(このブログポストはDataRobot Has Received SOC 2 Type II Certificationの参考訳です)
情報は多くの企業で必要不可欠なものです。世界中の企業のIT部門が、情報を安全に保つことに重大な関心を寄せるようになりました。これは特に、重要な業務機能 (データホスティング、CRMシステム等のSaaSアプリケーションも含みます) のクラウド移行を進める際に大きな懸念となります。
DataRobotはお客様のデータセキュリティを最重要視しています。このたび、弊社のマネージドクラウドソリューションが外部 (第三者) 監査機関よりSOC 2 Type II認証を受けたことをお知らせいたします。この認証により、DataRobotが業界標準に準拠し、情報のセキュリティと機密性においてベストプラクティスを実施していることが証明されました。
SOC 2とは?
米国公認会計士協会 (AICPA) では、SOC (System and Organization Controls) として、以下を含む広範なセキュリティコントロール (統制) を管理する一連の条件を定めています。
- 技術的統制 (アクセスコントロール、データ暗号化、ファイアウォール等)
- 企業統制 (物理的セキュリティ、人的セキュリティ、コーポレートガバナンス等)
- 法的統制 (契約履行、NDA、知的財産等)
- ソフトウェア開発に関する統制 (安全なソースコード、変更管理、品質保証等)
SOC 2認証の取得は必須ではありません。しかし、リスクを最小化して、データがリスクにさらされる可能性を低減することは、クラウド上にデータを保存するベンダーにとって非常に重要です。 認証取得を希望する企業は、登録済みかつその企業とは無関係な公認会計士 (CPA) がコンプライアンス監査を実施することに合意する必要があります。企業ごとに作成される監査結果報告書には、その企業がデータのやり取りとセキュリティを管理するため導入したビジネス慣行と業務統制の概要が示されます。
SOC 2認定には2つのレベル (Type I、Type II) があります。Type Iでは、特定の時点におけるシステムが評価されます (期間評価ではありません)。その際、質・量ともに十分なコントロールを説明、文書化および設計しているかどうかが重視されます。DataRobotは、2018年3月にマネージドクラウド環境とオンプレミス/プライベートクラウド・ソリューションにおいてType I認証を取得しました。
弊社が最近取得したType II認証では、Type Iよりも厳しく詳細な審査が行われます。独立監査人が、マネージドクラウド環境でのセキュリティコントロールの実装とその運用効果を経時的に (通常は数か月間) 確認しました。また、この監査では、弊社のオンプレミス/プライベートクラウド製品と共有しているコントロール (技術的統制、企業統制、ソフトウェア開発に関する統制等) も数多く対象になりました。
SOC 2認定がもたらす多くのメリット
SOC 2 Type II準拠とは、セキュリティについて明確な方針、手続きおよび慣例が整備されていることを意味します。単にデータシートへの仕様追加を迅速化するといったことではありません。SOC 2認定の取得に向けた準備には約1年かかります。この間に、懸念となっているセキュリティ対策をすべてダブルチェックし、一層の強化について提案を受けることも可能です。
業務をクラウドに移行することで得られるメリットはたくさんあります。たとえば、インフラストラクチャ管理の責任範囲やコストは処理要件によって増減しますが、それらを一律に減らすことができます。ただし、重視すべきセキュリティ対策をIT担当者が把握していないまま、業務をクラウドに移行すると、会社全体がデータ窃盗、恐喝、マルウェアインストールといった攻撃にさらされるリスクが発生する恐れがあります。取引ベンダーがSOC 2 Type II認定を取得済みであれば、適切な長期的セキュリティ慣習を整備して情報リソースのセキュリティを確保していることが証明されているため、ITセキュリティチームは安心して眠れます。
筆者紹介:
Bob Laurent (ボブ・ローラン) は、 DataRobotのプロダクトマーケティング担当シニアディレクターである。DataRobot入社前は、Alteryxにてプロダクトマーケティングを担当。データアナリストの間で製品の認知度を高め、確かな顧客基盤の構築・拡大に尽力した。20年超にわたる富士通およびNYNEX (現Verison) での勤務を通じて、マーケティング、メディアリレーションズ、通信網技術の各分野を経験。現在、妻と2人の息子とともにダラス在住。クラークソン大学で理学士の学位、その後ニューヨーク大学スターンスクールオブビジネスでMBAを取得。
執筆者について
小幡 創(Hajime Obata)
プロダクトマネージャー
DataRobot プロダクトマネージャー。2018年から DataRobot に参加。DataRobot 製品に関するフィードバック収集と新規開発計画への反映、新機能・新製品のベータプログラムやローンチ、トレーニングやマーケティングを通じた普及活動、ローカライゼーション管理、などを通じて、AI と DataRobot の価値を日本に広く広めるための業務に従事。
小幡 創(Hajime Obata) についてもっとくわしく