SaaS 企業向けの SOC 2 コンプライアンス: タイプ I およびタイプ II ガイド

企業のバイヤーは、SOC 2 に準拠しているかどうかを尋ねなくなりました。価格を議論する前にレポートを求めています。 SOC 2 は、企業、金融サービス、ヘルスケア、政府機関の顧客に販売する SaaS 企業にとって、事実上のセキュリティ トラスト標準となっています。それがなければ、取引は行き詰まり、調達チームはベンダーを拒否し、法的審査は何か月も長引きます。

このガイドは、SaaS 創設者、エンジニアリング リーダー、およびコンプライアンス チームに、SOC 2 コンプライアンスへの実装に重点を置いた正確なロードマップを提供します。これには、トラスト サービス基準フレームワーク、タイプ I レポートとタイプ II レポートの重要な違い、準備状況評価、証拠収集、一般的な監査失敗、エンジニアリング バックログを膨らませることなくプロセスを加速する方法が含まれます。

重要なポイント

• SOC 2 タイプ I は、ある時点での設計の制御を証明します。タイプ II は 6 ～ 12 か月にわたる運用効率を証明します。
• トラスト サービスの 5 つの基準は、セキュリティ (必須)、可用性、処理の完全性、機密性、プライバシーです。
• ほとんどの SaaS 企業は、セキュリティの基盤として CC6 ～ CC9 コントロールをターゲットにする必要があります
• 証拠収集は最も時間のかかる部分です - 初日から自動化を開始してください
• 一般的な監査の失敗: 文書化されていないベンダー レビュー、アクセス レビューの欠落、不完全なインシデント ログ
• 継続的なコンプライアンス プラットフォーム (Vanta、Drata、Secureframe) により、監査の準備時間が 60 ～ 70% 削減されます。
• 例外のない SOC 2 Type II レポートは、販売上の重要な差別化要因となります
• 準備状況評価からタイプ II レポート発行まで 6 ～ 9 か月を計画

---

SOC 2 フレームワークの概要

SOC 2 は、米国公認会計士協会 (AICPA) によって開発された自主的な監査フレームワークです。これは、サービス組織が次の 5 つのトラスト サービス基準 (TSC) に基づいて顧客データを管理する方法を指定します。

1.セキュリティ (CC1–CC9) — すべての SOC 2 レポートに必須の共通基準。論理的および物理的なアクセス制御、システム運用、変更管理、リスク軽減をカバーします。

2.可用性 (A1) — コミットされた状態で操作および使用できるシステムの可用性。 SLA 稼働時間保証のある SaaS 企業に関連します。

3.処理の整合性 (PI1) — システムの処理は完了し、有効で、正確で、タイムリーで、承認されています。財務ソフトウェア、給与システム、データ処理サービスにとって重要です。

4.機密性 (C1) — 機密として指定された情報は、コミットされたものとして保護されます。クライアントの機密データ、企業秘密、またはビジネス上の機密情報を扱う場合に適用されます。

5.プライバシー (P1 ～ P8) — 個人情報は、AICPA のプライバシー管理フレームワーク (GDPR および CCPA の原則に準拠) に従って収集、使用、保持、開示、および廃棄されます。

最初の SOC 2 を追求しているほとんどの SaaS 企業には、セキュリティのみが含まれています。可用性の追加は、インフラストラクチャに不可欠な製品では一般的です。 EU またはヘルスケアの顧客に販売する場合、プライバシーはますます追加されます。

---

タイプ I とタイプ II: 実際の違いは何を意味するか

SOC 2 Type I は、特定の日付の時点で、コントロールがトラスト サービス基準を満たすように適切に設計されていることを証明します。監査人は、管理文書、ポリシー、システムの説明をレビューし、それらが目的に適合しているかどうかについて意見を述べます。タイプ I レポートは、準備が整ってから 4 ～ 8 週間で発行できます。

SOC 2 Type II は、制御装置が適切に設計されているだけでなく、観察期間 (通常は 6 か月または 12 か月) にわたって実際に効果的に動作していることを証明します。監査人は、アクセスレビューログ、インシデントチケット、変更管理記録、ベンダー評価、侵入テスト結果など、期間を通じて統制が機能している証拠を収集してレビューします。

どちらを追求すべきですか?

一般的な戦略: すぐにタイプ I を取得し、その後 6 か月の観察期間を実行し、プログラム開始から 9 か月以内にタイプ II を取得します。一部の顧客は、最初はタイプ I を受け入れ、定義されたスケジュールでタイプ II に移行することを約束します。

---

トラストサービス基準の詳細

セキュリティ共通基準 (CC1 ～ CC9)

CC1 — 管理環境: ガバナンス構造、行動規範、身元調査、能力評価。監査人は、組織図、文書化された役割、取締役会や経営陣がセキュリティ報告書を受け取っている証拠を知りたいと考えています。

CC2 — コミュニケーションと情報: セキュリティ ポリシーの内部および外部コミュニケーション。公開されたセキュリティ ポリシー、従業員のトレーニング記録、およびポリシーの変更を伝達するプロセスが必要です。

CC3 — リスク評価: 文書化されたリスク評価プロセス、リスク登録、および年次またはより頻繁なレビューの証拠。監査人は、特定されたリスクが軽減措置まで追跡されていることをチェックします。

CC4 — 監視活動: 内部監査機能、管理監視、欠陥報告。証拠には、監査委員会の議事録、脆弱性スキャンの結果、管理者のレビュー記録が含まれます。

CC5 — 管理活動: リスクに対処するポリシーと手順。ここには、パッチ管理、変更管理、バックアップ手順など、特定の技術的および運用上の制御が存在します。

CC6 — 論理的および物理的アクセス制御: 最も精査されるセクション。ユーザーのプロビジョニング/プロビジョニング解除、MFA の適用、特権アクセス管理、データ センターへの物理アクセス、アクセス レビューをカバーします。

CC7 — システム運用: 脆弱性管理、変更管理、インシデント対応。証拠には、パッチ記録、変更チケット、インシデントログ、事後レポートが含まれます。

CC8 — 変更管理: 承認ワークフロー、テスト要件、ロールバック手順を含む正式な変更管理プロセス。コードレビューと展開ログは重要な証拠です。

CC9 — リスク軽減: ベンダーのリスク管理と事業継続。証拠には、ベンダーのアンケート、サードパーティの評価、BCP 文書、テストされた災害復旧手順が含まれます。

---

制御フレームワークの構築

監査人に依頼する前に、該当する各基準を満たすコントロールを設計および実装する必要があります。この実装フレームワークを使用します。

フェーズ 1 — 基礎 (1 ～ 4 週目)

• システムの説明を文書化します。製品の機能、製品が動作するインフラストラクチャ、SOC 2 の範囲の境界などです。
• AICPA の 2017 TSC 出版物を使用して、トラスト サービス基準とのギャップ評価を実施します。
• 少なくとも 20 ～ 30 件の文書化されたリスクとその現在の緩和策を記載したリスク登録簿を作成します。
• すべての従業員アカウントにパスワード マネージャーと MFA を実装する
• 情報セキュリティポリシー、利用規定ポリシー、およびインシデント対応計画を正式に策定します。

フェーズ 2 — 技術的管理 (第 4 ～ 10 週)

• 対象範囲内のすべてのシステム (運用、ソース管理、クラウド インフラストラクチャ、SaaS ツール) にわたってロールベースのアクセス制御を実装します。
• 運用環境へのすべての特権アクセスに対して監査ログを構成する
• 脆弱性スキャン (週最低) とパッチ適用 SLA (重大: 24 時間、高: 7 日、中: 30 日) を確立します。
• テスト済みの復元手順を使用して自動バックアップを構成します
• ネットワークセグメンテーションとファイアウォールルールのドキュメントを実装します。
• 侵入検知/SIEMアラートの設定

フェーズ 3 — プロセス管理 (6 ～ 14 週目)

• 正式な変更管理の実装 (PR レビュー、段階的な展開、承認ゲート)
• 重要なベンダーに対する最初のベンダー リスク評価を実施して文書化する
• 最初のアクセス レビューを実行します (その後は四半期ごとに)
• 全従業員を対象としたセキュリティ意識向上トレーニングの実施と文書の完成
• 侵入テストを実行し、発見された修正を文書化します。
• インシデント対応計画を作成してテストします (机上演習)
• システムへのアクセスを対象とした正式な従業員のオンボーディング/オフボーディング手順を確立する

---

証拠収集: 勝敗を分ける要素

SOC 2 監査は基本的に証拠のレビューです。監査人は観察期間をカバーするサンプルを要求します。12 か月のタイプ II の場合、定期的な対照の 25 ～ 40 件のサンプルを採取できます。監査で限定付き意見または例外が生じる主な理由は、証拠の欠落または矛盾です。

証拠のカテゴリと例:

自動化は不可欠です: この証拠を手動で収集することは持続不可能です。 Vanta、Drata、Secureframe、Tugboat Logic などのコンプライアンス プラットフォームは、クラウド プロバイダー (AWS、GCP、Azure)、ID システム (Okta、GSuite)、コード リポジトリ (GitHub、GitLab) と統合して、証拠を自動的に取得します。これにより、監査の準備が数か月から数週間に短縮されます。

---

SOC 2 のスコープを設定する

SOC 2 で最も重要な決定の 1 つは、範囲、つまり監査境界にどのようなシステム、プロセス、および人が含まれるかを定義することです。範囲が狭いと必要な作業は軽減されますが、プラットフォーム全体にわたる保証を求める顧客を満足させることができない可能性があります。

スコープに関する考慮事項:

• 顧客データを保存、処理、送信するすべてのシステムを含む
• 開発者が運用データにアクセスできる場合は、開発環境を含めます。
• お客様に代わって顧客データを処理するサードパーティのサブプロセッサを含めます
• 社内の人事/財務システムが顧客データに触れない場合は除外します。
• インフラストラクチャプロバイダーの SOC 2 (AWS など) を信頼できるかどうかを検討し、直接制御する必要があるものを減らします。

監査人は、範囲、提供されるサービス、使用されるインフラストラクチャ、および制御目標を正確に定義するシステム記述 (SOC 2 レポートのセクション 3) を必要とします。このドキュメントは通常 15 ～ 30 ページであり、企業顧客が最初に読むものの 1 つです。

---

監査人の選択と協力

SOC 2 レポートは、認可を受けた公認会計士事務所のみが発行できます。 AICPA は、認可を受けた開業医のリストを管理しています。監査人の選択は非常に重要です。

監査予定者への質問:

• 私たちの業界で SaaS SOC 2 監査を何回実施しましたか?
• 準備状況評価フェーズのプロセスはどのようなものですか?
• 継続的なコンプライアンス プラットフォーム (Vanta、Drata) をサポートし、その証拠のエクスポートを受け入れますか?
• キックオフからレポート発行までの一般的なタイムラインはどのようなものですか?
• 料金には何が含まれていますか?また範囲変更のきっかけは何ですか?

一般的な監査費用は、範囲の複雑さと監査法人に応じて、タイプ I で 15,000 ドルから 35,000 ドル、タイプ II で 25,000 ドルから 75,000 ドルの範囲です。大手 4 企業は割増料金を請求しますが、フォーチュン 500 の調達チームとのブランドの信頼性が高くなります。

---

一般的な監査失敗とその回避方法

1.不完全なアクセス レビュー: 監査人は四半期ごとのアクセス レビューをサンプリングします。レビューが実施されなかった場合、または実施されたが文書化されていない場合は、例外が生成されます。アクセスレビューのリマインダーを自動化し、サインオフしたレポートをコンプライアンスプラットフォームに保存します。

2.ベンダー評価の欠如: 多くの SaaS 企業は 50 以上のサードパーティ ツールを使用しています。重要なベンダーのセキュリティ体制を評価したことを証明できない場合、監査人はそれにフラグを立てます。顧客データにアクセスできるベンダーを優先し、段階的なレビュー頻度を作成します。

3.変更管理に対する文書化されていない例外: 変更管理プロセスをバイパスした展開 (通常は緊急ホットフィックスとして正当化される) が 1 つであっても、文書化されていない場合は例外がトリガーされる可能性があります。遡及文書が必要な緊急変更手順を作成します。

4.インシデント対応ログのギャップ: 軽微なイベント (ログイン試行の失敗、フィッシングメール) であっても、すべてのセキュリティ イベントをインシデント追跡システムに記録する必要があります。監査人は、重大なインシデントだけではなく、全体像を確認したいと考えています。

5.身元調査の不一致: ポリシーですべての従業員の身元調査が必要だが、一部の従業員が小切手が返される前にオンボーディングを完了した場合、これは例外です。採用順序を正式化し、すべての例外を文書化します。

6.侵入テスト修復の追跡の欠落: 侵入テストは、追跡および修復された結果を示すことができる場合にのみ、監査人にとって価値があります。修復チケットと閉鎖の証拠がなければ、テストは制御ではなくリスクを示します。

---

SOC 2 準備チェックリスト

• 対象範囲内のすべてのサービスとインフラストラクチャをカバーするシステム説明の草案
• 最小 20 のリスクと現在の緩和策を使用して作成されたリスク登録
• 情報セキュリティポリシーが文書化され、承認され、すべてのスタッフに伝達される
• インシデント対応計画が文書化され、机上演習が完了しました
• 対象となるすべてのシステムのすべての従業員アカウントに MFA を適用
• 文書化された権限マトリックスを使用して実装されたロールベースのアクセス制御
• アクセスのプロビジョニングおよびプロビジョニング解除の手順が文書化され、チケットが検証される
• 四半期ごとのアクセスレビュープロセスが実装され、最初のレビューが文書化される
• 脆弱性スキャンを自動化 (毎週)、発見結果を追跡して修復
• パッチ適用 SLA が定義され、コンプライアンスが監視されています
• 変更管理プロセスが文書化され、PR レビュー要件が強制される
• ベンダー リスク評価プロセスを文書化し、重要なベンダーを評価
• セキュリティ意識向上トレーニングを全従業員が完了し、完了が記録される
• ペネトレーションテストが完了し、結果が追跡され、重大な結果が修正されました
• バックアップおよびリカバリ手順をテストし、結果を記録
• 事業継続/災害復旧計画を文書化

---

よくある質問

SOC 2 Type II 認定を取得するにはどれくらい時間がかかりますか?

タイプ II の最小観察期間は 6 か月ですが、ほとんどの監査では 12 か月が使用されます。準備の準備、フィールドワーク、レポートの作成には 2 ～ 3 か月が追加されます。プログラムの開始からタイプ II レポートの受け取りまでの合計タイムラインは通常 9 ～ 15 か月です。すでに成熟した制御環境がある場合は、加速できる可能性があります。タイプ I レポートは、管理が実施されると 2 ～ 4 か月で取得できます。

SOC 2 は法的要件ですか?

いいえ、SOC 2 は任意です。ただし、企業、金融サービス、医療、政府の調達プロセスでは、契約上の要件としてこれを義務付けることが増えています。ターゲット市場にこれらのセグメントが含まれる場合、SOC 2 Type II は、たとえ法的要件ではなくても、事実上市場アクセス要件となります。

スタートアップ企業は SOC 2 に準拠できますか?

はい、初期段階のスタートアップは、必要と思われるよりも早くプロセスを開始する必要があります。 SOC 2 に必要な制御は、MFA、アクセス レビュー、変更管理、インシデント ログなど、いかなる場合でも良好な運用衛生を表します。早期に開始するということは、大規模な企業取引の前に慌てて制御を改修するのではなく、製品を構築しながら 12 か月分のタイプ II 証拠を自然に蓄積することを意味します。

SOC 2 と ISO 27001 の違いは何ですか?

どちらも情報セキュリティ管理を対象としていますが、構造、地理、範囲が異なります。 SOC 2 は、サービス組織に特化した米国発のフレームワークで、顧客の監査人がレビューする認証レポートを作成します。 ISO 27001 は、3 年間有効な認証を生成する国際規格であり、ヨーロッパおよびアジア太平洋地域で広く認知されています。多くのエンタープライズ向け SaaS 企業は両方を追求しています。 SOC 2 は、米国企業の購入者によって要求される傾向があります。 EU および APAC のバイヤーによる ISO 27001。コントロールは大幅に重複します。

監査の結果が例外となった場合はどうなりますか?

例外 (「逸脱」とも呼ばれる) とは、監査人が観察期間中に制御が設計どおりに動作しない事例を発見したことを意味します。監査人は、逸脱とその頻度の説明とともにこれらを報告書に含めます。根本原因と修復方法を説明する管理者の応答を含めることができます。ほとんどの企業顧客は、特に初回のタイプ II 監査からのレポートを、若干の例外を除いて受け入れます。例外が繰り返されたり、重要な制御 (アクセス管理など) で例外が発生したりする場合は、より懸念されます。

すでに GDPR に準拠している場合、SOC 2 は必要ですか?

はい。 GDPR と SOC 2 は、さまざまな対象者と要件に対応しています。 GDPR は EU データ主体の権利に焦点を当てており、EU 監督当局によって施行されます。 SOC 2 は、セキュリティ管理に関する保証を求める顧客のニーズに応える米国のフレームワークです。これらはデータ セキュリティやインシデント対応などの分野で重複していますが、GDPR は企業の調達チームが必要とする認証レポートを作成しません。多くの SaaS 企業は両方のプログラムを維持しており、制御が大幅に重複しているため、追加の労力が削減されます。

SOC 2 への準拠には総額どれくらいかかりますか?

プログラムの総コストは、既存の制御の成熟度と範囲の複雑さに大きく依存します。予算: コンプライアンス プラットフォーム (年間 15,000 ～ 30,000 ドル)、監査費用 (タイプ II の場合 25,000 ～ 75,000 ドル)、ペネトレーション テスト (10,000 ～ 25,000 ドル)、および内部スタッフの時間 (100 ～ 300 時間)。多くの企業は、プログラムを管理するために一部の CISO またはコンプライアンス コンサルタント (時給 150 ～ 300 ドル) を雇っています。中規模の SaaS 企業の場合、初年度の総コストは通常​​ 75,000 ドルから 200,000 ドルの範囲にあり、継続的な年間コストは監視監査とプログラムのメンテナンスに 50,000 ドルから 100,000 ドルかかります。

---

次のステップ

SOC 2 への準拠は、SaaS 企業が行うことのできる投資の中で最も ROI が高い投資の 1 つであり、調達の阻害要因を直接排除し、企業の購入者にセキュリティの成熟度を知らせます。持続可能にするための鍵は、コンプライアンスを定期的な監査活動として扱うのではなく、最初からエンジニアリングおよび運用プロセスに組み込むことです。

ECOSIRE は、あらゆる段階で SaaS 企業と協力して、SOC 2 対応の制御環境を設計、実装、保守します。ゼロから始める場合でも、タイプ II 観察期間の準備をする場合でも、当社のサービスはギャップを効率的に埋めるのに役立ちます。

当社のサービスをご覧ください: ECOSIRE サービス

免責事項: このガイドは情報提供のみを目的としており、法的または監査上のアドバイスを構成するものではありません。 SOC 2 の要件と解釈は異なる場合があります。公式の SOC 2 試験については、資格のある公認会計士事務所に依頼してください。