SOC 2

SOC 2は、クラウドサービスやSaaSの内部統制を評価する監査レポート。セキュリティ、可用性、処理の完全性、機密性、プライバシーといった観点で、運用体制が適切かを第三者が確認する。

特に米国発のB2B SaaSでは、エンタープライズ顧客に販売するための信頼材料としてSOC 2 Type IIレポートを提示することが多い。顧客データや個人情報を扱うツールでは、セキュリティ審査で確認されやすい。

導入側は、SOC 2の有無だけでなく、対象範囲、レポートの更新日、ISO 27001やGDPR対応なども合わせて見るとよい。

セキュリティ領域では、用語の意味を知るだけでなく、自社の情報管理ルールや取引先要件に照らして必要性を判断することが大切。法人利用では、SSO、権限管理、監査ログ、データ保管地域、認証規格、退職者アカウントの扱いまで確認したい。

注意点は、セキュリティ機能が上位プラン限定になっているSaaSが多いこと。導入後に必要と気づくと予算や契約変更が重くなるため、最初から管理者・情シス・法務が見る項目を洗い出しておくと安心。