コンテナおよびクラウドにおける SOC 2 コンプライアンスの理解

SOC 2 とは？
SOC 2 の要件とは？
SOC 2 レポートとは？
SOC 2 準拠が必要なのは？
コンテナおよびクラウド向けの SOC 2 コントロール

結論

クラウド環境やコンテナ環境の運用やセキュリティ管理に携わっている方は、SOC 2 報告書の作成をあまり歓迎していないかもしれません。SOC 2への準拠は、面倒で手間がかかる作業だと感じるかもしれません。

しかし、SOC 2 規則に準拠することで、他の準拠規則違反による罰金や罰則を回避できることを考慮すると、SOC 2 準拠に要する時間と労力の価値は明らかになります。SOC 2 報告書により、潜在的な準拠問題について早期に警告を受けることで、問題が拡大してより大きな準拠リスクに発展する前に、先手を打つことができます。

この記事では、クラウドおよびコンテナベースの環境で作業する場合に、SOC 2 準拠について知っておくべきことを説明します。後で説明するように、SOC 2 ルールでは、これらの環境内でデータを保護する方法に関する具体的なガイドラインは規定されていませんが、このような状況下で SOC 報告および準拠の準備を行う際に、チームが採用すべきいくつかの重要なベストプラクティスがあります。

SOC 2 とは？

SOC 2 は、企業が顧客データを管理する際に遵守すべき基準の集合体です。これは、米国公認会計士協会（AICPA）が策定したシステムおよび組織統制（SOC）フレームワークの一部です。

SOC には 3 つのコントロールがあります。財務報告に関する SOC 1、システムの可用性とセキュリティに焦点を当てた SOC 2、および SOC 3 です。しかし、3 つの SOC コントロールのうち、SOC 2 は、SaaS などのクラウド中心のアーキテクチャに重要な意味を持つため、現代のクラウドコンピューティングの分野においてますます重要になっています。SaaS は、その性質上、サードパーティのインフラストラクチャまたはサードパーティのアプリケーションで顧客データを保存または処理します。

SOC 2 の要件とは？

SOC 2 準拠は、セキュリティ、可用性、処理の完全性、機密性、プライバシーという 5 つのいわゆる信頼サービス基準を中心に構成されています。

したがって、SOC 2 に準拠するには、組織は次の規則を順守していることを実証できなければなりません。

セキュリティ：アプリケーション、ネットワーク、およびインフラストラクチャ内に合理的なセキュリティ保護手段を実装しています。
可用性：災害復旧などの手法や慣行を採用して、システムの可用性を維持しています。
処理の完全性：データ処理を監視して正確性を確保し、データ品質の問題に対処しています。
機密性：アクセス制御や暗号化などの手法を採用して、機密データを安全に保護しています（不正使用、改ざん、乱用から保護しています）。
プライバシー：認証、アクセス制御、暗号化を採用して、データのプライバシーを保護しています（アクセスを許可されたユーザーのみデータにアクセスできます）。

SOC 2 信頼サービス基準の詳細については、AICPA の信頼サービス基準文書をご参照ください。この文書では、企業が実施すべき「コントロール」の数が指定されています。

SOC 2 レポートとは？

SOC 2 の準拠を証明するために、組織は、自社の IT アーキテクチャおよび管理プロセスが 5 つの信頼サービス基準にどのように準拠しているかを証明することに重点を置いた報告書を作成します。

しかし、他の多くのコンプライアンスフレームワークとは異なり、SOC 2 は、コンプライアンス報告書に記載すべき情報について具体的に規定していないことで知られています。信頼サービス基準を自社の環境にどのように適用すべきかについては、ほぼ組織に解釈を委ねています。

SOC 2 準拠が必要なのは？

SOC 2 は規制機関ではなく独立した組織によって策定されているため、その遵守は法的義務ではありません。また、SOC 2 に準拠していない場合、罰則もありません。

しかし、多くの企業は、他のコンプライアンスフレームワークの違反を引き起こす可能性のあるリスクを特定する手段として、自主的に SOC 2 報告書を作成しています。例えば、SOC 2 監査では、アプリケーション内の顧客データに対するアクセス制御が脆弱である、またはネットワーク上で顧客データを転送する際に暗号化が行われていないといった問題点が指摘される場合があります。このような問題は、関与するデータのタイプによっては、HIPAAやGDPRなどの規制遵守法違反に発展する可能性があります。SOC 2報告書を通じて問題を特定することで、規制上の問題に発展する前に解決することができます。

同様の理由で、組織はSOC 2報告書を、顧客やパートナーに対してセキュリティのベストプラクティスへの準拠を証明する手段として使用する場合もあります。例えば、パブリッククラウドプロバイダーは、この目的でSOC 2を活用しています。

コンテナおよびクラウド向けの SOC 2 コントロール

一般的に、SOC 2 セキュリティ制御のうち、コンテナおよびクラウドに影響を与えるのは 2 つのセットのみです。1 つ目は、論理および物理アクセス制御ファミリーに属する制御であり、2 つ目は、システム運用制御ファミリーに属する制御です。

以下は、各制御ファミリーと、コンテナおよびクラウドに対するその意味の概要です。

論理的および物理的アクセス制御ファミリ

このコントロールファミリには、コンテナおよびクラウド環境に関連する 6 つのコントロールが含まれています。

CC6.1：コンテナイメージ内およびランタイム環境では、特権昇格などのセキュリティイベントから保護するためのツールを導入する必要があります。Kubernetes RBAC などのツールが役立ちます。
CC6.2：不正アクセスは検出および阻止する必要があります。Kubernetes 監査ログは、このような試みを検出するための有用な手段の 1 つです。
CC6.3：アクセス制御メカニズムを無効にする試みを防止します。ここでも、Kubernetes 監査ログは、このような試みを検出するのに役立ちます。
CC6.6：不正なネットワーク接続を検出する必要があります。ネットワーク監視ツールや Kubernetes ネットワークポリシーが役立ちます。また、マイクロサービス間の相互作用を制限できるサービスメッシュも有効です。
CC6.7：秘密データ（パスワードなど）は、安全に管理する必要があります。この目的のためには、Kubernetes etcd のセキュリティ確保、およびコンテナイメージやデプロイメントにハードコードされた秘密を使用しないことが重要です。
CC6.8：コンテナイメージ内の悪意のあるソフトウェアを検出し、そのデプロイメントを防止します。このタスクには、コンテナイメージのスキャンが重要なリソースとなります。

システム運用管理ファミリ

システム運用管理分野には、2 つの管理項目があります。

CC7.2：セキュリティイベントを示す可能性のある異常を検出します。この目的のために、コンテナログ、Kubernetes 監査ログ、ノード OS ログ、および同様のデータソースをリアルタイムで収集して分析する必要があります。
CC7.3：セキュリティイベントを評価して、その影響を把握します。コンテナログ、Kubernetes 監査ログ、ノードサーバーのログなど、多様なデータソースを相関分析する能力は、この目的のために不可欠です。これにより、セキュリティイベント間の関係を解釈し、根本原因となるセキュリティリスクを特定することが可能になります。

結論

SOC 2 セキュリティコントロールの遵守が法的に義務付けられていない場合でも、SOC 2 監査の実施に必要な時間と労力はごくわずかであり、規制当局からの罰金につながる可能性のあるコンプライアンスの問題を未然に防ぐことで、大きな利益を得ることができます。SOC 2 は、セキュリティとデータプライバシーに対する取り組みを顧客にアピールする貴重な手段でもあります。

さらに、コンテナとセキュリティに関するSOC 2の規則は、特に複雑または広範なものではありません。これが、クラウドネイティブインフラストラクチャを管理する組織にとって、SOC 2準拠が明らかな選択肢であるもう1つの理由です。