見出し画像

[記事紹介] SOC 2 コンプライアンス: 侵入テストは必要ですか?

そんちゃー君

サイバーセキュリティーのコンプライアンスについて良さげな記事(広告記事系ではありますがw)があったのでご紹介します。
この、Indusfaceの記事では SOC 2コンプライアンスの重要性とそのプロセスについて説明しています。

SOC 2 コンプライアンスとは?

米国公認会計士協会(Certified Public Accountants) は SOC (System and Organizational Compliance) を開発しました。SOC は、企業が顧客データを保護するためのセキュリティ監査フレームワークを提供します。たとえば、SOC 1、SOC 2、SOC 3、サプライ チェーンの SOC などです。

概要

SOC 2コンプライアンスは、顧客データのセキュリティ、可用性、処理の完全性、機密性、およびプライバシーに焦点を当てています。
SOC 2レポートには2つのタイプがあります:

  1. SOC 2 Type 1:  特定の時点でのセキュリティコントロールの設計と実装を評価し、証明します。

  2. SOC 2 Type 2:  少なくとも6ヶ月間のこれらのコントロールの運用効果を評価します。

SOC 2 Type 2はType 1よりも詳細かつ包括的であり、コストが高く、評価期間が長いです。
SOC 2コンプライアンスに必要な主なコントロールには以下が含まれます:

  • 論理的および物理的アクセス制御: 役割に基づいてアクセスを制限し、不正アクセスを防止します。

  • システム運用: 継続的なシステム運用を監視および管理し、逸脱を検出して解決します。

  • 変更管理: ITシステムの変更を管理し、不正な変更を防ぎます。

  • リスク緩和: ビジネスの中断や第三者サービスからのリスクを特定、優先順位付け、緩和します。

SOC 2コンプライアンスを達成するための方法は柔軟で、各組織は自社の状況に合わせたコントロールを実施して基準を満たすことができます​ (Indusface)​​ (Indusface)​​ (Indusface)​。



SOC II と PCI コンプライアンス

SOC 2 コンプライアンスは、PCI-DSS などの他の標準とは異なります。PCI-DSS には厳格なルール、規制、要件があります。しかし、SOC 2 では、制御、ツール、プロセスの規定リストは提供されていません。堅牢な情報セキュリティを確保するための基準のみを引用しています。

PCI コンプライアンスは、支払いカードを保管、処理、送信するすべての組織にとって必須です。SOC 2 は、サービス組織向けの自主基準です。

SOC 2 監査を実行するのは誰ですか?

サービス プロバイダーは、外部監査人から SOC 2 認証を取得します。監査人は、サービス プロバイダーが SOC 信頼原則にどの程度準拠しているかを検査します。また、導入されている InfoSec システムとプロセスを評価します。これは、進化するクラウド データ保護のニーズに InfoSec 対策が確実に対応できるように、6 ~ 12 か月の期間をカバーします。

米国では、独立した CPA または会計事務所のみが SOC 監査を実行できます。 CPA 事務所は、監査のために IT およびセキュリティの専門知識を持つ非 CPA 専門家を雇うことができます。 ただし、CPA は最終レポートを提供および開示する必要があります。

SOC 監査人が従うべき専門基準とガイドラインがあります。すべての SOC 監査はピアレビューも受けます。サービス組織は、監査が成功した後、AICPA のロゴを Web サイトに追加できます。

SOC 2コンプライアンスの重要性

SOC 2 は自主的なコンプライアンス標準かもしれませんが、SOC 2 コンプライアンスの重要性を無視することはできません。

  • SOC 2コンプライアンスは、サービス企業が情報セキュリティを真剣に受け止めていることを示しています。

  • SOC 2 レポートは、重要なセキュリティ情報を提供し、社内のコーポレートガバナンス、企業のリスク管理プロセス、全体的な規制監視に役立ちます。

  • SOC 2は適切なベンダーの選択と管理に役立ちます

  • SOC 2は、テクノロジーサービスプロバイダーが顧客や関係者との信頼関係を築くのに役立ちます。

  • SOC 2に準拠した企業は、侵害や脅威に対してより適切に防御できます。

  • SOC 2準拠のテクノロジープロバイダーは競争相手より優位に立つ

SaaS 企業が SOC 2 を優先すべき理由

もちろん、SOC 2 コンプライアンスは、顧客データを処理および/または保存するすべてのテクノロジー サービス プロバイダーにとって重要です。ただし、SaaS 企業は、ビジネスを拡大するために SOC 2 レポートを取得する必要があることがよくあります。

SaaS 企業はインターネット経由でサービスを提供するため、機密性の高い顧客情報はクラウドに保存され、処理されます。これにより、対処しなければならない特有のセキュリティとプライバシーのリスクが生じます。

SaaS 企業の顧客の場合、そのデータは企業のサーバーに保存されており、顧客は情報を保護するために実施されているセキュリティ対策について懸念しています。SOC 2 は、顧客が企業のセキュリティ対策を理解し、これらの対策が実施されているだけでなく、定期的に維持されていることを第三者から検証される手段を提供します。

SaaS スタートアップが SOC 2 に準拠するためにセキュリティ標準をアップグレードする必要がある理由を理解するには、この短いクリップをご覧ください。

SaaS 企業は、顧客の信頼を築き、規制要件を満たし、競争上の優位性を獲得し、セキュリティ体制を改善し、効率を高めるために、SOC 2 を考慮する必要があります。

SOC 2 コンプライアンスの種類

1. SOC 2 タイプ1コンプライアンス
この標準は、ベンダーのシステムとインフラストラクチャが機密情報を保護するための十分な設備を備えていることを保証します。SOC 2 タイプ 1 レポートは、ベンダーの設計を考慮し、証明します。設計と実装が関連する信頼の原則を満たしているかどうかを評価します。
2. SOC 2 タイプ2コンプライアンス
SOC 2 タイプ 2 コンプライアンスは、ベンダーがデータのセキュリティとプライバシーを確​​保するための適切な管理を行っていることを保証します。これは SSAE 16 または SAS 70 としても知られています。
タイプ 2 レポートは、これらのコントロールの運用上の有効性を詳細に理解するのに役立ちます。このレポートでは、少なくとも 6 か月間にわたってコントロールを評価および証明します。外部監査人は、テスト期間内のサンプル日数にわたって実地調査を実施します。タイプ 2 レポートが非常に徹底しているのは、このためです。

SOC 2 タイプ1とタイプ2レポートの比較

SOC 2 コンプライアンスに不可欠なセキュリティ対策

セキュリティは、SOC 2 コンプライアンスの最も重要な要件です。これは、5 つの信頼サービス カテゴリすべての基礎となります。

セキュリティ原則は、データと資産を不正アクセスから保護することに重点を置いています。セキュリティ カテゴリの要件を除き、すべての SOC 2 コンプライアンス要件はオプションです。

外部監査人を満足させるために対処する必要があるコントロールは次のとおりです。

論理的および物理的なアクセス制御

これにより、ユーザー グループとロールに基づいてユーザーへのアクセスが制限され、データや資産への不正アクセスや使用が防止されます。

システム操作

これらのコントロールは、進行中のシステム操作を監視および管理するのに役立ちます。これにより、設定された組織手順からの逸脱を効果的に検出して解決できます。

変更管理

IT システムは常に変化しています。これらのコントロールは、IT システムへの変更を監視および管理するのに役立ちます。また、不正な変更を防止する方法も含まれています。

リスク軽減

テクノロジー企業は、ビジネスの中断やサードパーティのサービスの使用によるリスクに直面しています。リスク軽減制御には、これらのリスクを特定し、優先順位を付け、軽減するためのプロセスが含まれます。

SOC 2 コンプライアンスは、幅広く、多用途で、適応性の高いコンプライアンス標準です。技術的およびポリシー主導の基準は、解釈の余地があります。

各企業がコントロールを実装して各基準の目標をどのように達成するかは、各企業次第です。すべての企業は、各カテゴリに対して適切なコントロールを選択し、定義し、実装する必要があります。

2 つの企業を例に挙げて、論理的および物理的なアクセス制御基準をどのように満たしているかを見てみましょう。

会社 1 は次のアプローチを採用しています。

  • 多要素認証を導入

  • データのダウンロードを防止するシステムをインストールする

会社2は次のルートを取ります。

  • 新入社員オンボーディングプロセスを実装する

  • データセンターへの物理的なアクセスを制限する

  • ユーザー権限とアクセス制御について四半期ごとにレビューを実施する

  • 生産システムを監視する

  • これらのアプローチはいずれも SOC II 要件では定義されていません。これらの企業は、ビジネス固有の方法でこれらを開発しています。これらのアプローチが機能するのは、SOC 基準で定義された最終状態に到達するのに役立つためです。

SOC 2 コンプライアンスの信頼サービスカテゴリ

SOC 2 コンプライアンスでは、顧客データの保護における 5 つの重要な信頼サービス カテゴリ (TSC) を概説しています。信頼サービス カテゴリは、以前は信頼原則でした。基準を満たすための制御の例をいくつか挙げて、各 TSC を見てみましょう。

1. セキュリティ: 

これは、システム、情報、およびリソースを不正アクセスから保護することを指します。監査人は次の点をチェックする場合があります。

  • 不正使用、改ざん、盗難の可能性を防ぐための厳格なアクセス制御。

  • Web アプリケーション ファイアウォールや侵入防止システムなど、不正な要求をフィルタリングする IT セキュリティ ツール。

  • 多要素認証により、攻撃者がデータの流出、データの変更、記録の削除などの違法行為を行うことを防ぎます。

  • 間接的にセキュリティに影響を与える IT セキュリティ採用ポリシーなどの要因。

2. 在庫状況:

これは、SLA 規定に従ったシステムとサービスの可用性を指します。企業にとって重要な SOC 2 コンプライアンス要件は次のとおりです。

  • ダウンタイムを最小限に抑える

  • 現在の使用量を特定し、容量を管理する

  • 可用性に影響を与えるセキュリティ以外の脅威を特定します。たとえば、ハリケーン、停電、洪水などです。

両者は、許容可能な最低パフォーマンス可用性を定義します。たとえば、SLA で 99.9% の稼働率に同意したとします。しかし、システムが利用できるのは 99% の時間だけです。この場合、SLA は満たされておらず、サービス プロバイダーは SOC 2 に準拠していません。

可用性は、機能性や使いやすさには対応していません。インフラストラクチャ、ソフトウェアなどが安全に維持されているかどうかを評価します。したがって、システムの可用性に影響を与えるセキュリティ関連の要素が含まれます。ダウンタイムを引き起こしたり、可用性に影響を与えたりする可能性のある潜在的な脅威を評価し、軽減します。 

この目的のために、監視することができます

  • ネットワークパフォーマンス

  • 稼働時間

  • サイトのフェイルオーバー

  • セキュリティインシデント

災害復旧とセキュリティ インシデント処理も可用性を確保する別の方法です。

3. 処理の整合性: 

これは、データ処理システムが意図したとおりに機能しているかどうかを示します。データ処理操作が完全、有効、正確、承認済み、タイムリーであることを保証します。システムにエラー、遅延、省略、操作、および不正アクセスがないことを確認します。

処理の整合性は必ずしもデータの整合性を意味するわけではないことに注意してください。これは、データ処理操作、システム、およびそれらの整合性に関係します。

処理の整合性を評価するには、

  • 処理の整合性を監視する

  • 品質保証手順を実施する

  • エラーを検出し評価する

  • システムの入力と出力を効果的に記録する

4. 機密保持:

これは重要な信頼の原則であり、データ セキュリティの中心となる信条です。機密性とは、データへのアクセスが特定の人物/組織に制限されることを意味します。そして、これらの人物/組織は、自分の役割に必要な情報のみを知っています。機密にする必要があるデータの例をいくつか示します。

  • 知的財産(IP)

  • 社内価格表

  • ビジネスプラン

  • お客様情報

  • 法的文書

  • 取引の詳細

  • 機密性の高い財務情報

  • 規制、契約、合意に従って保護する必要があるその他の情報

サービス パートナーによって処理/保存される情報の機密性を確保する方法:

  • 強力な暗号化

  • 堅牢なアクセス制御

  • ネットワークおよびアプリケーション ファイアウォール

5. プライバシー: 

これは、PIIを含むシステム内のすべての情報を保護する機能を指します。PII

(個人を特定できる情報) は、特別な保護を必要とする機密性の高い個人情報です。これには、名前、社会保障、健康情報、住所などの識別子が含まれます。

プライバシーは、パートナーがPIIを安全に収集、使用、保持、開示、廃棄することを保証します。これは、 

  • 組織のプライバシーポリシー

  • AICPA の一般に認められたプライバシー原則 (GAPP)

サービス パートナーは、このような情報への不正アクセスを防ぐために、しっかりとした対策を講じる必要があります。

プライバシーを確​​保する方法:

  • 政策の適切な伝達

  • 情報収集への同意

  • 明確なデータ保持および廃棄ポリシー

SOC 2 侵入テスト: 知っておくべきことすべて

SOC 2 侵入テストは必要ですか? はい、もちろん必要です。義務付けられているわけではありませんが、重要な補完的なセキュリティ対策です。

SOC 2 では、TSC に加えて、重点的に取り組むべき説明ポイントとともに個別のコントロールとサブコントロールがリストされています。SOC 2 の侵入テストは、これらの重点ポイントで言及されています。

CC4.1は、企業が内部統制の構成要素が存在し機能していることを確認するために継続的な評価を行うことを示唆している。最終的には、経営陣は次のような評価を行うべきである。

  • 侵入テスト

  • 内部監査評価

  • 独立した認証

CC7.1 では、組織が以下のものを継続的に監視および検出することを推奨しています。

  • 構成の変更により新たな脆弱性が生じる

  • 新たに発見された欠陥に対する脆弱性

このため、脆弱性スキャンは定期的に、また IT の大幅な変更後に実行されます。これにより、潜在的な脆弱性を特定して修正することができます。


ペンテストは SOC 2 コンプライアンスにどのように役立ちますか?

すでにご存知のとおり、企業は SOC 2 コンプライアンスのために内部統制を設計します。そのため、SOC 2 の要件は企業ごとに異なります。

外部監査人は、これらのコントロールが信頼サービス基準を満たしているかどうかを評価します。その後、詳細な SOC 2 タイプ 2 レポートを作成します。ペンテストは、企業が強力なセキュリティ体制を確立するのに役立ちます。

ペンテストは、脆弱性スキャンでは検出されない未知の脆弱性や論理的な欠陥を検出するのに役立ちます。また、あらゆる種類の脆弱性の悪用可能性を理解するのにも役立ちます。

ペンテストは、アーキテクチャのギャップや弱点に関するリアルタイムの洞察を提供します。また、制御とセキュリティ防御が意図したとおりに機能しているかどうかも通知します。

この情報を使用することで、SOC 2 標準に規定されているセキュリティ要件を満たすことができるかどうかを確認できます。

定期的に侵入テストを実施することで、セキュリティへの取り組みを実証し、サイバーセキュリティのコンプライアンスを満たすことができます。

SOC 2 コンプライアンスのためのペンテスト フレームワークを設計するには?

SOC 2 標準に概説されている特定の要件を慎重に検討し、組織のシステムとインフラストラクチャを完全に理解する必要があります。

  • テストの範囲を特定します。これには、顧客データを処理するすべてのシステムとアプリケーション、およびこのデータにアクセスできるサードパーティ システムの包括的な評価が含まれる必要があります。

  • 実施するテストの種類を決定します。これには、ネットワーク侵入テスト、Web アプリケーション侵入テスト、ソーシャル エンジニアリング、物理セキュリティ テストなどが含まれます。

  • テスト方法論を開発する –各タイプのテストを実施するために実行される手順と、使用されるツールとテクニックの概要を示す必要があります。

  • テストのタイムラインを確立する –これには、毎年または半年ごとなどの定期的なテスト間隔を含める必要があります。また、システムまたはインフラストラクチャに大きな変更が加えられた場合は、追加のテストが必要になります。

  • テスト チームの役割と責任を定義します。これには、テストの実施、結果の分析、レポートの作成の責任者が誰であるかを明確に理解することが含まれます。

  • 報告および修復プロセスを開発する – テストの結果を文書化するために実行される手順の概要を示します。また、特定された脆弱性に対処するために必要な修復手順も含まれます。

  • フレームワークを定期的にレビューして更新する –これは、SOC 2 標準の変更に対応するためにテストが適切かつ効果的であることを確認するために行う必要があります。

SOC 2 侵入テストを実行するには、Indusface のようなセキュリティ専門家を雇ってください。セキュリティ専門家は、包括的かつ徹底的な侵入テストを実行するために必要な専門知識、知識、ツールを備えています。

SOC 2 ペンテストに Indusface を選ぶ理由は?

<<ここからは広告記事強めなので、Indusfaceを別の単語、たとえば「我々」などに読み替えればわかりやすくなるかと思います。>>

大手アプリケーション セキュリティ企業である Indusface は、独自の脆弱性評価ツールと手動攻撃戦術を使用して、既存のセキュリティ対策の有効性を評価します。

認定セキュリティ専門家

Indusface には、最新のツールと技術を使用して包括的な侵入テストを実行する認定セキュリティ専門家のチームがいます。彼らは、組織が SOC 2 などのセキュリティ標準を満たし、機密情報の機密性と整合性を維持することに重点を置いています。

包括的な調査結果

Indusface の侵入テストへのアプローチには、自動テストと手動テストを組み合わせたものが含まれており、セキュリティ体制の完全な評価を提供します。

弊社のペンテスト チームは、継続的な調査と、毎日何千回ものスキャンから得られる更新により、多数の脆弱性を発見する優れた能力を備えています。これらの脆弱性は、他の人には気付かれません。

実用的なレポート

Indusface は専門知識に加え、セキュリティ リスクを軽減するための推奨事項を含む、調査結果の包括的なレポートを提供します。このレポートは、セキュリティ体制を改善するためのロードマップとして使用できます。SOC 2 コンプライアンス要件を満たすのに役立ちます。

現実世界の攻撃シミュレーション

当社の侵入テストのアプローチでは、実際の攻撃をシミュレートして、システムのセキュリティを正確に評価します。悪意のある攻撃者が使用する可能性のある戦術を再現することで、セキュリティ体制を徹底的に評価できます。これにより、システムに対するリスクをより深く理解できるようになります。

弊社の現実世界の攻撃シミュレーションにより、テスト結果に自信を持つことができます。そして、セキュリティ対策を改善するための措置を講じることができます。このアプローチにより、攻撃に対する防御態勢が強化されます。



まとめ:

indusfaceの広告的な記事の部分はともかく、よくあるリスク警告だけで具体性がないサイバーセキュリティー情報よりも学びがあると感じました。SOCという具体的な名称、定義があるのでブレませんし。

日本だと省庁が大企業のおじさんとへんてこな方向にルールを決めてしまい、当事者が「???」となることも多いので、なかなか面白いなと思いました。

元記事:

https://tindusface.com/learning/soc-2-compliance/?utm_source=linkedin&utm_medium=organic-social&utm_campaign=newsletter-soc2-compliance


この記事が気に入ったらサポートをしてみませんか?