はじめに
こんにちは!
自社が販売しているサービスがSOC認証(System & Organization Control) を取得していたので
一見似ているISO認証(International Organization for Standardization) と比較して両者の違いについて解説します!
なんと!二つの認証は「評価範囲」と「目的」に根本的な違いがあります!
(終)
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
すみません冗談です。
以下詳細
1. 対象範囲(Scope)の違い
| 項目 | ISO 27001 | SOC 2 |
|---|---|---|
| 対象範囲 | 組織全体の情報セキュリティマネジメントシステム(ISMS) | 特定サービス/システム単位の内部統制・運用状況 |
| 基準 | ISO/IEC 27001(114の管理策からリスクベースで選択) | Trust Services Criteria(セキュリティ・可用性・完全性・機密性・プライバシー)セキュリティ必須+基準を追加していく |
| 適用業種 | 全業種・全規模 | 主にクラウド/SaaSなどITサービス提供組織 |
2. 監査・認証プロセスの比較
| 項目 | ISO 27001 | SOC 2 |
|---|---|---|
| 認証主体 | ISO/IEC認定認証機関(CB) | 米国公認会計士協会(AICPA) |
| 認証形態 | Certificate(3年有効、年次サーベイランス) | Attestation Report(Type I/Type II) |
| 審査ステップ | 1) Stage 1(文書レビュー)2) Stage 2(現地審査) | 1) Type I(一時点で設計適合性評価)2) Type II(運用有効性評価) |
| 再認証・監査頻度 | 年次サーベイランス+3年ごと再認証 | Type IIは3~12ヶ月の運用観察期間が必要 |
3. 目的と成果物
-
ISO 27001
- 目的:組織全体のISMS構築・維持・継続的改善
- 成果物:国際的に通用する「認証書」+公開可能な認証マーク
-
SOC 2
- 目的:特定サービスにおける内部統制と運用有効性の検証、顧客への説明責任
- 成果物:CPAによる「アテステーションレポート」(SOC2レポートの閲覧には、秘密保持契約が必要)
4. 管理策・コントロールの重複度
両者のコントロール要件は約96%重複するとされますが、
- ISO 27001:114管理策中リスクに応じて選択
- SOC 2:Security(必須)+必要なTSCを追加
5. コスト・導入難易度
| 項目 | ISO 27001 | SOC 2 |
|---|---|---|
| 初期準備 | ISMS構築プロジェクト(コンサル利用推奨) | 内部統制証拠収集の負荷大 |
| 費用 | 中~高程度 | Type Iは低~中、Type IIは高 |
| 導入期間 | 6ヶ月~1年 | Type I:2~3ヶ月Type II:6~12ヶ月 |
6. 選定ポイント
-
対象市場・顧客
- 国際取引やブランド重視 → ISO 27001
- 米国顧客/クラウドサービス → SOC 2
-
公開範囲
- 広く認証を示したい → ISO 27001
- レポート内容を限定開示 → SOC 2
-
運用体制
- 全社的ISMSの構築能力 → ISO 27001
- サービス単位の統制運用能力 → SOC 2
まとめ
最も大きな違いは、「組織全体のマネジメントシステムを国際規格で証明するISO 27001」と、「特定サービスの内部統制をCPAが監査・報告するSOC 2」 という評価範囲と目的の差異です。
簡単にいうと
私たちの会社はこれが取得できるくらい情報管理徹底しています!マークドーン!ドヤ!
→ISO認証
私たちのサービスはこうしているので安心できます!取引の際にエビデンスも見せることができます!ドヤ!
→SOC認証
会社の信頼→ISO
製品の信頼→SOC
以上です。
補足
SOC認証にはSOC1、2、3の認証があります
(純粋に数字大きいほうがレベル高いとも言えないのが面白い)
(数字大きいほうがレベル高いと思ってた)
(ごめんなさい)
(このあたりの違いはまた書きます)