SOC 2 とは？

SOC 2レポートは、SaaSまたはクラウドサービスプロバイダーが顧客データを責任を持って扱うことを示すための事実上の標準です。Type Iレポートは特定の時点でのコントロールの設計を評価し、Type IIレポート（より厳格で一般的に要求されるバージョン）は通常6〜12か月の期間にわたってコントロールの設計と運用の有効性の両方を評価します。

セキュリティ基準（Common Criteriaとも呼ばれる）はすべてのSOC 2監査で必須であり、論理的および物理的アクセス制御、システム操作、変更管理、リスク軽減をカバーします。組織は共有と転送を含むライフサイクル全体にわたって不正アクセスから情報を保護することを示す必要があります。監査人はポリシー、手続き、技術的コントロールを調査し、クレデンシャルとシークレットがどのように管理、共有、ローテーションされているかを精査することが多いです。

SOC 2コンプライアンスの達成と維持には継続的な取り組みが必要です。文書化されたセキュリティポリシー、アクセスレビュー、暗号化プラクティス、インシデント対応手順、ベンダー管理、従業員トレーニング。SOC 2の準備をする組織は、メールやSlackでパスワードを共有するなどの非公式なプラクティスが修正が必要な監査上の発見を生み出すことに気づくことが多いです。

Vaulted における SOC 2 の使われ方

VaultedはSOC 2コンプライアンスを目指しているまたは維持している組織が、機密情報を安全かつ監査可能な方法で共有するのを支援します。監査人がコントロールの欠陥として指摘するメールやチャット経由でクレデンシャルを送信する代わりに、チームはVaultedの暗号化された自己消滅リンク経由でシークレットを共有できます。ゼロナレッジアーキテクチャ、クライアントサイド暗号化、自動有効期限はSOC 2の機密性とセキュリティ基準に沿っており、組織が共有中に機密データを保護していることの証拠を提供します。