イベント セキュリティ その他

【セッションログ】SOC 2ゆるミートアップ#2 に参加してきました!

こんにちは、ひろかずです。

2026/01/15に開催された「SOC 2ゆるミートアップ#2 – SOC 2取得対応経験者LT会 –」に参加してきましたので一筆書きます。

SOC 2ゆるミートアップとは

  • SOC 2を解説した情報はWebに掲載されているが、取得した組織側の現場の生の情報は少ない。
  • 実際に取得した人たちとゆるく交流する場を設けたかった。
  • 本イベントは、SOC 2取得対応経験者による、SOC 2をテーマとしたLT会です。
  • ハッシュタグは、#soc2yuru

用語集

SOC 2

  • AICPA(米国公認会計士協会)のトラストサービス基準に基づいて、組織の内部統制を独立監査人が評価した保証報告書。設計の妥当性を問うType1と期間運用の有効性を問うType2があり、SaaS等のセキュリティ信頼性を客観的に証明する。

Vanta

  • SOC 2やISO27001等の準拠を支援するトラスト管理プラットフォーム。API連携により内部統制の継続的モニタリングと証跡収集を自動化し、監査対応工数を劇的に削減するコンプライアンス自動化ツールの市場リーダー。

セッション資料

こちらからダウンロードできます。(ログインが必要です)

プロダクトオーナーから見たSOC 2

primeNumber

キーノートセッションは、プロダクトオーナー目線でのSOC 2についてのお話でした。

primeNumber社は、クラウドETLのTROCCOとAIデータプラットフォームのCOMETAでSOC 2取得準備中とのことです。

SOC 2は、攻めのツール

SOC 2取得はセキュリティ対応ではなく、事業戦略である。

  • 日本企業でもプロダクト導入の条件にSOC 2取得を必須とするケースも出てきた
  • SOC 2推進者は、数年後の売り上げを作っていく事業戦略の礎を作っていく者たちである

SOC 2の事前情報と社内説明材料、丸ごとお渡しします

相澤 飛翔 / Tsubasa Aizawa さん

SOC 2取得に必要な項目や見積などの各種資料を紹介するセッションでした。

SOC 2 とはを説明する資料

  • 東南アジア進出にあたってSOC 2取得を求められていた。日本より求められている。
  • Type1は、準備含めて1ヶ月はかかる
  • ISMSとSOC 2との違い
    • ISMSはルールを決めているか
    • SOC 2はルールを守れているか
  • 有効期限は1年なので、更新審査は年イチでくる
    • Type2は3ヶ月の運用状況を見るので、有効期限日までの3ヶ月間が監査対応期間になる

SOC 2 を取得する目的を説明する資料

  • 印籠としての利用
    • 上場審査の際、証券会社から利用しているSaaSをチェックされるが、SOC 2を取っているSaaSは、審査が楽にパスできる
      • SOC 2を取っていないSaaSに対しては、セキュリティチェックシートを埋めるように証券会社から求められる
    • 海外企業は、チェックシートのやりとりをしたくないので、SOC 2を取ってくれと言ってくる
  • 検索上位に出てくる
    • SOC 2を取得したが、自社サービスのSEOをやっていなくても検索上に出てくるようになった

SOC 2 取得にかかるお金の資料

  • Vanta + Vantaに対応する監査法人でやったら、初年度は970万かかった
    • 次年度以降は、370万で維持できている
  • 国内法人だと初年度は1500万からかかってくる

SOC 2 取得にかかるタイムラインの資料

  • SOC 2 Type 1 取得準備を1月から開始するとして、Type 1 取得は4月頃
  • 続けてType 2 の取得を開始したとして、7−8月に取得できるのが現実ライン

SOC 2 取得の際に苦戦したこと、手こずったことの資料

  • 大量の文書の提示
    • 規定文書、議事録などの大量の文書の英語翻訳したものの提出を求められる
  • 各種SaaSの設定の提示
    • Vantaは、各SaaSを繋ぎ込んで設定不備を見つけてくれるけど、アラートが英語であるため、読み解いて対応するのがしんどかった
    • Githubの承認ゲート設定がマニアックなところにあったので、アラートから設定方法に落とし込んで助言してくれるパートナーがいないとしんどいかもしれない
  • 英語
    • マニュアルも監査も英語であったが、Google翻訳でなんとか乗り切った
  • 時差と商習慣
    • 監査法人との時差が14時間あったので、打ち合わせできる時間帯が夕方に限定された
    • 依頼から実施までのリードタイムが長く、確認依頼から実施まで10日くらいかかったケースがあった

審査機関と代理店の資料

  • 審査機関はPresident Securityであった
    • たまたま日本語対応できる人が付いてくれたので助かった
  • Vanta代理店は韓国ベンダーを使った
    • Slackで簡単な相談事であれば無償でコンサルサポートもしてくれた
    • 時差もなかったので助かった

1ヶ月でSOC 2 Type1の監査準備を終えた話

大山 智/Sutton さん

Vantaを使ってSOC 2 Type1 取得の速度を上げた体験談のセッションでした。

Vantaを選定した理由

  • Vantaを選定したのは、日本のSOC 2取得している企業の実績が多かったから

監査法人

  • Insight Assuranceという監査法人を代理店とVantaから紹介された
    • それぞれから同じ監査法人を紹介されたことと、安かったことが決め手
  • ヴァイブスが合ったことがスピードアップできた要因でもある

SOC 2 取得チームの構成

CEOとSattonさんの2名体制

  • CEO
    • CEOは、SOC 2対応をしていた経験を基にリーダーシップを取った
      • CEOが関係する領域すべてのオーナーだったので、相談先が一本化でき、即断即決であったことがスピードアップの要因であった
      • 監査法人からの依頼を咀嚼して現場に落としてくれたことも、スピードアップに寄与している
      • CEOもVantaを見ながらタスクの潰し込みをやってくれた
  • Sattonさん
    • Vantaプラットフォームの日常運用
    • 証跡の整備と管理
      • 証跡チェックは86項目あり、そのうち60余をSattonさんが対応した

SOC 2 Type 1 取得までタイムライン

  • 10/1
    • Vanta利用開始
  • 10/15
    • 監査法人と契約して本気モードに
    • 11/14までに監査を受ければ年内取得できるとのことであった
    • どうせだったら爆速で年内取得しようということになった
  • 11/11
    • コントロールが90%達成!
    • 最終的には96%の達成率だった
    • 100%でなくても、監査法人に合理的に説明できればOK
      • これから実施するとか
  • 11/14
    • 監査開始
  • 12/1
    • 監査法人25項目の追加質問と証跡提出依頼が来る
    • Vanta上で他の社員にタスクをアサインして、対応する流れ
  • 監査法人が体調不良を訴えて年内取得が怪しくなる
    • 当初の合意を出しながら、遅らせないオプションについて交渉して、年内の認証取得を間に合わせることができた。

うまくいった要因

  • 若い組織だったので、既存ルールや運用負債がなく、再設計コストが低かった
  • 基本的なセキュリティ統制が既に実装されていたのでスムーズだった
    • 既存ポリシーが邪魔して自動化できないことはあるかもしれない

さいごに

やってみるとSOC 2 Type1は怖くないよ!

SOC 2は、取った瞬間よりその後が面白い

ひまわり さん

2025年10月にSOC 2 Type1報告書を受領した時の体験談のセッションでした。

整うのを待たずに前へ

SOC 2は海外展開するSaaSにとってデファクトスタンダードである

  • 一方で、ビジネスのスピード感が早く、全てを整うのを待てない
  • そのため、SOC 2取得の進行とIT基盤整備を同時に進めた

SOC 2を走りながら育てるという選択

整備途中でも説明できる運用を積み上げれば確実に前に進める。

監査対応メンバーは2名体制で行った。

  • SREが1名
  • 情シス1名

監査対応が止まるポイントを抜け、監査要求を現場に落とす3つの型

  1. 専門用語を翻訳してかみ砕き、意思決定できるようにする
    • 監査用語を社内用語に翻訳する
    • Yes / Noではなく、選択肢を提示する
    • 迷ったときの基準としての評価軸を用意する
  2. 監査コメントに対して折り合いを付ける
    • 監査コメントが来るとその指摘が正しいのかという議論が発生し、監査対応の手が止まってしまう
    • 論点は、監査コメントの正誤ではなく、受け入れるのか、根拠を示して拒否するのか、表現調整で折り合うのかということである
    • 守れる約束に落とし込む。本文には弱く書いて、カバーレターで補強する
    • 無理な約束をしないことが重要
  3. SOC 2を走りながら育てる
    • 進化の順番を設計する
      • 暫定から恒久
      • 個別例外から標準
    • 説明できる運用を積み上げていく

SOC 2はサイバーディフェンスに役立つか?

markt (田代) さん

  • PrimeNumberでセキュリティエンジニアをやっており、SOC 2取得に向けて邁進しているとのことです。

セキュリティ認証における永遠のテーマ

セキュリティ認証を取得するということは、実践的に防御できるということであるか

  • 具体的な攻撃や不正に対応できるかということ

セキュリティフレームワークの成り立ちは実践的である

  • PCIDSSは明白にこのパターンであり、漏えいの原因に基づいた体系である
  • J-SOXも粉飾決済を防止するコントロールがある

セキュリティフレームワークは実践的であるかは、Yesである

一方で、すべてのセキュリティ要件は具体的にはならない

  • 具体的であっても、形だけだったりする

実践的であるかどうかは、実装する側の問題である

  • どの状態をできていると見なすかという話であって、一定水準での保証はできる

では、SOC 2は実践的であるか?

Vantaを絡めて管理をし、レギュレーションとシステムがわかる人が絡むと実践的にできそう。

  • 共通の脅威は、ランサムウェアとサプライチェーンへの攻撃
    • これらは、イニシャルアクセスがアカウントを取られているというところに対応できるかというところがポイント

SOC 2を対応することで整えたベースラインの先のヒント

  • リスクアセスメント
  • 侵害シナリオについて試す
  • サイバー攻撃に詳しい人を雇う

SOC 2に+αでの対応が必要そうな脅威

  • サプライチェーン攻撃
  • MFA突破
  • AIを使った攻撃

おわりに

SOC 2 認証取得の実務に携わった方々の生々しいお話が聞ける貴重な機会でした!
第三回の開催予定は未定とのことですが、また参加したいと思います。

今日はここまでです。
お疲れ様でした。

ひろかず

実装可能・運用可能なセキュリティをライフワークとして、セキュリティエンジニアやってます。
主戦場のAWSに拘らず、広くチャレンジを続けています。
関連キーワード:PCIDSS, CSIRT, EDR, SASE, CASB, SIEM, OSINT, MSSP, CySec, CISSP
個人ブログもご贔屓に
https://medium.com/@fnifni21
https://www.fnifni.net

記事一覧