Vanta の使い方(基礎編)~ SOC 2 への準拠 ~ 概要
Shikimi
本記事の概要
Vanta には、豊富な機能があり、様々な利用目的や利用方法が考えられますが、ISO や SOC といった基準やフレームワークへの準拠は最も一般的な Vanta を利用する目的のひとつではないかと思います。
本記事では、代表的なフレームワークである SOC 2 への準拠を Vanta を使ってどのように実現するかをご説明いたします。
Vantaとは?
Vanta は、アメリカ・サンフランシスコ発のセキュリティコンプライアンス自動化のためのクラウドサービスを提供するリーディングカンパニーです。
SOC 2やISO 27001、GDPR、HIPAAなどの数多くの主要認証に対応しており、2018年の創業以来、12,000社以上の金融・小売・IT・ヘルスケア・旅行業界など幅広い業種にて導入されています。
Google Workspace、AWS、GitHubなどのクラウドサービスをはじめとして375以上の多様なサービスとも連携・統合可能で、それにより、証拠データの自動収集や継続的なモニタリングといったことが可能になります。
さらに監査準備、監査プロセス、リスク管理、ベンダーリスク管理、従業員の教育、シャドーITの検出、複数のフレームワーク要件への対応など様々な機能を網羅したプラットフォームとなっており、複雑なセキュリティコンプライアンス業務の一元化・可視化・自動化・効率化を強力に支援します。
これらにより、これまで数か月かかっていた認証プロセスを大幅に効率化したり、情報セキュリティの向上といったことが可能になります。
また、IDC MarketScape をはじめとする数多くの第三社機関の評価において高い評価を得ており、2025年の Forbes 2025 Cloud 100 では63位にランクインしています。
さらに、2025年7月23日には、新たに1億5000万ドル(約221億円)を調達し、累計調達額は約5億ドル(約735億円)に達しました。これにより、評価額は41億5000万ドル(約6100億円。1ドル=147円換算)に達したと発表されており(この評価額は、約1年前の調達時の24億5000万ドル(約3602億円)からの大幅な上昇となっています)、シリコンバレー企業の中でも、現在、最も将来を期待される企業のひとつであり、今後は益々の成長が予想されます。
本編(フレームワーク:SOC 2 への準拠)
では、さっそく Vanta を使って SOC 2 への準拠を進めていきましょう。
利用可能なフレームワークの一覧
まずは、左ペインのメニューから、「 Compliance(コンプライアンス)」>「Frameworks(フレームワーク)」を選ぶと、利用可能なフレームワークの一覧が表示されます。今回は「SOC 2」を例にご説明したいと思います。
利用可能なフレームワークですが、ISO 27001、SOC2、NIS 2、HIPPA、NIST 800 など数多くのものがVanta に事前登録されており、そのうち、お客様がご契約しているフレームワークが、利用可能なフレームワークとして一覧に表示されます。
また、お客様独自のカスタム フレームワークを作成することも可能です。(カスタム フレームワーク対応プランのご契約が必要です。)
ちなみに、SOC 2 の場合は、Type 1 か Type 2 か、Security, Availability, Confidentiality, Privacy, Processing Integrity のどれを対象にするかなどを選ぶことができます。今回は SOC 2 Type 2 の Security を選んでいます。
ちなみに、Vanta はポリシーテンプレートなどは日本語化されているものの、メニューやメッセージなどは、まだ日本語化されていません。
(※ コントロール(管理策)のように、元は英語だけど、内容(文言)を自分で変更できるものや、カスタム フレームワークのように日本語で作成することが可能なものもあります。)
ただし、(英語のままであっても)Chrome 等の翻訳機能を使うことで違和感のない日本語で表示させることができます。
もっとも、その自動翻訳された内容が正確で信頼できるものかの保証はないため、メニューやメッセージなど、意味が伝わればいいものはブラウザの自動翻訳で対応して、正確な文章が求められるものは、自分で日本語したものを使う等のルールは必要かと思います。
(ちなみに、TrustNowでは、そのような日本語化のお手伝いをしております。)
SOC 2 対応状況 ~ 概要
フレームワークの一覧から、「SOC 2」を選ぶと、SOC 2 への対応状況が表示されます。
まずは、Overview(概要)タブですが、ここで SOC 2 への対応状況の概要が見れます。
ちなみに、ブラウザの自動翻訳機能で日本語化した場合はこんな感じです。
SOC 2 対応状況 ~ コントロール(管理策)
次に、Controls(コントロール)タブを見てみましょう。
ここで、SOC 2 に関連するこコントロール(管理策)とその対応状況を見ることができます。
ブラウザの自動翻訳機能で日本語化した場合
(画像をクリックすると拡大します)
SOC 2 対応状況 ~ テスト
次に、Tests(テスト)タブです。
ここでは、SOC 2 の要求事項に適合しているかどうかを確認します。
「コントロール(管理策)」との違いですが、「コントロール(管理策)」は要求事項を説明しているのに対して、この「テスト」では、その要求事項に適合しているかどうかのテストの方法とその合格基準を説明しています。(詳細は後述します。)
また、多くの項目において、「テスト」では、「コントロール(管理策)」よりも詳細で具体的な記述がされています。
ブラウザの自動翻訳機能で日本語化した場合
(画像をクリックすると拡大します)
SOC 2 対応状況 ~ 更新情報
次は、Updates(更新情報)タブです。
ここでは、SOC 2 に関連する機能追加やポリシーテンプレートの雛型の更新等の更新情報を確認することができます。
ブラウザの自動翻訳機能で日本語化した場合
(画像をクリックすると拡大します)
SOC 2 対応状況 ~ 対象範囲
最後に、Scope(対象範囲) タブです。
スコープは、「 Systems(システム)」と「 People(人)」に分かれます。
「 Systems(システム)」では、Vanta がAPI連携(統合)を実施済みの項目が表示されています。
ブラウザの自動翻訳機能で日本語化した場合
(画像をクリックすると拡大します)
「 People(人)」では、対象のユーザーグループが表示されます。
また、グループを選択すると、その詳細(メンバー)が表示されます。
SOC 2 対応状況 ~ コントロール(管理策)の詳細
それでは、コントロール(管理策)を細かく見ていきましょう。
まずは、コントロール(管理策)全体を見てみます。
こちらは当然ですが、SOC 2 に従って構成されています。
ブラウザの自動翻訳機能で日本語化した場合
(画像をクリックすると拡大します)
SOC 2 対応状況 ~ コントロール(管理策)
~ C.4 組織の状況
それでは、ひとつずつ見ていきます。
まずは、CC 1.1 - COSO Principle 1: Integrity and ethical values(COSO原則1:誠実性と倫理的価値観 )- Employee background checks performed(従業員の身元調査を実施)を見てみましょう。
(ここからはブラウザの翻訳機能で日本語化したものをベースにご説明します。)
元の英語バージョン
対象のコントロールをクリックすると、その詳細を見ることができます。
CC 1.1 Employee background checks performed(従業員の身元調査を実施)を見てみましょう。
元の英語バージョン
上記のスクリーンショットのように、右側に表示されたコントロール(管理策)の詳細にて、そのコントロール(ここでは「CC 1.1 従業員の身元調査を実施」)の概要や Tests(合格基準)、Documents(関連文書)、Policies(関連ポリシー)、Frameworks(関連フレームワーク)、Risk scenarios(リスクシナリオ)、Issues(問題)などを一覧で見ることができます。
このコントロール(CC 1.1 Employee background checks performed(従業員の身元調査を実施))では、「企業や組織が新規採用者に対して身元調査を実施していること」を求めていることが分かります。
Vantaでは、各フレームワークの下に、コントロール(管理策)が定義されていますが、各コントロールごとに、より具体的な達成するべき項目として「テスト」と「文書」が定義されています。
「テスト」は、Vantaによって事前定義されたもので、下記のような項目で構成され、Vantaによって自動的に判定される合格基準といえます。
- Vanta上で定義される各種の承認済みポリシー(規定)の有無
- AWS、Azure、Githubといった各種クラウド、SaaSとの連携を通じて取得される設定・状態等の情報から判定される内容
- Vanta上の従業員ポータルから各従業員が各ポリシーや規定に同意したか、また、必要なトレーニングを受講したか
- 等々
一方で、「文書」は、Vantaによって自動的に判定できない事柄の証明のために、資料や証跡をアップロードするものです。
このコントロール(CC 1.1 Employee background checks performed(従業員の身元調査を実施))では、テストの合格基準として、次の2つが定義されています。
- 当社には承認済みの人事セキュリティポリシーがあります
- 新規採用者の身元調査
さらに、文書として下記が定義されています。
- 従業員の身元調査を完了しました
それでは、ひとつずつ見ていきましょう。
まずは、テストの項目である「当社には承認済みの人事セキュリティポリシーがあります」です。
このテストでは、コントロール(管理策)である「企業や組織が新規採用者に対して身元調査を実施していること」を満たすための条件のひとつとして、「企業や組織が承認済みの人事セキュリティポリシーを持っていること」を確認しています。
では、このテスト項目をクリックして、その詳細を見てみましょう。
(ちなみに、この時点で左メニュー上の現在位置を示す表示が「 Compliance(コンプライアンス)」>「Frameworks(フレームワーク)」から「Tests(テスト)」に移動していることが分かります。)
このテストでは、企業や組織が、承認済みの「人事セキュリティポリシー」を策定していることを確認するよう指示されています。
また、最初に表示されている 結果タブで、合格基準が満たされておらず、修正(Remediation)が必要なことが分かります。
それでは「修正方法」ボタンをクリックして、詳細を見てみましょう。
「修復方法」として「当社のポリシーテンプレートを使用して、貴社独自の人的資源セキュリティポリシーを作成および承認してください。」という指示が出ているのが確認できます。
では、中央上段の「人事セキュリティポリシーを策定していることを確認するものです。」(下記のスクリーンショットの部分)のリンクをクリックしてポリシー作成の画面に行きましょう。
対象のポリシー(人事セキュリティポリシー)が表示されます。
(ちなみに、この時点で左メニュー上の現在位置を示す表示が「Tests(テスト)」から「Policies(ポリシー)」に移動していることが分かります。)
次に、「マッピングされた要素」タブをクリックすると、このポリシーに関連のあるコントロール(管理策)が表示されます。この環境では、SOC 2 以外にも様々なフレームワークが利用できる状態になっていますが、このポリシーと関連のある、それらのフレームワークで定義されている各種コントロール(管理策)が表示されます。
Comments(コメント)タブでは、このポリシーに対するコメントの履歴を残すことができます。
今回はここまでです。
次回はポリシーの作成から見ていこうと思います。
それでは、また!!
TrustNowでは、Vanta製品の専門知識をもつコンサルタントが
導入をサポートします。
製品を検討中、または関心のある方は、こちらからご相談ください!!
Vanta製品の概要・機能を知りたい。
Vanta製品のデモを見たい。
