SOC 1とSOC 2とは?
2024年版Verizon Data Breach Investigations Reportによると、サードパーティベンダーが原因となるデータ侵害は全体の62%を占めており、IBMの2024年版Cost of a Data Breach Reportによれば、サードパーティによる侵害の平均コストは476万ドルに上ります。ベンダーからどのSOCレポートが必要か尋ねられた際の回答が、ベンダーリスク評価プロセス全体を左右します。
SOC 1およびSOC 2は、SSAE No. 18保証基準に基づき公認会計士が発行する独立監査報告書です。いずれもサービス組織の内部統制を評価しますが、目的が異なります。 AICPAによれば、SOC 1は「ユーザー企業の財務報告に関連するサービス組織の統制」を検証します。これらのレポートは、ベンダーの統制がGAAPに基づく財務諸表の正確性に重大な影響を及ぼすかどうかにのみ焦点を当てています。
SOC 2はセキュリティおよび運用統制を対象とします。AICPAはSOC 2を「セキュリティ、可用性、処理の完全性、機密性、またはプライバシーに関連するサービス組織の統制に関する報告書」と定義しています。顧客データの保存、処理、送信を行うベンダーを評価する際にはSOC 2レポートが必要です。
.jpg)
SOC 1とSOC 2の理解:Type IとType IIの違い
SOC 1とSOC 2の選択に加え、どのレポートタイプが必要かも指定する必要があります。SOC 1とSOC 2にはいずれも2種類あります。Type Iレポートは、特定時点での統制設計を評価します。Type IIレポートは、6~12か月間にわたり設計の妥当性と運用有効性の両方を評価します。
重要なサプライヤーのベンダーリスク評価を行う際、Type IIレポートは、理論的な妥当性だけでなく継続的な統制運用を示すため、はるかに高い保証を提供します。エンタープライズ顧客は、調達承認前にベンダーが十分なデータプライバシーおよびセキュリティ対策を講じていることを求める傾向が強まっており、Type II保証はエンタープライズ市場向けSaaSやテクノロジーベンダーにとって事実上必須となっています。
SOC 1レポートが必要な場合
レポートタイプを理解した上で、次にどのフレームワークがベンダーとの関係に適用されるかを判断します。ベンダーが財務諸表に影響を与える取引を処理する場合、SOC 1 Type IIレポートを要求してください。AICPAによれば、SOC 1監査は「ユーザー企業の財務報告に関連する統制」を評価します。
SOC 1 Type II保証が必要となる一般的なケース:
- 給与計算処理業者による総勘定元帳エントリの作成
- 収益認識プラットフォームによるASC 606準拠計算の実施
- 売上高項目に影響を与える請求システム
- ローンサービスプラットフォームによる利息計算の管理
- 福利厚生管理者による繰延報酬の処理
外部監査人は、委託した財務プロセスが監査期間を通じてSOXコンプライアンスに十分な統制を維持していることを検証するため、これらのレポートを必要とします。
SOC 2レポートが必要な場合
SOC 1が財務報告統制を対象とする一方で、多くのベンダーリスク評価はデータセキュリティに焦点を当てています。サービス組織が顧客データを取り扱う場合、SOC 2が必要です。クラウドプロバイダー、SaaSアプリケーション、決済処理業者、セキュリティサービス、機密顧客データを処理するベンダーはすべてSOC 2評価が求められます。
エンタープライズ組織は、ベンダーが機密情報を取り扱う場合、セキュリティインシデントが評判や規制リスクを生じさせる場合、またはプライバシーコンプライアンス(GDPR、CCPA、HIPAA)がベンダー統制に依存する場合、SOC 2 Type IIレポートを要求すべきです。SOC 2コンプライアンスは、エンタープライズ顧客向けテクノロジーベンダーにとって標準的な要件となっています。
SOC 1とSOC 2:セキュリティチーム向けの主な違い
各フレームワークが評価する内容を理解することで、セキュリティチームはどのレポートを要求し、どのように解釈すべきかを判断できます。
範囲と目的
SOC 1は外部監査人向けであり、財務諸表監査プロセスを支援します。外部監査人は、委託した財務プロセスが財務報告に関連する十分な統制を維持していることの保証を必要とします。SOC 1レポートは、財務データの完全性、取引の正確性、総勘定元帳への影響に焦点を当てた統制目標でこのニーズに対応します。
SOC 2は、ベンダーが顧客データを保護できるかどうかを評価する際に直接役立ちます。このレポートは、セキュリティ、可用性、処理の完全性、機密性、プライバシーに関する統制について詳細な情報を提供し、これら5つのTrust Services Criteriaに関連するサービス組織の統制を明らかにします。
配布とステークホルダー
AICPAは、SOC 1レポートが「サービス組織を利用する企業およびその財務諸表を監査する公認会計士」のニーズを満たすと規定しています。配布は既存顧客、見込み顧客、およびその監査人に限定されます。
SOC 2レポートは、より広範なステークホルダーグループ(セキュリティチーム、リスク管理部門、調達部門、コンプライアンス担当者、データ保護統制に関する詳細情報を必要とする顧客)を対象とします。依然としてNDAが必要な限定利用レポートですが、SOC 2の配布範囲は正当なセキュリティ評価ニーズを持つすべての関係者を含みます。
統制フレームワークの違い
SOC 1は、財務報告目的に関連する統制を財務報告統制フレームワークで評価します。これには、取引承認、財務データの完全性と正確性、職務分掌、照合手続き、財務アプリケーションを支える一般的なIT統制が含まれます。
SOC 2は、セキュリティ、可用性、処理の完全性、機密性、プライバシーの5つのカテゴリにわたる標準化されたTrust Services Criteriaのみを使用します。この標準化により、ベンダー間の直接比較や既存の セキュリティ統制フレームワークとの整合が可能となります。
セキュリティプログラムとの統合
LinfordCoのフレームワーク分析によれば、NIST Cybersecurity FrameworkはSOC 2基準に直接マッピングされます:NIST IdentifyはCC3リスク評価に、NIST ProtectはCC6アクセス制御および機密性/プライバシー基準に、NIST DetectはCC4モニタリングおよびCC7システム運用に、NIST RespondはCC9インシデント対応機能に、NIST Recoverは可用性基準に対応します。この整合性により、ベンダーのSOC 2レポートは、社内で実装しているのと同じ統制カテゴリに関する標準化された証拠を提供します。
SOC 1とSOC 2:比較
以下の表は、SOC 1とSOC 2レポートの主な違いをまとめたもので、セキュリティチームが特定のベンダー関係にどの保証が適用されるかを判断する際の参考となります。
| 基準 | SOC 1 | SOC 2 |
| 主な目的 | ユーザー企業の財務報告に関連する内部統制(ICFR)に影響を与える統制を評価 | セキュリティ、可用性、処理の完全性、機密性、プライバシーに関連する統制を評価 |
| 適用基準 | SSAE No. 18, AT-C Section 320(統制の監査に関する報告) | SSAE No. 18, AT-C Section 205(AICPAが策定したTrust Services Criteriaを使用) |
| 統制フレームワーク | サービス組織が財務報告への影響に基づき定義したカスタム統制目標 | 5つのカテゴリを持つ標準化されたTrust Services Criteria(TSC);セキュリティは必須、他4つは任意 |
| 主な対象者 | 財務諸表監査を実施する外部監査人およびSOXコンプライアンスを担当する財務チーム | セキュリティチーム、ベンダーリスク管理、調達、コンプライアンス担当者、エンタープライズ顧客 |
| 一般的な依頼者 | 年次財務諸表監査サイクル時のCFO、経理責任者、外部監査チーム | ベンダーオンボーディングや年次レビュー時のCISO、サードパーティリスク管理チーム、調達部門 |
| 規制要因 | 公開企業のSarbanes-Oxley(SOX)法404条コンプライアンス;GAAP財務報告を支援 | SOC 2コンプライアンスはGDPR、CCPA、HIPAAなどのデータ保護規制を支援;エンタープライズ契約での要求が増加 |
| 一般的なベンダータイプ | 給与計算処理業者、福利厚生管理者、ローンサービス業者、収益認識プラットフォーム、請求システム | クラウドプロバイダー、SaaSアプリケーション、データセンター、マネージドセキュリティサービス、決済処理業者 |
| 統制テストの焦点 | 取引承認、財務データの正確性、職務分掌、照合手続き、IT一般統制 | アクセス制御、暗号化、インシデント対応、変更管理、可用性、データ保持、プライバシー実践 |
| レポート範囲の定義 | ベンダーが取り扱う特定の財務プロセスおよび取引に関連する統制で範囲を定義 | システム境界、インフラ構成要素、および適用される5つのTrust Services Criteriaで範囲を定義 |
| 標準化レベル | 統制目標はベンダーごとに提供する財務サービスにより大きく異なる | 標準化された基準によりベンダー間の直接比較やNIST CSFなどのフレームワークとの整合が可能 |
| ブリッジレターの有無 | ブリッジレターは監査期間間の財務報告継続性を補完 | ブリッジレターはあまり一般的でなく、セキュリティ保証には継続的なモニタリングや最新レポートが推奨される |
| 一般的な監査費用範囲 | 財務プロセスの複雑さや取引量により2万~6万ドル以上 | 範囲、Trust Services Criteria数、組織規模により1万2千~10万ドル以上 |
これらの違いを理解することで、適切なレポートタイプを要求し、自身のリスク懸念に関連する統制にレビューを集中できます。
SentinelOneによるベンダーリスク評価の強化
SOC 2レポートは、ベンダーがCC6で規定される多要素認証、ロールベースアクセス制御、特権アクセス管理を実装しているかどうかを文書化します。 Singularity Platformは、ベンダーアカウントやサードパーティ連携のアクティビティを含む環境全体でリアルタイムの行動分析を提供し、この可視性を拡張します。
Purple AIは、アーリーアダプターによると脅威調査を最大80%高速化します。プラットフォームの行動AIは、期待されるパターンから逸脱する異常な行動を特定し、調査対象となる潜在的なセキュリティ懸念をフラグします。 MITRE ATT&CK評価でアラート数が88%削減されるため、SOCアナリストは誤検知の処理ではなく実際の脅威調査に時間を集中できます。
継続的なコンプライアンス証拠
SentinelOne AI-SIEMは自律型SOCのために構築されています。業界最速のAI搭載オープンプラットフォームで、すべてのデータとワークフローを保護します。
SentinelOne Singularity™ Data Lake上に構築されており、Hyperautomationによりワークフローを高速化します。無制限のスケーラビリティと無期限のデータ保持を提供可能です。レガシーSIEMのデータをフィルタ、強化、最適化できます。余剰データもすべて取り込み、既存のワークフローを維持できます。
リアルタイム検知のためにデータをストリーミングし、自律AIでマシンスピードのデータ保護を実現します。業界唯一の統合コンソール体験により、調査や検知の可視性も向上します。
スキーマフリーかつインデックス不要で、Exabyte規模のデータ処理が可能です。セキュリティスタック全体を容易に統合できます。構造化・非構造化データの両方を取り込み、OCSFをネイティブサポートします。また、自動化されたインシデント対応プレイブックにより、一貫性のある効果的な脅威対応を実現します。誤検知やアラートノイズを削減し、リソース配分を最適化し、全体的なセキュリティ体制を向上させます。
SentinelOneのデモをリクエストして、Singularity Platformがどのように自律型脅威防御と継続的モニタリングを提供し、ベンダーリスク評価プログラムを補完するかをご確認ください。
重要なポイント
SOC 1は外部監査人向けに財務報告統制を評価し、SOC 2はベンダーリスク管理のためにセキュリティ、可用性、処理の完全性、機密性、プライバシーを評価します。6~12か月間の運用有効性を示すType IIレポートは、時点評価のType Iよりもはるかに高い保証を提供するため、エンタープライズのベンダー評価では推奨されます。
SOC 2コンプライアンスは、初回保証の場合12か月以上の計画的な観察期間、ベンダー依存関係、証拠収集が必要です。継続的なモニタリングは、年次SOC保証をリアルタイム統制追跡で補完し、補完的ユーザーエンティティ統制(CUEC)は、ベンダーがクリーンなSOC意見を維持していても引き続き自社の責任となります。
よくある質問
SOC 1およびSOC 2は、SSAE No. 18保証基準に基づき、公認会計士によって発行される独立した監査報告書です。SOC 1は、ユーザー企業の財務報告に関する内部統制に関連する統制を検証し、サービスが財務諸表の正確性に影響を与えるベンダーに焦点を当てています。
SOC 2は、機密データを取り扱うサービス組織に対して、セキュリティ、可用性、処理の完全性、機密性、プライバシーに関連する統制を評価します。両方の報告書には、Type I(ある時点での評価)とType II(6~12か月間の運用有効性評価)のバージョンがあります。
SOC 1は財務報告に影響を与えるコントロールに焦点を当てており、アウトソーシングされた財務プロセスに関する保証を必要とする外部監査人向けです。SOC 2はセキュリティおよびデータ保護コントロールに焦点を当てており、ベンダーのデータ取扱いを評価するセキュリティチームやリスク管理者向けです。
ベンダーが財務諸表に影響を与える取引を処理する場合はSOC 1を要求してください。ベンダーが機密性の高い顧客データを保存、処理、または送信する場合はSOC 2のコンプライアンス証拠を要求してください。
主なリスクサインには、コントロールの不備を示す限定付き監査人意見、利用している重要なサービスが除外されている狭いスコープ定義、是正措置が文書化されていない多数のコントロール例外、6か月未満の観察期間、報告期間ごとにコントロール記述が大きく変更されていることなどがあります。
また、サブサービス組織が除外されている場合は、それらの依存関係を別途評価する必要があるかどうかも確認してください。
SOCレポートは貴重な保証を提供しますが、セキュリティチームが理解すべき限界も存在します。SOCフレームワークは サードパーティリスク管理の課題に直接対応しますが、最近の侵害事例は年次認証だけに依存することのギャップを明らかにしています。2020年のSolarWinds侵害では、年次SOC 2認証のみに依存したベンダーリスク評価が、18,000以上の組織に影響を与えた継続的な侵害を見逃しました。攻撃者はソフトウェアアップデートに悪意のあるコードを挿入し、セキュリティコントロールを回避して数か月間発見されませんでした。
2023年のMOVEitファイル転送の脆弱性では、攻撃者が信頼されたベンダーのソフトウェアを悪用し、2,500以上の組織と6,600万人の個人が被害を受けました。これらの事例は、SOC 2が正確に何を評価し、何を評価しないのかを理解することが、効果的なベンダーリスク管理に不可欠である理由を強調しています。
はい。財務とデータセキュリティの両方の要素を含むサービスを提供する組織は、しばしば両方の認証を取得します。福利厚生管理プラットフォームは、給与控除に関する財務報告コントロールのためにSOC 1が必要であり、従業員の健康情報を保護するプライバシーコントロールのためにSOC 2が必要となる場合があります。
監査人は異なるコントロールフレームワークを用いて個別に調査を実施しますが、IT全般統制に関する証拠収集が重複する場合もあります。
限定付き意見は、監査人が無限定(クリーン)意見を発行できなかった統制の不備を特定したことを示します。Type II レポートでは、セクション4がテスト結果と例外を文書化し、監査観察期間中の特定の統制逸脱について透明性を提供します。
文書化された不備が、ベンダーに委託するデータに影響を与えるかどうか、また自社環境の補完的統制がそのギャップを補っているかどうかを評価する必要があります。限定付き意見の場合は、ベンダー承認前により深いリスク評価が求められます。
SOCレポートは、サブサービス組織をカーブアウト方式(サブサービス組織の管理策を範囲外とする)またはインクルーシブ方式(サブサービス組織の管理策を範囲内とする)のいずれかで提示する場合があります。
ベンダーがカーブアウト方式を採用している場合、SOCレポートにはAWSインフラストラクチャや決済処理ネットワークなどの重要なサブサービス組織における管理策が含まれていません。エンタープライズ組織は除外されたレイヤーを特定し、機密データを取り扱う重要なサブサービス組織から個別のSOC 2レポートを取得する必要があります。
補完的ユーザーエンティティコントロール(CUEC)は、サービス組織が顧客による実施を前提とするコントロールです。一般的なCUECには、ユーザーアクセスレビュー、職務分掌、サービス組織レポートのレビュー、顧客側の設定、処理結果の監視などがあります。
ベンダーの問題のないSOC意見があっても、顧客側のコントロール責任がなくなるわけではありません。レポートのセクション1には、実施が必要なすべてのCUECが記載されています。
年次SOC 2レポートは発行日から12か月間有効です。組織はベンダーのSOCレポート有効期限を管理し、継続的なコンプライアンスの可視性を維持する必要があります。
機密データを処理する高リスクベンダーについては、年間を通じて継続的な監視を実施し、ベンダーのセキュリティインシデント、SLA遵守、監査サイクル間の所有権変更を追跡してください。
