海外向けに提供する「kintone」の SOC2 Type2 保証報告書を受領しました。

2024年8月8日 海外向けに提供する「kintone」のSOC2 Type2 保証報告書を受領しました。翌日公開したニュースリリースはこちらです。

サイボウズ、海外向けに提供する「kintone」の 内部統制を評価するSOC2 Type2保証報告書を受領 情報セキュリティに対する管理策が、一定期間継続的に整備および運用されていることを評価 | サイボウズ株式会社

適用範囲に、ご注意ください

日本向けに提供している「kintone」の保証報告書ではありません。海外向けに提供する「kintone」をご利用の方、ご利用を検討いただいている方にのみお渡しできる報告書となっています。

SOC2 とは

米国公認会計士協会（AICPA）が定めたサイバーセキュリティのフレームワークです。セキュリティ・プライバシー・可用性・機密性・処理の完全性、という5つの項目でデータセキュリティを維持するための基準を定めています。監査を受ける企業は、これらの5つの項目に準拠するようルールを制定し、実際の運用を行う必要があります。SOC2は主に監査法人が企業を評価して報告書をまとめるもので、被監査企業が報告書の適用範囲について、SOC2の原則や基準に適合しているのかを保証するものになります。

サイボウズでは今回の保証報告書で 5つの項目の内、最低限必要となる「セキュリティ」の基準について監査を受けています。

Type2 保証報告書を受領するまで

• 事前診断：2022年10月 ～ 2023年8月（11カ月）

• Type1監査：2023年9月 ～ 2023年12月（4カ月）

• Type2監査：2024年1月 ～ 2024年8月（8カ月）

全体で2年近くかかったプロジェクトとなります。事前診断に入る前にさまざまな調査や、契約手続きが必要となるので、保証報告書の受領を検討される企業のご担当者は、参考にしてください。

[PR]

SOC2 に関するコミュニケーションでは kintone ゲストスペース機能を利用して監査法人と記述書のやりとり、証跡の受け渡しを実施しています。
詳細は、ISMAP概要（監査編）でも紹介しています。

苦労した点など

事前診断

事前診断では、適用するシステムに関する記述、企業内の内部統制など、被監査企業に作成責任がある部分を、実際に作成していくことになります。SOC2の基準に沿っていることが求められ、実際の内部統制が基準に満たない場合は、事前診断で是正をしながら進めていきます。
相当量の文章を作成する必要があり、実際のルールや、運用状況などを示す証跡を確認しながら作成していきます。サイボウズでは、ISMSを長年実施してきたので、ISMSのプロセスを中心に作成を進めることができました。ただ、ルールがあり、運用しているだけでは監査に適合しているとはいえず、運用状況を明確に証跡として示せる運用をする必要があり、記録を残すことを徹底できるようプロセスを見直しながら進めていきました。

Type1

Type1では、特定の日付での統制の整備状況の監査を受けます。事前診断でおおよそ確認ができているので、該当時点での証跡を提出し、事前診断での変更点などあれば対応していくことになります。サイボウズでは、Type1 保証報告書で記述書の英語翻訳を実施しました。監査法人による翻訳をサイボウズがレビュー。相当量の文章のレビューが必要となりました。

Type2

Type2では、一定期間の内部統制の運用状況の監査を受けます。サイボウズでは、今回の保証報告書で 2023年12月～2024年5月までの6ヶ月の運用状況の監査を受けました。Type2で運用期間内の運用状況に関する証跡を提出するので、証跡の数が多くなり、証跡のなかには事前診断では想定していなかったような例外的な証跡が含まれることもあり、記述書の記載を変更するなど、対応を進めながら監査を受けました。

最後に

サイボウズが受領した SOC2 保証報告書をお渡しさせていただいた企業の方からは高い評価をいただき、保証報告書の信頼度の高さに驚きました。SOC2保証書を受領するにあたり、開発・運用の現場では確実に記録を残すためのプロセスに変更いただくなど、多大な工数がかかることをお願いしました。また監査をいただいた監査法人の方にも多数の証跡や、至らない個所の指摘など、さまざまなアドバイスをいただき保証報告書が完成しました。改めて感謝したいと思います。