弊社ホスティングプラットフォームにおいて、顧客データの安全性を評価するために、独立した第三者機関による弊社のセキュリティ慣行の監査を実施しました。
弊社セキュリティポリシーおよびセキュリティ慣行が、Service Organization Control Type 2(通称SOC2)の特定のTrustサービス基準を満たしているかどうかを評価するため、BARR Advisoryに監査を依頼しました。
米国公認会計士協会(Association of International Certified Professional Accountants、通称AICPA)によって考案されたSOCは、企業のシステムおよび内部統制を評価した報告書です。SOC2は、セキュリティ、可用性、処理の完全性、機密性、およびプライバシーの5つのTrustサービス基準が指標となり、クラウドサービスを提供する企業にとって重要な役割を果たします。
SOC2を鑑み、まずはセキュリティの基準を満たすことに焦点を当てました。
SOC2への準拠は、弊社の情報セキュリティエコシステムがセキュリティを最重要視して設計されていることの裏付けとなり、お客様に確かな安心を提供することができます。
─Jon Penland|Kinsta最高執行責任者
「クラウドサービス業界では、SOC2は最も認知されているサイバーセキュリティのフレームワークです。これまでも安全なサービスを提供していると感じていましたが、SOC2報告書の取得によって、具体的かつ有意義な方法でセキュリティを改善できると確信しました」
KinstaのSOC2報告書
SOC2の中核となるセキュリティサービス基準に焦点を当てることに加え、特定の1日を対象に監査が行われるタイプ1ではなく、半年以上の期間にわたってパフォーマンスを評価する「タイプ2」の取得を目指しました。
報告書の取得には、リアルタイムで証拠収集の多くを自動化するガバナンス、リスク、コンプライアンスソフトウェアを提供しているVantaを利用。審査機関であるBARRと協力し、監査期間中に対象となる一連の監査項目を定義しました。
「最初の監査期間は、2023年4月1日から6月30日まで。Vantaでは、審査機関が必要とする多くの情報を簡単に取得できることから、BARR社に送るデータの収集と整理を劇的に効率化することができました」
今年8月15日、BARR社による内部および第三者監査が完了し、弊社初となるSOC2報告書を受領しました。
この報告書では、内部システムへのアクセス管理方法から、コード変更のレビューおよび承認方法、新入社員のセキュリティ意識向上トレーニングまで、38の基準が網羅されています。
SOC2報告書はこちらより入手可能です。
「Trust Reportページ(上記リンク)では、最新のSOC2報告書、SOC2監査基準の一部および自動監視される監査基準などの概要をご覧いただけます。全項目が自動的に監視され、反映されるわけではありませんが、ほとんどの基準が表示されます」
「SOC2の監査基準を単なるチェックボックスとして扱わないことを心がけました。SOC2に準拠する以上、顧客に真の価値を提供しなければなりません。このアプローチのおかげで、多くのものを得ることができました」
「SOC2は、特定のセキュリティ慣行やポリシーを形式化する上で非常に役立つ指標となり、その結果として、弊社サービスの安全性を示す証拠にもなります」
今後のSOC2に関連した取り組み
SOC2の5つのサービス基準(セキュリティ、可用性、処理の完全性、機密性、プライバシー)のうち、SOC2を採用する企業は、少なくともセキュリティ基準への準拠が必要です。
「どのサービス基準を遵守するかは、各企業の判断に委ねられています。セキュリティ基準の次は、可用性と機密性を視野に入れており、2024年夏に取得予定のSOC2報告書では、この2つの基準にも準拠することを予定しています」
弊社のSOC2証明書、およびその他のセキュリティコンプライアンスは、Trust Reportページをご覧ください。
安全なクラウドホスティングをお探しなら、Google Cloud PlatformとCloudflareを採用し、ファイアウォール、DDoS対策、ワイルドカード対応SSL証明書などのさまざまな機能を提供するKinstaをぜひお試しください。