サイバー攻撃が急増している時代においては、堅牢でポジティブなセキュリティ体制が不可欠です。ランサムウェアやフィッシングなどのサイバー脅威は、あらゆる規模、あらゆるセクターの企業にとって課題となり続けています。また、サプライチェーン攻撃が深刻な問題になっており、 世界経済フォーラム の調査によると、回答者の 90% がサードパーティーのサイバー耐障害性に懸念を抱いていることがわかりました。フレームワークは、企業が堅牢なセキュリティ体制を導入する際の指針となるように設計されています。そのようなフレームワークの 1 つが SOC 2(System and Organization Controls 2)です。これはリスクを明確にし、経営の有効性を向上させるために役立ちます。
SOC 2 は、 米国公認会計士協会 (AICPA)が作成したものであり、AICPA の信頼サービス基準の対象となっています。この信頼サービス基準を取り入れることにより、サービス組織が情報のセキュリティを確保するために行う管理に関する監査と報告が容易になります。SOC 2 レポートでは、データセキュリティ、可用性、処理の整合性、機密性、プライバシーについて記録します。さらに、SOC 2 レポートでは、サービス組織が行う管理が 5 つの SOC 2 基準の一部またはすべてを満たしていることを確認します。
リスク管理は、サードパーティーにも拡大していく必要があります。SOC 2 は、サービス組織の堅牢な情報セキュリティが確立されており、それを維持してセキュリティインシデントを緩和できるかどうかをチェックするためのフレームワークです。SOC 2 は、サードパーティーベンダーのセキュリティ体制を監査し、監査側の組織が期待する保護レベルを満たしているかを確認するために使用されます。
Akamai のセキュリティソリューションは、インテリジェンスとエンドツーエンドの保護を提供して、データを漏えいや偶発的な暴露から保護し、堅牢なアクセス制御ポリシーの適用を通じて不正アクセスを防止します。Akamai は、従来のエンドポイント検知を超える強力なゼロトラスト・ソリューションを提供してデータを保護しプライバシーを確保することで、セキュリティチームがセキュリティ投資の効果と ROI を最大限に高められるよう支援します。
Akamai は、以下の 3 点を提供します。
SOC 2 の監査は、データ処理の 5 つの要素を対象とします。それらの要素が正しく実行されていれば、一貫性のある堅牢なサイバーセキュリティ体制が形成されます。ASEC 信頼情報完全性タスクフォースが、信頼サービス基準(TSC)の技術的正確性について責任を負っています。 AICPA の Assurance Services Executive Committee が TSC について責任を負っており、SOC 2 の 5 つの信頼サービス基準を以下のように説明しています。
サービスプロバイダーが(必要に応じて)5 つの信頼サービス原則の一部またはすべてに準拠していることは、情報セキュリティに取り組んでいることを表します。
SOC 2 は、顧客データを保存、処理、または取り扱うテクノロジー・サービス・プロバイダーや SaaS 企業に適用されます。データやアプリケーションを処理/提供する他のサードパーティーベンダーにまで適用され、導入済みのシステムと安全対策を実証し、データの完全性を確保するために使用されます。SOC 2 への準拠は、購買の意思決定に役立ち、ベンダー管理に伴うリスク対策の一部となります。
Thales と 451 Researchによると、66% の企業は自社の機微な情報の最大 60% をクラウドに保存しています。また、クラウドアプリケーションに関連するデータ漏えいを経験したことのある企業の割合は、2021 年から 2022 年に 35% から 45% に増加しました。SOC 2 に準拠していることを実証することで、テクノロジーベンダーは二要素認証などのセキュリティ制御を使用していることを証明できます。これは、クラウドと IT セキュリティがリスクの高いサービス分野になる可能性がある時代において、不可欠な競争上の差別化要因です。チェーン全体に影響を与えるクラウドセキュリティ侵害がますます一般的になっており、SOC 2 への準拠を実証するクラウドおよび IT サービスプロバイダーがいることは情報セキュリティが重要な価値であることの証です。
SOC 2 に準拠していることが証明されているベンダーを選択することで、組織は、リスクとサードパーティーベンダーが行う管理を定義する SOC レポートを使用した、透明性の高い監査を行うことができます。これらの標準や情報セキュリティ対策が組織に浸透し、社内基準や規制要件を満たすために必要なデータセキュリティが確保されます。
サプライチェーン攻撃 は、2021 から 2022 年にかけて 600% 以上増加しました。ゼロデイ MOVEit Transfer などの攻撃により、サプライチェーン攻撃にどれほど影響力があり、広範かということが証明されました。 MOVEit 攻撃に関する Akamai のセキュリティリサーチ では、インターネットに面した脆弱なサーバーの数が驚くほど多いことがわかりました。この種の脆弱性は、サイバー犯罪者が、サプライ・チェーン・ベンダーを利用して、チェーンの上位にある利益の出やすいネットワークにアクセスする際に狙われます。サプライ・チェーン・ベンダーは、SOC 2 に準拠していることを証明することにより、データセキュリティに対する取り組みを実証できます。
Akamai は、ゼロトラスト・セキュリティを実現する包括的なソリューションシリーズを提供し、SOC 2 の信頼サービス基準を満たす手段をもたらすことで、SOC 2 への準拠を支援します。弊社の優れたセキュリティソリューションは、Akamai を使用して機微な情報を現代の広範な IT 環境全体で保護している顧客から、クラス最高のソリューションとして評価されています。Akamai のセキュリティポートフォリオは、ポイントソリューションのコレクションから、包括的で強力なゼロトラスト・プラットフォームへと成長しました。ワールドクラスのソリューションは、データのセキュリティ、可用性、完全性、機密性、プライバシーに関する SOC 2 の要件を満たすために必要なセキュリティ制御を提供します。Akamai は、サプライヤーを含む広範なインフラ全体で、IT 環境、重要な資産、アクセス要件、ネットワークフローを詳細に可視化します。
アクセスとデータ使用認可を制御することは、SOC 2 における情報セキュリティの重要な要素です。データセキュリティに対する ゼロトラストのアプローチ を考案することが、5 つの信頼サービス基準すべてを堅牢なセキュリティ対策に落とし込むことにつながります。
ゼロトラストのセキュリティアプローチを実現する際に使用される SOC 2 セキュリティ対策には、以下の内容が含まれます。
SOC 2 は、セキュリティ、可用性、処理の整合性、機密性、プライバシーに関連するサービス組織の管理体制の有効性を証明する監査レポートです。
SOC 1 と SOC 2 では、基本的な目的と範囲が異なります。SOC 1 は、顧客の財務管理の完全性と財務データの正確性に重点を置いています。SOC 2 は、5 つの信頼サービス基準を使用してデータを保護する内部統制に重点を置いていますが、範囲が広く、クラウドサービスなどのあらゆるサービスプロバイダーを対象としています。
クラウドに顧客データを保存しているサービスプロバイダーには、SOC 2 レポートが必要です。これは、テクノロジー企業やクラウドコンピューティング企業にとって重要です。SOC 2 認定は、独立した AICPA 提携 CPA (公認会計士)である認定 SOC 2 監査人が実施します。監査は、一部またはすべての信頼サービス基準(TSC)に関して実施されます。どの TSC について監査が行われるかは、会社のタイプによって異なります。たとえば、SaaS ベンダーはセキュリティ、可用性、機密性の基準を監査する可能性があります。
監査の範囲も、組織のタイプによって異なります。大企業は、企業の特定の部門や製品を監査することを選択する場合があります。監査人は、被監査組織のセキュリティモデルを実証する完全な文書とポリシーを求めます。ゼロトラスト・モデルが文書化されていると、このプロセスに役立ちます。
SOC 2 に準拠するためには、年次監査を受け、5 つの信頼サービス基準を遵守する必要があります。
Akamai はオンラインライフの力となり、守っています。世界中のトップ企業が Akamai を選び、安全なデジタル体験を構築して提供することで、毎日、いつでもどこでも、世界中の人々の人生をより豊かにしています。 Akamai Connected Cloudは、超分散型のエッジおよび クラウドプラットフォームです。ユーザーに近いロケーションからアプリや体験を提供し、ユーザーから脅威を遠ざけます。
