BeyondTrust による SOC 2 対応

English -> Visit original BeyondTrust page

SOC 2 タイプ 1 およびタイプ 2 コンプライアンスのニーズについては、BeyondTrust製品をご検討ください。

SOC2とは?
1. SOC 2 レポートの種類
SOC 2 トラストサービス原則とは何ですか?
SOC 2 レポートと SOC 3 レポートの比較
SOC 2 準拠のメリット
BeyondTrust 製品の SOC 2 準拠
BeyondTrust で SOC 2 準拠を達成

SOC2とは?

Systems and Organizations Controls 2 (SOC 2) は、トラストサービス原則 (プライバシー、セキュリティ、機密性、処理の完全性、可用性) に関する組織のセキュリティ管理の有効性を実証するために、AICPA によって推奨されているサイバーセキュリティフレームワークです。 SOC 2 のレポートと監査は、組織が上記のフレームワークと原則を順守しているかを評価するために不可欠です。

SOC 2 レポートの種類

SOC 2 レポートには主に 2 つのタイプが存在します。

SOC 2 Type 1レポートは、特定の時点で組織のコントロールが存在することを確認します。通常、最初の SOC 2 認証を求める企業は、SOC Type 1 監査を受けます。この監査では、独立した監査人が組織の管理の説明とその持続可能性を検証し、報告します。

SOC 2 タイプ 2レポートには、タイプ 1 と同じ管理の検証が含まれますが、これらの管理の運用有効性の評価にさらに重点が置かれています。タイプ 1 のスナップショットアプローチとは異なり、SOC タイプ 2 の監査では、事前定義された期間 (AICPA 推奨に従って通常は最低 6 か月) にわたってコントロールを評価し、通常の運用におけるコントロールの有効性を実証します。

SOC 2 トラストサービス原則とは何ですか?

SOC 2 トラストサービス原則 (TSP) は、サービス組織が実装する制御を評価および評価するために使用される一連の基準です。これらの原則は、SOC 2 の監査とレポートの基礎として機能します。トラストサービスには 61 の基準と約 300 の重点ポイントがあります。トラストサービスの 5 つの主な原則は次のとおりです。

プライバシー: ポリシーは、個人を特定できる情報 (PII) の適切な使用、保持、収集、開示、および廃棄を規定します。

セキュリティ: システムの目的を達成する能力を危険にさらす可能性のある不正アクセス、開示、損傷からシステムとデータを保護するための対策が講じられています。

機密性: 機密情報は、確立されたプロトコルに従って保護され、安全に保護されます。

処理の整合性: システム処理により、正確性、有効性、完全性、適時性が保証され、データ処理全体を通じて顧客データの整合性が維持されます。

可用性: 情報とシステムの可用性を確保するための制御が実装され、会社とその顧客の運用上および戦略上の目標をサポートします。

組織は、他のどの信頼サービスを監査に含めるかを選択できます。サービス組織は、これらのトラストサービス原則に基づいて評価され、SOC 2 標準への準拠を実証し、これらの領域における管理の有効性について顧客および関係者に保証を提供します。

BeyondTrust の Privileged Remote Access により、SOC 2 準拠を達成するまでの道のりが大幅に簡素化されました。包括的な監査および証拠収集機能とともに、アクセスと監視に関する詳細かつ透明性のあるゼロトラストセキュリティ制御を保証します。
—Shane Carden, CIO, Behavox

SOC 2 レポートと SOC 3 レポートの比較

SOC 3 レポートは SOC 2 Type II と類似点を共有していますが、最終的なプレゼンテーションではそれほど広範囲または網羅的ではありません。それにもかかわらず、SOC 3 と SOC 2 Type II の両方のレポートは、同じ情報源から情報を引き出しています。 SOC 3 レポートは、レポートに含まれる詳細レベルを合理化し、機密性を維持しながら公開配布できるようにしたいと考えている企業に対応します。

SOC 2 準拠のメリット

SOC 2 準拠の主な目的は、侵害やその他のセキュリティインシデントの可能性を減らすセキュリティのベースラインを維持することです。特に、SOC 2 Type 2 監査に合格すると、組織がコンプライアンス違反によって罰金を課されることを確実に防ぐことができます。

SOC 2 要件の多くは普遍的なサイバーリスク管理のベストプラクティスを表しているため、SOC 2 コンプライアンスに取り組むことは、組織が ISO 27001 や HIPAA などの他のフレームワークのコンプライアンスに取り組むことにも役立ちます。

最後に、SOC 2 コンプライアンスを達成すると、特にコンプライアンスを取得していない競合ベンダーに関して、顧客にソリューションに対する信頼を与えることができます。

BeyondTrust 製品の SOC 2 準拠

BeyondTrust は、複数の製品のSOC 2 準拠を正常に完了し、実証しました。当社の SOC 2 の実績は、重要なサービスのコミットメントとシステム要件が整備されていることを証明し、エンタープライズクラスのクラウドサービスに必要な安心感を顧客とパートナーに提供します。当社がソリューションポートフォリオの最高レベルのセキュリティとコンプライアンスを確立および維持するための投資を引き続き優先していることを、お客様は安心していただけます。

Industry Certifications ページへ (BeyondTrust サイト英語)

BeyondTrust で SOC 2 準拠を達成

BeyondTrust は、お客様がリスクを軽減し、SOC 2 などの主要な取り組みへのコンプライアンスを達成できるよう支援する基礎的なセキュリティを提供します。BeyondTrust PAM ソリューションを使用すると、次のことが可能になります。

すべてのエンドポイント、アカウント、アイデンティティに対して最小限の権限を強制する
2FA を含む、VPN を使用しない安全なリモートアクセス
すべての特権認証情報 (パスワード、シークレット、SSH キーなど) を安全に管理します。
ユーザー、マシン、従業員、ベンダーを問わず、あらゆる特権セッションを監視、管理、監査します。
ID ベースの攻撃ベクトルと攻撃経路をプロアクティブに特定します

私たちはデータのセキュリティとプライバシーを何よりも優先します。 BeyondTrust のようなベンダーが SOC 2 レポートを提示すると、機密データを保護するための強力なセキュリティ制御に対する信頼が生まれます。これは単なる手続き上の手続きではありません。データの信頼に値するパートナーを選択することが重要です。
—Shane Carden, CIO, Behavox