最大の顧客は進む準備が整っています。セキュリティレビューが始まり、購入者は質問紙を送り、1 つのアイテムが契約を凍結させる:「SOC 2 レポートをご提供ください。」
その時、組織はSOC 2 認定とはを探し始めます。通常、バッジ、シンプルな通過、チェックリストを期待します。実際には、証明プロセス、証拠要求の山、ソフトウェアを迅速に配信することが監査の物語の一部であることを実際に理解するのです。
SaaSおよびモバイルチームにとって、難しいのは用語学習ではなく、開発ワークフローを監査可能なままに維持することです。エンジニアがcodeをマージする、シークレットを回転させる、コントラクトワーカーをオンボードする、毎週更新するなど、毎週の更新が必要です。その時点でSOC 2は購入書面からエンジニアリングシステムの問題に変わります。
目次
- SaaSビジネスにとってSOC 2はなぜ重要か
- 信頼できるサービス5つの基準を理解する
- SOC 2 Type IとType IIレポートの違い
- SOC 2の監査プロセスを導く
- SOC 2 コントロールの実践例
- SOC 2 ISO 27001 HIPAA の比較
- SOC 2 の準備チェックリスト
SaaS ビジネスにとって SOC 2 の重要性
多くのチームは、セキュリティの独立した保証を要求する前に、顧客データがシステムに移行する前に、SOC 2 に初めて出会う。パターンは熟知のものだ。顧客は製品を愛している、技術のチャンピオンは乗り気になっている、しかしセキュリティは顧客データがシステムに移行する前に独立した保証を要求する。現在のレポートがある場合、レビューは速く進む。ない場合は、取引は遅くなるか、立ち往生する。
そのため、" SOC 2 認定とは何か __CAPGO_KEEP_0__ 商用上は重要なものです。ただし、用語は少し間違っています。SOC 2 は正式な認定ではありません。 AICPA が定義する 検証と報告の基準 であり、AICPA の関連 CPA から出る監査報告書であり、合格または不合格の証明書ではありません。Vanta の検証と認定の区別の解説で詳しく説明されています。.
買い手が何故要求するのか
北米の SaaS ベンダーにとって、SOC 2 は実用的な信頼の文書となりました。買い手は、コントロールがポリシーフォルダに書かれているだけではありません。コントロールが設計が良いかどうか、報告のタイプによっては実行されているかどうかを、第三者が検証したいと考えています。
コントロールが触れるのは、規制されたワークフロー、顧客レコード、管理ツール、内部ビジネスデータなどです。高速に進む領域で作業するチームは、より広いセキュリティとベンダーライフリスクの視野が必要です。現代のスタックは SaaS、クラウドインフラ、Web3 コンポーネント、AI 機能を組み合わせています。より広い視野で、 Blocsys の Web3 と AI の洞察 は、外注されたデリバリーと新興技術の選択が運用リスクにどのように影響するかを枠組みにすることができます。
買い手はフレームワークが好きではないからSOC 2を要求することが多いと思われがちですが、実際はSOC 2を要求するのは、信頼できる運用方法を確立したいという必要性からです。
Why engineering should care early
この問題は、創業者やGRC専門家だけに留まらない。エンジニアは、多くの裏付けとなる証拠を所有しているからです。Pull requestの承認、権限管理、インシデント対応記録、ログのカバレッジ、エンドポイントのセキュリティ、変更票、ベンダー管理など、すべての要素は、ある時点でエンジニアの責任となります。
Capgoのチームが実践的なスターティングポイントを探している場合、 開発チーム向けのデータコンプライアンス記事 コンプライアンスの期待値が実際の製品開発の中でどのように現れるかを、実用的な視点で理解することができます。重要な点は簡単です。SOC 2は、最初はセールス上の要件として始まることが多いですが、維持することはエンジニアの専門分野となる。
Understanding the Five Trust Services Criteria
SOC 2は 5つの信頼サービス基準に基づいています。信頼サービス基準を考えると、家の保護と信頼性の層のように見ることができます。1つの層はドアが閉じていることを確認します。もう1つの層は電気が流れていることを確認します。もう1つの層は、配達が正しく行われることを確認します。残りの層は、機密情報を誰が見ることができるか、個人情報がどのように扱われるかを制御します。
セキュリティ は常に必要です。残りの4つは、サービスが何を行っていて、どのようなコミットメントを顧客にしているかによって異なります。
VantaのSOC 2の概要で説明されているように 、五つの基準はセキュリティ、利用可能性、処理の正確性、機密性、プライバシー 、SOC 2レポートのすべてでセキュリティが必要 セキュリティは基本.
セキュリティはドアと窓の鍵です。システムとデータを不正なアクセスや不正使用から保護する制御をカバーしています。
実際には、開発チームは、以下のような作業を通じてこの基準を実際に確認します。
ID制御
- SSO、MFA、ロールベースのアクセス、ジョイナー・ムーバー・リーバー プロセス with SSO, MFA, role-based access, and joiner-mover-leaver processes
- __CAPGO_KEEP_0__ セキュリティの変更管理
- Pull Requestのレビュー、デプロイの承認、ロールバックパス 監視と対応
- ログ、警告、インシデントハンドリング、ポストインシデントフォローアップ 資産とエンドポイントの規制
If you handle customer data at all, Security is where your baseline operating maturity shows up. It’s the criterion most closely tied to how your team ships code.
顧客データを扱う場合、セキュリティは基準運用成熟度の基準となる。
サービスに依存する4つの基準 利用可能性
システムが利用可能かつ使用可能であるかどうかを確認する。顧客はアップタイムの約束、サポートウィンドウ、バックアップの実践、ディザスタリカバリの期待に依存している場合、この基準はすぐに重要になる。 処理の正確性と一貫性
機密性 は、必ずしも個人情報ではない敏感な情報に焦点を当てています。契約書、内部ビジネスファイル、クレデンシャル、顧客エクスポート、または独自のデータセットなどを考慮してください。暗号化、データ分類、保持規則、および制限されたアクセスがここで重要です。
アプリレベルデータハンドリングを取り組むチーム向けのCapgoのガイド Capacitorアプリでユーザーデータを取り扱う方法 実用的なパートナーであるため、保存、転送、露出に関して正しい実装に関する質問を強制します。
プライバシー 多くのチームが想像しているよりも狭く、具体的です。個人情報と、自身のコミットメントと受け入れられたプライバシープリンスィプルに沿ってそれを取り扱うかどうかを扱います。アプリがユーザープロファイル、連絡先情報、行動データ、または他の個人記録を収集している場合、製品と法務チームは密接に調整する必要があります。プライバシー義務が製品設計、同意、保持、削除ワークフローを超えるときは、 ビジネス向けデータプライバシーに関する専門ガイド By Design Law Firm & Legal Consultancy, PLLC.から
実用的なルール: 重要な印象を与えるものを追加しないでください。サービス、契約、チームが実際に証拠で裏付けることができるものに合致するものだけを含めます。
SOC 2 Type I vs Type II Reportsの解説
SOC 2 証明書の認定とは何かについての混乱の多くは、報告書の種類から来ています。チームは「SOC 2が必要です」と聞かれ、1つのバージョンしかないと考えますが、実際にはありません。購入者は、どちらのタイプの報告書を持っているかを気にしています。なぜなら、それらはまったく異なることを意味するからです。 Type I Type II Type I Type II
SOC 2 Type I vs Type II Reports Explained Snapshot.
report
snapshot video A Type I report is a point-in-time assessment of whether your controls are designed appropriately. It answers a narrower question: on a specific date, did the company have suitable controls in place?
A Type II 報告書はさらに進んでいます。 その制御が、通常の場合、6 か月から 12 か月の期間に効果的に機能したかどうかを評価します。これにより、購入者にとって、Fractional CISOのType 1とType 2の説明で説明されているように、実質的に強力な証拠になります。 Type 1とType 2Fractional CISOのType 1とType 2の説明 Type 1とType 2の違いは、エンジニアリングチームの作業方法に影響を与えます。Type Iは、ドキュメント化された制御とその存在を証明する証拠に頼ることができます。Type IIには、チームがShipping、修正、展開、インシデントへの対応などをしながら制御が機能したことを証明する必要があります。.
簡単な方法で考えると
報告書のタイプ
| それを考える | それが証明する | Type I |
|---|---|---|
| Type Iは、ドキュメント化された制御とその存在を証明する証拠に頼ることができます。 | __CAPGO_KEEP_0__ | 特定時点でのシステムの状況を捉えたスナップショット |
| Type II | 動画 | SOC 2の審査期間中にコントロールが効果的に運用されたことを示すもの |
SOC 2の審査の説明動画は、買収者がSOC 2 Type IとType IIを混同している場合に、数分間の価値があるかもしれません。
買収者がどちらを気にしているか
Type Iはまだ有用である。プロセスの初期段階で、セキュリティチームや営業チームに実際のものを提示できるからだ。セキュリティの慣習的な実践を超えた企業としてのイメージを示すことができるからだ。
しかし、成熟した買収者はType Iを最終的な目標と見なさない。買収者は、変更が一貫して承認されたか、インシデントがプロセスに従って処理されたか、セキュリティレビューが予定どおり行われたかを確認したい。
Type Iのレポートは、特定の日時におけるシステムの整理状態を示す。Type IIのレポートは、チームが数ヶ月間整理状態を維持したことを示す。
SaaSやモバイルチームにとって、SOC 2の審査プロセスを導くのは、Type IとType IIの区別にある。Type IIは、規範を実践することを強制する。単に文書化するだけでは不十分だ。
SOC 2の審査プロセスを導く
SOC 2は、単一のイベントとして扱われるのではなく、実際には異なる所有者のワークストリームのシーケンスであると考えることが大切です。セキュリティ、エンジニアリング、IT、HR、法務、運営全てのチームが、それぞれの役割を果たす必要があります。SOC 2をうまく扱うチームは、それをフェーズに分割し、証拠の所有権を早期に割り当てることが重要です。
この点でも、期待を現実的にする必要があります。A-LIGNのSOC 2ガイドによると Type Iは通常2から4週間かかります, Type IIは6から12ヶ月間の制御をテストします, 最終レポートは通常約12ヶ月間有効です そして、調査は通常$20,000から$150,000以上 範囲、複雑さ、企業規模に応じて SOC 2調査プロセスを導く
CapgoのSOC 2調査プロセス
チームは、以下のような流れを通ることがよくあります:
-
環境の範囲を定義する
どの製品、システム、人、ベンダー、信頼性基準が範囲内にあるかを決定する。このステップは行政的なもののように聞こえるかもしれませんが、どれだけの証拠が必要か、そして調査員が検査するエンジニアリングシステムがどれであるかを決定することになります。 -
準備と差分分析
現在の実践を必要とする制御と比較する。比較中、チームは通常のギャップを発見することが多い: 弱いオフボード処理、不一致のPR承認、非公式のインシデントハンドリング、欠落しているアクセスレビュー、未記載のバックアップ、または不十分なベンダーレコード。 -
改善作業
ポリシーが書かれ、システムが強化され、ワークフローが整理され、責任者が割り当てられます。この部分は、機能を構築することよりも魅力が少ないことが多いですが、審査はここで勝ち負けが決まります。 -
正式な調査現地調査
調査員は資料を確認し、人々にインタビューし、制御をテストします。Type IIを目指している場合、このステージも観察期間中の証拠を作成したことによって依存します。 -
継続的な維持
報告書は永続しない。一般的には約1年間有効なので、チームはシステムを動作させるだけでなく、1回のレビュー周期を乗り越えるだけでなく、システムを維持する必要があります。
チームが通常どのように立ち往生するか
セキュリティツールが足りないということはチームが多いからだということではありません。実際の問題は、正常なエンジニアリング活動を、検証できる、きれいな証拠に変えることができないことです。
いくつかの例:
- Pull requests exist, but approval statuses are inconsistent.
- 機密情報は安全に保存されますが、誰がアクセスを確認したか、いつ確認したかを表示することはできません。
- 事故は責任を持って処理されるが、記録はチャットやチケットシステムをまたがって散在している。
- 監視機能は存在しますが、警告の責任者とエスカレーションルートのドキュメントはありません。
CI/CDチームが多いチームでは、シークレットの管理はアクセス制御とセキュリティの変更の両方に触れるため、最初に検査される場所の1つです。 Capgoの記事は CI/CD パイプラインでシークレットを管理する Capgoは、悪い習慣に陥る最も簡単な場所の1つであるため、実践的なリファレンスです。
調査プロセスは、すべてのコントロールが所有者を持つ、すべての所有者が証拠がどこに保存されているかを知っている、そして誰もフィールドワークまで待たずに集める必要がない場合、速くなります。
SOC 2 制御の実際の形
火曜日の夜に開発者は緊急修正をリリースした。木曜日に顧客から最新のSOC 2レポートを求められ、監査人は生産環境の変更がレビューされ、承認され、追跡可能であることを証明したいと言った。 code は問題ない。問題はチームがそれをどのように実行したかを示すことができるかである。
That is what SOC 2 controls look like in practice. They turn routine engineering work into records another person can verify without chasing screenshots through Slack.
通常のデリバリー中に証拠を生み出す変更管理
健康的な変更プロセスは簡単に説明でき、さらに簡単に検査できます。
チームがこの領域を固める前に、直接マージ、非公式の承認、チャット、CIログ、誰かの記憶に散らばったリリースノートを通じてプロダクション修正が頻繁に発生します。システムはまだ安定していますが、証拠は弱く一貫性がありません。
プロセスが整理された後、コントロールは通常次のようになります。
- 各codeの変更 変更が存在する理由を説明するチケットまたは問題にリンク
- 各プルリクエスト 作者以外の人物によるレビューを示す
- 各デプロイ CI/CDのビルドレコードとコミット履歴にマップ
- 各緊急修正 例外パスを実行し、インシデント後に文書化されたレビューが行われる。
これらのコントロールは、より多くのアクセス制御をサポートします。インシデントのレビューを短縮し、ロールバックの決定を早めるだけでなく、生産環境に到達したものについて議論を減らします。
速度のトレードオフは、エッジにあることです。連続的にリリースするチーム、特に週に更新を実施するSaaSおよびモバイルチームには、エンジニアが手作業でアドビュートノートを書くことを強制せずに、証拠が現在のままになるプロセスが必要です。Workflowがクォーター末に手動でクリーンアップを依存している場合、ドリフトします。
リリース重視のアプリチームはこの問題にすぐに直面します。Webの変更、バックエンドの変更、機能フラグ、モバイルの更新チャネルはすべて異なるスケジュールで進むことができます。コントロールの目標は同じです: リリースを承認したのは誰か、どのアーティファクトが送信されたか、どこに送信されたか、そしてロールバックするにはどうすればいいかを証明することです。
チームの変化に耐えるアクセス制御と監視
アクセス制御は気付かれずに失敗することがあります。元の契約者がクラウドアクセスを保持し、エンジニアが生産問題のために管理権限を保持し、6か月間保持し、共有クレデンシャルが残っているのは、忙しいスプリント中のリスクを感じるため削除することがリスキーであると感じるからです。
SOC 2コントロールはこの分野では簡単です:
- ロールベースのアクセス 生産環境の特権を必要とする人だけに制限する
- プロビジョニングとオフボーディング 承認フローに従い、明確な記録を実行する
- アクセスレビュー 定期実行され、利用が正当化されなくなった場合に削除される
- SSO と MFA アカウントのリスクを軽減し、アカウントの所有権を証明しやすくする
監査人は、一般的に制限されているアクセスが「制限されている」ということだけに気にしない。監査人は、チームがアクセスを取得した期間中に誰がアクセスを取得したか、誰が承認したか、そして再検証が行われたときに誰が承認したかを示すことができることを確認する必要がある。
監視は同じように機能する。ログだけでは十分ではない。チームには、名前が付いたアラートの所有者、定義された重大度レベル、そしてチケットまたはインシデントレコードを生成するようにする必要がある。そうしないと、コントロールは単なる良意だけになる。
アプリチームにとって、ストレージの決定もここに現れ、製品アーキテクチャはコンプライアンス証拠に影響を与える。機密データがデバイス上で実行されるか、クライアント間で同期される場合、チームはそれが保護されているかどうか、そしてアクセスが制限されているかどうかを説明する必要がある。 アプリチーム向けの安全なデータベースストレージの実装方法 監査員は、エンジニアリングチームに実装の詳細を明らかにするように求めることが多い。
迅速なチームは、code を配信し、証拠を収集する作業が同じワークフロー内で行われる場合にのみ、コンプライアンスを維持できる。
これは、SOC 2 ガイドが省略する運用実態である。難しいのはコントロールを書くことだけではない。難しいのは、製品、チーム、リリースプロセスが変化するにつれて、それが真実であることを保つことである。
SOC 2、ISO 27001、および HIPAA の比較
チームはSOC 2を単独で評価することはほとんどありません。SOC 2を求める顧客、ISO 27001を言及する大企業、および医療分野の誰かがHIPAAを取り上げることがあります。これらのフレームワークは精神的に重なり合っていますが、異なる問題を解決します。
フレームワークの違い
SOC 2はサービス組織、特に北米向けに販売するSaaSベンダーがよく使用しています。買い手は、CPAによる検査報告書を受け取ります。この報告書には、選択したTrust Services Criteriaに基づく設計と、Type IIの場合、制御の運用効果が記載されています。
ISO 27001はより広範な情報セキュリティマネジメントフレームワークです。国際的に認知度が高く、企業はこのフレームワークを採用することで、グローバルに認知される標準を確立したり、正式なマネジメントシステムを構築したりすることができます。実際には、異なる地域の顧客が異なる保証モデルを求めるため、組織は両方のSOC 2とISO 27001を必要とすることがあります。
HIPAAは両方とも異なります。HIPAAはソフトウェア企業向けの一般的な信頼性レポートではありません。HIPAAは、保護された健康情報に関連する米国法規制フレームワークです。製品がカバーされた使用ケースで健康情報を処理する場合、HIPAAはブランド選択ではありません。HIPAAは、法的運用環境の一部です。
実用的な視点:
| フレームワーク | 焦点 | 地理的範囲 | 業界 |
|---|---|---|---|
| SOC 2 | サービス組織制御に対する第三者検査 | __CAPGO_KEEP_0__ | __CAPGO_KEEP_0__ |
| __CAPGO_KEEP_0__ | __CAPGO_KEEP_0__ | __CAPGO_KEEP_0__ | __CAPGO_KEEP_0__ |
| __CAPGO_KEEP_0__ | __CAPGO_KEEP_0__ | __CAPGO_KEEP_0__ | __CAPGO_KEEP_0__ |
SOC 2 の準備チェックリスト
SOC 2 の準備チェックリスト
To get started, another giant spreadsheet isn’t typically what’s needed. Instead, a short list of decisions can transform “we should get SOC 2” into a real project.
実践的なプロジェクトのスタート
-
範囲を定義する
検査対象となる製品、インフラ、環境、データフローを選択します。範囲が曖昧な場合、証拠の収集が混乱することになります。 -
適切な基準を選択する セキュリティは必須です。残りの基準は、サービスが提供するものと、顧客に約束するものに反映するものでなければなりません。
-
明確な責任者を割り当てる
誰かがアクセスレビュー、インシデント対応記録、ベンダーマネジメント、エンドポイント制御、ポリシーマイナンス、そして監査調整を所有する必要があります。共同責任は、個々の所有権が明確に示されている場合にのみ機能します。 -
準備ができていないと見なされる前に、欠陥のあるオフボーディング、欠落している承認、未記載のプロセスを内部で発見することの方が良いでしょう。
標準化された証拠収集を実施する -
__CAPGO_KEEP_0__
使用するシステムは、長期にわたって記録を残すものでなければなりません。チケット管理、アイデンティティ管理、エンドポイントツール、ソース管理、CIプラットフォーム、警告ツールはすべて、後で取得できるアーティファクトを提供する必要があります。 -
第三者リスクのレビュー
ベンダーはあなたの物語の一部になります。クラウドプラットフォーム、認証プロバイダー、サポートツール、分析システム、更新インフラストラクチャはすべて、最低限のレビューが必要です。 -
チームにワークフローを教えるのではなく、ポリシーを教える
ポリシーを無視するチームは、死んだ重りです。エンジニアはリリース、ホットフィックス、オンボーディング、インシデントハンドリングの際に、承認されたパスがどのように機能するかを知る必要があります。
SOC 2 の作業を ISO 向けのプログラムとマッピングするチームがいる場合 F1Group のセキュリティソリューション セキュリティプログラムは、顧客の要件が成熟すると、1 つのフレームワークを超えて拡大することがよくあります。F1Group のセキュリティソリューションは、参考になる例です。
製品が通常のストアリリースサイクルを超えて頻繁にアプリケーションアップデートを配信する場合、リリースの統制を最初からスコープに含めることが必要です。Capgoの Capacitor アプリのOTA セキュリティチェックリスト 実装レベルの制御を考慮することで、後でアウディットの準備が容易になります。
チームがCapacitorまたはElectronアプリを配信し、リリースの証拠、ロールバックパス、更新の統制をより厳密に制御する必要がある場合 Capgo 評価すべき価値があります。エンジニアリングチームに署名ライブアップデートの管理、ターゲットロールアウト、リリースモニタリングの構造化された方法を提供します。これにより、SOC 2 の期待と実際のデプロイ速度が一致する場合、継続的なコンプライアンスが容易になります。
