担当者なしでセキュリティ認証 SOC2 Type2 を取った話

SOC2ってなに?

テイラーは、エンタープライズ向けのソフトウェア開発基盤を提供しているため、セキュリティをとても大切にしています。

特に、米国市場においては、SOC2という認証規格が、エンタープライズにおけるソフトウェア選定・ベンダ選定の際に見られることが多く、「持ってて当たり前」の認証になりつつあります。日本でも個人情報を扱うコールセンター受託などの事業者が「Pマーク」や「ISMS」を持っているのが当たり前なのと似たような感覚と考えてOKです。

SOC2は基本的には個人情報のみならず、ソフトウェアセキュリティ全般の体制および内部統制が、基準を満たすことを、外部の監査人(CPA)がお墨付きを与える制度になっており、一般的にはISO27017(日本では「ISMSクラウドセキュリティ認証」と通称されているISO規格)よりも高難度であると解釈されています。
(厳密には、ISOが規格のフレームワークであるのに対し、SOC2は具体的な運用基準を定めているので、レイヤーが異なりますが、実務上は上記理解で問題ないと思います。下記にEY/新日本監査法人が作成した比較表があります)

引用: EY (https://www.ey.com/ja_jp/library/info-sensor/2016/info-sensor-2016-12-06)

具体的な監査項目のイメージが湧かないと想像しにくいと思うので、ランダムにざっと項目を挙げると

  • 従業員や委託先のバックグラウンドチェックが、定期的に実施されているか

  • 従業員の人事評価が適切に機能しているか

などの人事組織系の観点から、

  • プログラムコードの変更に対する内部統制(要は、すべてのPull RequestがmainへのMerge前に、予め内規で規定されたReview手順を踏んでいるか)

  • 各種SaaSへの定期的なアクセス権限の適切性レビュー

  • インシデント対応や、BCR(災害時の復旧対応)の体制および定期的な机上演習の実施

などの情報セキュリティの運用系の観点や、

  • 本番投入されているプログラムに使用されているライブラリ等のセキュリティパッチが、脅威の度合いごと適切なSLA(期限)で対応されているか

  • いわゆるペネトレーションテストや脆弱性診断等のシステムセキュリティ監査が定期的に実施されているか

  • システムの監視体制や、各種リソースのライフサイクル管理

などのシステムそのもののセキュリティ対策体制など、が含まれます。

テイラーでの導入の実際

テイラーでは、2022年の秋にY Combinatorに採択された際、友人のYCスタートアップで5人ほどのスタートアップがSOC2を取ったというのを聞いて、どのように取得したのかに興味を持ちました。

というのは、こちらの記事などにあるように、SOC2を取得するためには、監査法人なども含めて膨大な人員と、1500~3000万円の支出が発生するイメージが当初あり、そのような小さな会社がSOC2を取れたのが意外だったためです。

ポイントは、Vanta等のセキュリティ認証に特化した自動化プラットフォームの採用にありました。これにより、費用が300万円ほど(監査費用含め)、かつ専任の担当者なしでもSOC2が取得・維持できることがわかりました。

実際には、2022年末からVantaと契約し、規程作成(Vantaのテンプレートを改変する作業)に週1回のMtgを4回ほど(=1ヶ月)、クラウドサービス等とVantaの連携の設定に、かれこれの調整も含めて2-3週間、実際のバックグラウンドチェックや、机上演習の開催、アクセス権限の棚卸しなど、SOC2が求める作業や証憑準備に、おそらく累計50時間・人ほどを費やし、時期的には23年3月から監査期間を開始しました。

関与した人としては、おもには規程作成や組織系をCEOの柴田が、ITやインフラ系をCTOの高橋と、SREを担当しているエンジニアとでやっていきます。もちろん、セキュリティトレーニングなど、個々の従業員の負荷は無くはないですが、できるだけソフトウェアを使って、意識せずとも基準を満たせるような方針で整備していきました。

テイラーではSOC2取得前から、将来の情シス負荷の削減のためにJamf Proによるゼロタッチセットアップや、クラウドストライクによるエンドポイントセキュリティ対策を整備していたので、その点も楽をできたポイントかもしれません。

Vantaはこういう感じで、満たさなければいけない項目を自動でモニタリングして、教えてくれます。概ね90%を超えたら監査開始できます(監査期間中に100%にもっていく)

定量的に可視化されると盛り上がる笑

SOC2 Type2の場合、監査期間は通常3ヶ月ほどです。Vantaのモニタリングが90%くらいになったある日から「監査モニタリング開始」をして、3か月後の終了日までの間に、集中的に外部の監査人が監査をします。とはいえ、実際の作業は、Vantaの「監査」アカウントに監査会社のメンバーを追加するだけです。

監査期間は3ヶ月ですが、内部のコンプライアンス遵守状況はVantaで年中無休で10分おきにモニタリングされているため、監査人はVantaの履歴をチェックし遡って通年分の監査が可能です。

監査期間では、監査人がVanta上の各種指標や証憑を見た上で、追加の質問をSlackで送って来ます。また、サンプリング抽出のような形で、さらに詳しいエビデンスの提出などが要求されます。必要に応じて追加の作業を行います。

何も問題がなければ、このようにSlackで監査人がレポートを送って来て、監査完了です。さらっとしてる笑

なお、SOC2 Type2は、体制が継続的に運用されていることを認証するものなので、毎年このような監査期間があります。とはいえ、本来やるべきことをやっていれば取れるので、Vantaのモニタリングが100%近辺になるように運用するのみです。

例えば新入社員がGoogle Workspaceに追加されると自動的にオンボーディングとして必要な項目(セキュリティトレーニングを受ける、会社のセキュリティ規程を読んで同意する、など)のチェックリストが作成され、期限内に完了するようにアラートを出す、などはVantaが自動でやってくれます。
同様にシステム面でも、新しいリソースをGCPなどのクラウドサービスに立ち上げると、自動的にリソースリストに追加され、必要な項目を満たしているかをモニタリングしてくれます。

情報セキュリティ観点で、●●台帳、のようなものを手動でメンテナンスするということは、当社では一切必要なくなりました。(あれ系、IT系の会社だと、システムもコーポレートも両方わかる爆イケコーポレート人材が居ないと、ちゃんと運用できないんですよね・・・しかもそんな人材をそこに使いたくない・・・)

やってみての振り返り

ドットコムバブルの頃、ソフトバンクの孫正義さんが「タイムマシーン経営」(アメリカで流行っている事業モデルを日本に輸入してきて、流行の時間差で低リスク高リターンな経営ができる、という概念。e.g. Yahoo! JAPAN )ということを言っており、SNSの普及によってそのような情報格差は無くなったかと思っていたのですが、SOC2のような地味な舞台裏については、あまり話題にならないだけにまだまだ日米で大きなギャップがあるなと感じています。

ちなみに、同様にSOC2を検討しているスタートアップの方に向けてお知らせしておくと、当社はYC同窓生割引があったのでVantaというサービスを使いましたが、似たようなDrataという競合サービスもあり、そちらは日本ではAutifyが使ったようなので、興味があればAutifyさんのプレスリリースも見てみてください。

テイラーの場合、Vantaが10,000ドル、監査法人に10,000ドル、ペネトレーションテストに4,500ドルの合計24,500ドル(およそ360万円)が初年度のSOC2への直接支出でした。

テイラーでは、米国に居ることの地の利を活かして、今後も様々なベストプラクティスを輸入し、Game Changingなやりかたを目指して行きたいと思います!