はじめに
最近何かと情報セキュリティが話題になってますが、米国では、情報セキュリティの自動化というキーワードで数多くのスタートアップが生まれてきており、大きな注目を集めています。
その中でも、もっとも有望とみられているのが Vanta という SaaS なので、その Vanta についての解説を書きたいと思います。
今回は、SOC2への準拠をVantaを使って実現する方法についてシリーズ化して解説します。
Vantaとは
Vantaは、アメリカ・サンフランシスコ発のセキュリティコンプライアンス自動化のリーディングカンパニーです。
2018年の設立以来、14,000社以上に導入され、SOC 2やISO 27001、GDPR、HIPAAなどの主要認証への対応を効率化している現在最も注目されているSaaSツールです。
本編(フレームワーク:SOC 2 への準拠)
では、さっそく Vanta を使って SOC 2 への準拠を進めていきましょう。
利用可能なフレームワークの一覧
まずは、左ペインのメニューから、「 Compliance(コンプライアンス)」>「Frameworks(フレームワーク)」を選ぶと、利用可能なフレームワークの一覧が表示されます。今回は「SOC 2」を例にご説明したいと思います。
利用可能なフレームワークですが、ISO 27001、SOC2、NIS 2、HIPPA、NIST 800 など数多くのものがVanta に事前登録されており、そのうち、お客様がご契約しているフレームワークが、利用可能なフレームワークとして一覧に表示されます。
また、お客様独自のカスタム フレームワークを作成することも可能です。(カスタム フレームワーク対応プランのご契約が必要です。)
ちなみに、SOC 2 の場合は、Type 1 か Type 2 か、Security, Availability, Confidentiality, Privacy, Processing Integrity のどれを対象にするかなどを選ぶことができます。今回は SOC 2 Type 2 の Security を選んでいます。
ちなみに、Vanta はポリシーテンプレートなどは日本語化されているものの、メニューやメッセージなどは、まだ日本語化されていません。
(※ コントロール(管理策)のように、元は英語だけど、内容(文言)を自分で変更できるものや、カスタム フレームワークのように日本語で作成することが可能なものもあります。)
ただし、(英語のままであっても)Chrome 等の翻訳機能を使うことで違和感のない日本語で表示させることができます。
もっとも、その自動翻訳された内容が正確で信頼できるものかの保証はないため、メニューやメッセージなど、意味が伝わればいいものはブラウザの自動翻訳で対応して、正確な文章が求められるものは、自分で日本語したものを使う等のルールは必要かと思います。
(ちなみに、TrustNowでは、そのような日本語化のお手伝いをしております。)
SOC 2 対応状況 ~ 概要
フレームワークの一覧から、「SOC 2」を選ぶと、SOC 2 への対応状況が表示されます。
まずは、Overview(概要)タブですが、ここで SOC 2 への対応状況の概要が見れます。
ちなみに、ブラウザの自動翻訳機能で日本語化した場合はこんな感じです。
SOC 2 対応状況 ~ コントロール(管理策)
次に、Controls(コントロール)タブを見てみましょう。
ここで、SOC 2 に関連するこコントロール(管理策)とその対応状況を見ることができます。
ブラウザの自動翻訳機能で日本語化した場合
SOC 2 対応状況 ~ テスト
次に、Tests(テスト)タブです。
ここでは、SOC 2 の要求事項に適合しているかどうかを確認します。
「コントロール(管理策)」との違いですが、「コントロール(管理策)」は要求事項を説明しているのに対して、この「テスト」では、その要求事項に適合しているかどうかのテストの方法とその合格基準を説明しています。(詳細は後述します。)
また、多くの項目において、「テスト」では、「コントロール(管理策)」よりも詳細で具体的な記述がされています。
ブラウザの自動翻訳機能で日本語化した場合
SOC 2 対応状況 ~ 更新情報
次は、Updates(更新情報)タブです。
ここでは、SOC 2 に関連する機能追加やポリシーテンプレートの雛型の更新等の更新情報を確認することができます。
ブラウザの自動翻訳機能で日本語化した場合
SOC 2 対応状況 ~ 対象範囲
最後に、Scope(対象範囲) タブです。
スコープは、「 Systems(システム)」と「 People(人)」に分かれます。
「 Systems(システム)」では、Vanta がAPI連携(統合)を実施済みの項目が表示されています。
ブラウザの自動翻訳機能で日本語化した場合
「 People(人)」では、対象のユーザーグループが表示されます。
また、グループを選択すると、その詳細(メンバー)が表示されます。
SOC 2 対応状況 ~ コントロール(管理策)の詳細
それでは、コントロール(管理策)を細かく見ていきましょう。
まずは、コントロール(管理策)全体を見てみます。
こちらは当然ですが、SOC 2 に従って構成されています。
ブラウザの自動翻訳機能で日本語化した場合
SOC 2 対応状況 ~ コントロール(管理策)~ C.4 組織の状況
それでは、ひとつずつ見ていきます。
まずは、CC 1.1 - COSO Principle 1: Integrity and ethical values(COSO原則1:誠実性と倫理的価値観 )- Employee background checks performed(従業員の身元調査を実施)を見てみましょう。
(ここからはブラウザの翻訳機能で日本語化したものをベースにご説明します。)
元の英語バージョン
対象のコントロールをクリックすると、その詳細を見ることができます。
CC 1.1 Employee background checks performed(従業員の身元調査を実施)を見てみましょう。
元の英語バージョン
上記のスクリーンショットのように、右側に表示されたコントロール(管理策)の詳細にて、そのコントロール(ここでは「CC 1.1 従業員の身元調査を実施」)の概要や Tests(合格基準)、Documents(関連文書)、Policies(関連ポリシー)、Frameworks(関連フレームワーク)、Risk scenarios(リスクシナリオ)、Issues(問題)などを一覧で見ることができます。
このコントロール(CC 1.1 Employee background checks performed(従業員の身元調査を実施))では、「企業や組織が新規採用者に対して身元調査を実施していること」を求めていることが分かります。
Vantaでは、各フレームワークの下に、コントロール(管理策)が定義されていますが、各コントロールごとに、より具体的な達成するべき項目として「テスト」と「文書」が定義されています。
「テスト」は、Vantaによって事前定義されたもので、下記のような項目で構成され、Vantaによって自動的に判定される合格基準といえます。
- Vanta上で定義される各種の承認済みポリシー(規定)の有無
- AWS、Azure、Githubといった各種クラウド、SaaSとの連携を通じて取得される設定・状態等の情報から判定される内容
- Vanta上の従業員ポータルから各従業員が各ポリシーや規定に同意したか、また、必要なトレーニングを受講したか等々
一方で、「文書」は、Vantaによって自動的に判定できない事柄の証明のために、資料や証跡をアップロードするものです。
このコントロール(CC 1.1 Employee background checks performed(従業員の身元調査を実施))では、テストの合格基準として、次の2つが定義されています。
- 当社には承認済みの人事セキュリティポリシーがあります
- 新規採用者の身元調査
さらに、文書として下記が定義されています。
- 従業員の身元調査を完了しました
それでは、ひとつずつ見ていきましょう。
まずは、テストの項目である「当社には承認済みの人事セキュリティポリシーがあります」です。
このテストでは、コントロール(管理策)である「企業や組織が新規採用者に対して身元調査を実施していること」を満たすための条件のひとつとして、「企業や組織が承認済みの人事セキュリティポリシーを持っていること」を確認しています。
では、このテスト項目をクリックして、その詳細を見てみましょう。
(ちなみに、この時点で左メニュー上の現在位置を示す表示が「 Compliance(コンプライアンス)」>「Frameworks(フレームワーク)」から「Tests(テスト)」に移動していることが分かります。)
このテストでは、企業や組織が、承認済みの「人事セキュリティポリシー」を策定していることを確認するよう指示されています。
また、最初に表示されている 結果タブで、合格基準が満たされておらず、修正(Remediation)が必要なことが分かります。
それでは「修正方法」ボタンをクリックして、詳細を見てみましょう。
「修復方法」として「当社のポリシーテンプレートを使用して、貴社独自の人的資源セキュリティポリシーを作成および承認してください。」という指示が出ているのが確認できます。
では、中央上段の「人事セキュリティポリシーを策定していることを確認するものです。」(下記のスクリーンショットの部分)のリンクをクリックしてポリシー作成の画面に行きましょう。
対象のポリシー(人事セキュリティポリシー)が表示されます。
(ちなみに、この時点で左メニュー上の現在位置を示す表示が「Tests(テスト)」から「Policies(ポリシー)」に移動していることが分かります。)
次に、「マッピングされた要素」タブをクリックすると、このポリシーに関連のあるコントロール(管理策)が表示されます。この環境では、SOC 2 以外にも様々なフレームワークが利用できる状態になっていますが、このポリシーと関連のある、それらのフレームワークで定義されている各種コントロール(管理策)が表示されます。
Comments(コメント)タブでは、このポリシーに対するコメントの履歴を残すことができます。
今回はここまでです。
次回はポリシーの作成から見ていこうと思います。