サイバーセキュリティのフレームワークであるSOC2報告書の受領は、クラウドサービスを提供するKinstaにとって名誉ある証明です。

米国公認会計士協会(AICPA)によって考案された、Service Organization Control Type 2(SOC2)は、特定のTrustサービス基準への準拠状況を評価することを目的としたフレームワークであり、Kinstaのように顧客データをクラウドでホストするサービスを提供する企業にとって、非常に重要な役割を果たします。

Kinstaは、2022年秋にSOC2報告書の取得を目指し、2023年8月にSOC2の中核となるセキュリティサービス基準に準拠して、無事にSOC2報告書を受領しました。今回は、その道中で学んだ教訓をご紹介します。

SOC2報告書の取得に取り組んだことで、自社システムをさらにセキュアな状態にできるということは、今回学んだことの1つです。

この記事が、これからSOC2コンプライアンスへの準拠に取り組む方のお役に立ちましたら幸いです。

SOC2とは

SOC2は、一連の情報セキュリティ基準を示すもので、企業が任意で遵守することができます。企業の運営方法をSOC2のTrustサービス基準に対応させることで、SOC2報告書の取得が可能になります。

SOC2報告書を受領していないことを理由に、Kinstaのサービスを選ばないという人は少なくありませんでした。

─Jon Penland(Kinsta最高執行責任者)

AICPAによるTrustサービス基準は、ほぼすべての組織に適用する一般的なものであり、AICPAの認定を受けた独立した第三者機関と協力しながら、自社の業務に特化した内部統制を監査することになります。

SOC2には、セキュリティ、可用性、処理の完全性、機密性、プライバシーの5つのサービス基準があり、今回初めてSOC2コンプライアンスへの準拠を行うKinstaは、まず中核となるセキュリティ基準に焦点を絞りました。

このセキュリティ監査の最終的な結果を記録したものが、SOC2報告書であり、これには以下2つのタイプがあります。

  • タイプ1─企業がSOC2コンプライアンスを遵守するのに十分な内部統制を設計し、実施することを証明する報告書。特定の1日を対象に監査が行われ、適切な内部統制を導入できているかどうかのみを確認する。
  • タイプ2─(特定の1日を対象に監査が行われるタイプ1とは異なり)一定の期間にわたって監査を行い、長期的にコンプライアンスへの遵守を評価する報告書。

Kinstaはタイプ2の報告書を選択し、まずは2023年4月1日からの3ヶ月間にわたって監査を開始しました。

その結果はこちらで公開しています。

KinstaのTrust Reportページ
KinstaのTrust Reportページ

SOC2報告書の取得を決めた理由

2022年9月にSOC2プロジェクトに着手する以前より、Kinstaはコンプライアンス遵守を意識していました。

SOC2のサービス基準を満たしていないことがわかると、Kinstaを離れる潜在顧客は決して少数ではなく、多くの企業顧客、そして増加する中小企業にとって、パートナー選びにSOC2報告書の有無は重要な要件となっていました。

また、広範なセキュリティアンケートへの回答を依頼されることも多々あり、SOC2報告書を受領することで、この回答時間の削減にもつながることが予想されました。

つまり、SOC2コンプライアンスに準拠することで、具体的かつ有意義な方法でセキュリティの改善を行えると確信し、SOC2報告書の取得を決断しました。

GRCソフトウェアとセキュリティ監査法人の選択

SOC2報告書の受領にあたって、コンプライアンス監視を最大限に自動化するためのGRC(ガバナンス、リスク、コンプライアンス)ソフトウェアと、SOC2の監査を依頼する独立した監査法人を見つけなければなりませんでした。

まずは、要件に適していると思われるGRCソフトウェアを選別することから始めました。10社以上のGRCソリューションを調査し、8社に直接連絡を取り、4~5社の製品デモを試しました。このプロセスに数週間を費やし、2022年の終わりに、Vantaを採用することに決めました。

その後翌年の1月まで、コンプライアンス監査のため、Vantaの自動化ツールを社内システムに統合する作業を進めました。

同時に、監査法人探しも開始しました。Vantaに精通し、Vantaで収集したデータを確実に対応してくれる第三者機関を選ぶため、Vantaのパートナーの中から選ぶことに。何社かと連絡を取った後、BARR Advisoryにセキュリティ監査を依頼することにしました。

SOC2報告書を受領するまで

GRCソフトウェアと監査法人が決まった3月は、特に忙しい月でした。

セキュリティ、IT、エンジニアリング、開発、法務、そして人事部門は、やるべきことが山積みでした。日々数え切れないほどの会議を行い、あらゆるポリシーとワークフローを更新し、Slackでもプロジェクトを推進しながら、VantaとBARRに定期的に確認を行いました。

監査が開始された4月1日には、特別行わなければいけないことはなく、コンプライアンスへの準拠を実践さえすれば、それほどの労力は必要ありませんでした。監査開始までの準備と監査を裏付けるデータの収集には時間を要しますが、SOC2サービス基準への準拠を運営に組み込んでいれば、通常通り業務を行うことができます。

6月後半には、監査法人との話し合いを重ね、収集したデータを確認し、データが内部統制とどのように関連しているかを把握しました。Vantaを採用したことで、多くの手間を削減することができましたが、BARRに提供するデータの収集、整理にはかなりの労力が必要になりました。

Kinsta初のSOC2報告書は、2023年8月15日に発行されました。

KinstaのSOC2報告書

KinstaのSOC2報告書は、いくつかのカテゴリに分類される38の基準を網羅しています。

  1. 自動プラットフォームテスト:インフラストラクチャにGoogle Cloud Platformを採用していることから、GCPのセキュリティに関するテストの多くはVantaで自動化できます。テストのセットアップを終えると、バックグラウンドでほぼ自動で実行されるものの、セットアップにはかなりの時間がかかりました。Vantaが効果的に監視を行えるよう、保持する何千ものGCP VM(仮想マシン)をエンジニアチームがすべて適切に分類、整理しなければなりませんでした。
  2. ポリシー:SOC2プロジェクトに取り組む以前から、Kinstaでは非常に堅牢なポリシーを策定していましたが、Vantaによる監査には適していませんでした。そのため、現在のポリシーとVanta推奨の設定を照らし合わせ、整合する方法の検討が必要でした。これには、予想を超える膨大な量の調整と作業が必要になり、これが全行程の中で最も大変なステップに。
  3. ワークフローと手順:ポリシーをワークフローに統合しなければ、ポリシーを遵守できない恐れがありました。SOC2のセキュリティ基準に確実に準拠するため、様々なワークフローを検討し、チェックポイントやステップを追加しながら更新を行いました。
  4. 繰り返しのタスク:SOC2報告書を取得するには、特定のタスクを定期的に実行する必要もあります。災害復旧やセキュリティインシデントのTTX(テーブルトップエクササイズ)、侵入テスト、ポリシーの年次レビューなどがその一例です。

SOC2報告書の取得は、最終的にIT、人事、エンジニアリング、開発、セキュリティ部門でどのように業務を行うかを明確にし、管理することにつながります。そのため、実際の運営方法に沿った内部統制を設計するか、SOC2コンプライアンスに応じて、必要であれば運営方法を調整することが重要です。SOC2コンプライアンスへの準拠は、単に年に一度実施すればいいというわけではありません。

SOC2報告書取得への取り組みから得た教訓

SOC2プロジェクト成功の鍵は、経営陣および組織全体で賛同を得られたことにあります。

SOC2コンプライアンスへの準拠には、特に開発、エンジニアリング、セキュリティといった技術に多大なリソースを投入しなければなりません。CTOと技術部門の主任たちがこのプロセスの必要性を理解していなければ、このプロジェクトは失敗に終わっていたことでしょう。SOC2報告書の取得を目指すのであれば、SOC2報告書の重要性をしっかり社内で共有し、会社の経営陣の賛同を得ることが非常に重要です。

まずは、自社の事業に適した統合と機能を持つGRCソフトウェアを見つけることから始めることをおすすめします。また監査法人を探して、協力しながらプロジェクトを進めていくのも良いアイデアです。私たちの場合は、第三者機関による監査前に行った準備作業は、必要なステップを明確化するのに役立ちました。

また、自社の業務に精通している監査法人を選ぶことも重要です。

Kinstaは、最新鋭のテクノロジー企業です。事業全体がクラウドで稼働しており、物理的なオフィスは持たず、社員は世界各地に散在しています。従来の実店舗型ビジネスや、オンプレミスのインフラにしか理解のない監査法人を選んでいたら、SOC2報告書の取得は難航していたかもしれません。

まとめ

クラウドホスティング会社にSOC2報告書を求めるユーザーが増加する今日、Kinstaは2022年秋にSOC2のセキュリティ基準への準拠を決定し、2023年8月にSOC2報告書を受領しました。その過程で、数多くのポリシーと手順の微調整を行い、ガバナンス、リスク、コンプライアンス(GRC)監視を一部自動化するためのサードパーティプラットフォームも採用しました。

Kinstaの最高執行責任者(COO)であるJohn Penlandは、SOC2報告書の取得に向けた取り組みは、「具体的かつ有意義な方法でセキュリティを改善する機会」になったと述べています。

今後も監査対象のサービス基準を増やしながら、セキュリティ監査を継続的に行っていく予定です。

KinstaのSOC2報告書は、Trust Reportページでご覧いただけます。

Kinstaをご利用でない方は、SOC2のセキュリティ基準を満たしたWordPress専用マネージドホスティングアプリケーションホスティング、およびデータベースホスティングをこの機会にぜひご利用ください。

Steve Bonisteel Kinsta

Kinstaのテクニカルエディター。救急車や消防車を追いかける記者としてキャリアをスタート。1990年代後半からインターネット関連の技術情報を担当している。