第三者リスク管理(TPRM)におけるSOC2の活用 ~ SaaS企業が顧客からの評価要求どう対応するか~

本記事の概要
近年、SaaSやクラウドサービスの利用拡大に伴い、顧客企業による委託先評価の重要性が高まっています。特にグローバル企業との取引では、セキュリティ状況を客観的に示す資料としてSOC2レポートの提出を求められるケースもあります。
本記事では、第三者リスク管理(TPRM)の観点から、顧客企業が委託先をどのように評価しているのか、なぜSaaS企業にSOC2が求められるのかを解説します。また、ISMS(ISO27001)との違いや、継続的な顧客評価対応を効率化するための考え方についても紹介します。
なぜ委託先管理が求められるのか?
近年、多くの企業では、SaaSやクラウドサービス、外部委託先を活用し業務を行うことが一般的になっています。顧客情報や従業員情報、開発情報などの重要な情報資産も、自社システムだけでなく、外部サービスで処理・保管されるケースが増えています。
その結果、顧客情報や従業員情報だけではなく、ソフトウエア開発、ファイル共有、コミュニケーションなど、企業活動を支える様々な業務が外部サービスに依存するようになっています。
このような環境では、委託先やサービスプロバイダで発生したインシデントが、自社の事業継続や顧客サービスに影響を及ぼし、結果として企業の信用にも影響を与える可能性があります。
さらに近年は、サプライチェーンを経由したサイバー攻撃も増加しています。攻撃者はセキュリティ対策が強固な大企業を直接狙うのではなく、委託先や関連会社、サービスプロバイダを侵害し、それらを経由して攻撃を行うケースも少なくありません。
このような背景から、多くの企業では委託先やサービス提供事業者のセキュリティ管理状況を把握・評価し、継続的に管理する取り組みが求められています。この活動は一般的に第三者リスク管理(ThirdParty Risk Management : TPRM ) と呼ばれています。
委託先のセキュリティをどのように確認するのか
委託先やサービス提供事業者のリスクを適切に管理するためには、まず対象となる委託先のセキュリティ管理状況を把握する必要があります。
顧客企業は、委託先が自社のセキュリティ要件を満たしているかを確認するため、セキュリティ管理体制、アクセス管理、ログ管理、インシデント対応、再委託先管理など、様々な観点から評価を実施します。
このような委託先の評価を行う方法として、多くの企業ではセキュリティチェックシートを用いて委託先の評価をおこないます。また、必要に応じて追加質問やヒヤリング、第三者認証や監査報告書の提出を求めるケースもあります。さらに、リスクが高いと判断された場合には委託先監査が実施されることもあります。
こうした委託先評価を実施する企業が増える一方で、SaaSやクラウドサービスの普及に伴い、評価すべき委託先の数自体も急増しています。サービス提供事業者側では、顧客ごとに異なるセキュリティ質問票への回答や追加質問への対応が求められるケースも少なくありません。顧客企業・サービス提供事業者の双方にとって大きな負荷となっています。
その結果、顧客企業、サービス提供者の双方にとって、委託先評価にかかる工数や運用負荷が大きな課題となっています。

なぜ顧客企業はSOC2レポートを求めるのか
顧客企業がSOC2レポートを求める背景には、委託先評価を効率的かつ客観的に行いたいというニーズがあります。
一口に委託先管理と言っても、システム開発会社、BPO事業者、データセンターなどその形態は多岐にわたります。その中でも特にSaaSやクラウドサービスは、不特定多数の顧客が同じシステムや運用体制を共同利用するモデルであるため、プラットフォーム側のセキュリティ不備が自社の情報漏洩や業務停止に直結するリスクがあり、顧客企業としては極めて厳格な管理状況の確認が求められます。その一方で、多少のカスタマイズはあったとしてもすべての顧客が同じ仕様・同じ環境を利用していることから、委託先ごとに個別対応が必要な受託開発などとは異なり、共通の基準で一括して評価しやすいという特徴もあります。SaaSこそ第三者保障報告書や認証を活用した評価の効率化の恩恵を最も受けられる領域です。そのため、顧客企業では、サービス提供事業者の管理状況を客観的かつ効率的に評価する手段としてSOC2レポートを活用するケースがあります。
特に、米国企業やグローバル企業との取引では、SaaSやクラウドサービスのセキュリティ管理状況を確認するために、SOC2レポートの提出を求められるケースがあります。Vantaの「The State of Trust Report」*1) では、多くの企業が取引先への信頼性証明に多大なリソースを割いている現状が報告されており、セキュリティやコンプライアンスの状況を客観的に示すアプローチは、今や不可欠なものとなっています。
SOC2レポートは、サービス提供事業者のセキュリティ統制について、独立した第三者が評価した結果を示すものです。そのため、顧客企業にとっては、セキュリティチェックシートや個別ヒアリングでは確認しきれない管理状況を把握するための資料として活用できます。
一方で、サービス提供事業者にとっても、SOC2レポートを用意することで、顧客ごとに繰り返し求められるセキュリティ説明や質問票対応の一部を効率化できる可能性があります。
*1) Vanta 『The State of Trust Report』 https://www.vanta.com/state-of-trust/global#form
SOC2レポートとは?
SOC2 ( System and Organization Control 2 ) は、サービス提供事業者が構築・運用しているセキュリティ管理体制について、独立した第三者監査人が評価し、その結果を報告書としてまとめた保障報告書です。
近年、多くの企業がSaaSやクラウドサービスを利用する中で、顧客企業は委託先が適切なセキュリティ対策を実施しているか確認する必要があります。しかし、個別の質問票や監査だけで委託先を評価する事には限界があります。
SOC2レポートは、このような委託先評価において、サービス提供事業者の統制状況を客観的に確認するための資料として活用されます。レポートでは、セキュリティ、可用性、機密保持などの観点から、組織が定めた統制が適切に設計・運用されているかが評価されます。
そのため、SOC2は単なる認証取得を目的とするものではなく、顧客企業に対しての信頼性や管理体制を説明するための重要な手段の一つとして利用されています。
SOC2 Type1とType2
SOC2レポートにはType1とType2の2種類があります。両社の大きな違いは「統制の設計を評価」するのか、「統制が一定期間継続して運用されていること」を評価するのかにあります。
| 項目 | Type1 | Type2 |
| 評価対象 | 特定時点の統制設計 | 一定期間の統制運用 |
| 評価内容 | 統制が適切に設計されているか | 統制が継続的に運用されているか |
| 評価機関 | 特定時点 | 取得時には、3か月から6か月で最初のレポートを作成。 その後の更新に向けて12ヶ月サイクルとなる。 |
顧客企業によって要求内容は異なりなすが、委託先の統制が継続的に運用されていることを確認するために、SOC2 Type2レポートを求められることもあります。
ISMS (ISO27001) とSOC2の違い
日本国内ではセキュリティ認証といえばISMS(ISO27001)が広く普及しています。
ISMSとSOC2、この2つは評価のアプローチが大きく異なります。
ISMSは、組織が情報セキュリティマネジメント(ISMS)を構築し、継続的に改善していることを評価する認証です。具体的には、組織が抱えるリスクを特定し、そのリスクに応じた管理策を選択・運用するリスクベースアプローチを採用しています。
一方、SOC2は、サービス提供に関する統制が適切に設計され、継続的に運用されているかを評価する統制ベースアプローチと言えます。そのため、ISMSでは組織ごとに採用する管理策が異なる場合があるのに対し、SOC2ではTrust Service Criteriaに基づいた統制の設計・運用状況が評価されます。
| 項目 | ISMS | SOC2 |
| 目的 | 情報セキュリティマネジメントシステム(ISMS)の構築・継続的改善 | サービス提供に関する統制の設計 |
| 評価対象 | 組織全体または適用範囲として定義した組織や業務 | 特定のサービスやシステムを提供するための統制 |
| アプローチ | リスクベースアプローチ | 統制ベースアプローチ |
| 考え方 | リスクを特定、評価し、必要な対策を組織が選択する | Trust Service Criteriaに基づき、統制が適切に設計・運用されているかを評価 |
| 評価の考え方 | マネジメントシステム(PDCA) | 統制の設計・運用の有効性 |
| 成果物 | 認証 | 保証報告書 |
顧客からの評価要求に継続的に対応するためには
顧客企業による委託先評価は、一度実施すれば終わりではありません。サービス利用期間中は、定期的な再評価や追加質問、セキュリティインシデント発生時の確認など、継続的な対応が求められるケースも少なくありません。
また、SOC2についても、Type2レポートでは一定期間にわたる統制の運用状況が評価されるため、統制を整備するだけでなく、継続的な運用と証跡の維持が重要となります。
サービス提供事業者は、顧客からの質問票対応をはじめ、社内のメンバー増加に伴って爆発的に増える証跡管理、さらには統制の運用状況のセルフチェックなどを常に実施し続けなければなりません。そのため、事業の成長や組織の拡大に伴って、運用負荷が右肩上がりに増加していくという課題があります。
このような継続的なコンプライアンス対応を効率的に進めるために、Vantaのようなコンプライアンス自動化プラットフォームを活用する企業も増えています。
Vantaは、統制状況の継続的なモニタリング、証跡収集の自動化、SOC2監査対応の効率化を支援し、企業の継続的なコンプライアンス運用をサポートします。
特に日本国内の商習慣においては、せっかくSOC2レポートを取得していても、顧客企業から自社指定のExcel質問票に回答してほしいと求められ、結局手作業での対応に追われるケースがあります。Vantaはこうした日本特有の課題にも強力に応えます。VantaのAI質問票自動回答機能を活用すれば、顧客から届いたExcel等のセキュリティチェックシートに対しても、自社のSOC2レポートや統制データからAIが最適な回答を自動で抽出・作成することができます。
これにより、国内外のあらゆるセキュリティ評価要求に対して、最小限の工数でスピーディに対応することが可能になります。
Vanta の使い方(基礎編)~ SOC 2 への準拠 ~ 概要
本記事では、代表的なフレームワークである SOC 2 への準拠を Vanta を使ってどのように実現するかをご説明いたします。







