、お客様が SORACOM サービス提供者であるソラコムの内部統制やセキュリティを評価する目的でご利用いただくことが可能です。
安心してIoTビジネスを前へ
私たちソラコムは、お客様に安心してプラットフォームをご利用いただくことが、皆様のビジネスの成功に不可欠だと考えています。そのために、チーム一丸となって日々プラットフォームの改善活動を進めております。
今回の「SOC 2 Type 2 レポート」取得も、その取り組みの一環です。今後もグローバルプラットフォームとして、より高い水準の信頼性を提供できるよう、内部統制やセキュリティ体制を強化し、透明性を高める活動を続けてまいります。
本レポートの入手方法はプレスリリース ソラコム、内部統制を評価するSOC2 Type2報告書を受領 をご覧ください。
【イベントのご案内】
2025年7月16日に開催される「SORACOM Discovery 2025」では、SORACOMの信頼性の高いプラットフォーム上で実現する、数多くのIoT活用事例をご紹介します。皆様のより良いサービス構築のヒントが見つかるはずです。ぜひ会場にお越しください。
― ソラコム高橋 (mash)