【2025年版】SOC 2 パスワードセキュリティ準拠要件

もし自社のビジネスを保護するためのセキュリティ準拠基準について検討していないのであれば、少なくとも顧客のデータを適切に保護する措置を講じるべきです。なぜなら、企業は信頼できないベンダー、サプライヤー、またはパートナーと取引を避けたいと考えているからです。

本記事では、セキュリティ準拠基準を満たすパスワード管理システムを確保するために、押さえておくべきポイントをご紹介いたします。

TeamPasswordは、パスワードセキュリティ準拠基準を満たす最も簡単なソリューションです。今すぐ14日間の無料トライアルに登録し、ぜひご自身でお試しください。

セキュリティコンプライアンスとは？

セキュリティコンプライアンスとは、組織がデータ（自社のデータおよびユーザーのデータ）を保護するために実施する積極的な措置とプロセスです。これには、データ保護と監視のための堅固な措置だけでなく、潜在的な侵害が組織に与える影響を把握するための現実的なリスク評価も含まれます。

重要な点は、セキュリティコンプライアンスは一度達成すればそれ以上考えなくてもよいものではなく、継続的な取り組みが必要であるということです。

1. セキュリティコンプライアンス基準は、新たな知識やツールの登場に伴い変化するため、現在コンプライアンスに準拠しているとみなされるものが、数ヶ月後や数年後はそうではなくなる可能性があります。 
2. セキュリティコンプライアンスは継続的プロセスであり、(サイバー)セキュリティ基準に準拠し続けるためには、プロセスを適切に実施し、一貫して遵守する必要があります。  
3. 多くのセキュリティコンプライアンス基準では、組織が安全でセキュアなデータ処理プロセスへの厳格な準拠を維持していることを確認するため、再認証のための定期的な企業監査が求められます。

セキュリティコンプライアンスの種類

セキュリティコンプライアンス基準は、業界や機能に特化したものが多く存在します。つまり、一般的な企業は、データ保護への取り組みをアピールするため、複数の認証を取得する傾向にあります。

System and Organization Controls（SOC）は、最もよく知られたセキュリティ基準の一つです。SOC 1、SOC 2 Type I、および/またはSOC 2 Type IIの認証を取得することは、一部の市場に参入するための最低要件とみなされる場合があります。なぜなら、多くの企業は、定期的なSOCセキュリティ監査を実施していない企業とデータを共有することを拒否する傾向にあるためです。

システムと組織の内部統制（SOC）  

アメリカ公認会計士協会（AICPA）によって開発されたSOCは、財務諸表に影響を与える可能性のあるデータに関する内部統制を文書化します。これは、監査対象の組織またはその組織とデータを共有する組織に適用されます。

重要な点として、SOC 1、2、3はセキュリティ準拠のレベルではなく、異なる基準で異なる内容を測定し報告するものです。  

以下がSOC準拠の主なレベルです。

• SOC 1：SOC 1レポートは、顧客の財務データを扱う組織（例：決済処理業者、POSシステム、給与計算業者など）向けに設計されています。顧客に対し、その財務データが安全に管理されることを示すためのものです。  
• SOC 2：SOC 2レポートは、組織がクラウドおよびデータセンターのセキュリティ対策が十分であることを示すためのものです。SOC 2 Type Iは、特定の時点での監査です。SOC 2 Type IIは、一定期間にわたるコンプライアンスを測定する継続的な監査です。どちらの場合も、管理者がデータ処理の安全性を確保するコミットメントを表明し、その後、公認会計士事務所がその主張に同意するか否かを示す保証報告書です。    
• SOC 3：SOC 3レポートには機密情報が含まれていないため、通常はSOC 1および/またはSOC 2監査が成功した後に実施され、有用なマーケティング資料を提供するために作成されます。これらのレポートは一般向けに書かれています。

その他のセキュリティ準拠基準 

SOCは最も広く認知されているセキュリティ準拠基準の一つですが、決して唯一のものではありません。実際、SOCと類似しているとは考えないかもしれませんが、これらの他のセキュリティ準拠基準のほとんどは、少なからずご存知かしれません。

1. CCPA/CPRA：カリフォルニア州消費者プライバシー法（CCPA）およびより最近制定されたカリフォルニア州プライバシー権法（CPRA）は、カリフォルニア州の住民に対し、売上高が$2500万以上またはユーザー数が5万以上の企業が保有する個人データを確認する権利、および当該企業が第三者と共有したデータを確認する権利を付与しています。また、データが不正に使用されたと考える場合、訴訟を提起する権利も付与されています。
2. FedRAMP：米国連邦情報セキュリティ管理プログラム（FedRAMP）は、クラウドサービスにおけるセキュリティ評価、監視、承認のための標準化されたアプローチを提供します。連邦政府にクラウドサービスを提供しようとする企業は、FedRAMP準拠であることを証明する必要があります。
3. GDPR：2018年から、一般データ保護規則（GDPR）は、EU市民の個人データを処理する際に企業が遵守すべきルールを定めています。
4. グラム・リーチ・ブライリー法（GLBA）：米国議会は1999年にGLBAを成立させ、金融サービス業界における消費者プライバシーとサイバーセキュリティの向上を目的としています。 
5. HIPAA：米国医療保険の相互運用性と説明責任に関する法律（HIPAA）は、患者のデジタル医療データの使用方法と保管方法に関する極めて厳格な基準を定めるとともに、HIPAA規制に従って医療データが保管、アクセス、共有されない場合、多額の罰金または懲役刑を科す規定を定めています。
6. PCI DSS：Payment Card Industry Data Security Standard（PCI DSS）は、取引前、取引中、取引後のカード保有者データの利用方法を規制することで、クレジットカード利用者を保護します。
7. サバンズ・オクスリー法（SOX）：Enron、WorldCom、Tycoの不正事件を受けて導入されたSOXは、企業の財務報告の透明性と正確性を向上させることを目的としています。

パスワードセキュリティのコンプライアンスとは？

パスワードセキュリティのコンプライアンスとは、組織が弱く、侵害された、または再利用されたパスワードによるビジネスへの侵害を防ぐために実施し、遵守する具体的なプロセスを指します。

パスワード管理は必ずしも難しいものではありませんが、実際、サイバーセキュリティの重要な要素として見落とされがちな部分です。ビジネスの初期段階から定着したプロセスは、当初十分な検討なしに導入された悪い習慣が定着してしまう傾向があります。

例えば、多くの企業は依然としてExcel・スプレッドシートの使用を続けていますが、これは重大なセキュリティ侵害のリスクを招く可能性があります。  

SOC 2のパスワードセキュリティ要件

アメリカ公認会計士協会（AICPA）は、その基準を満たすための明確な手順を明示的に提供していません。代わりに、彼らは「Trust Services Principles」を定めており、これらはサイバーセキュリティに準拠した組織に期待される内容を明確にしています。

トラストサービス基準

トラストサービス基準は、組織がユーザーのデータをどのように保護すべきかを具体的に指示するものではありませんが、実装されることで、その組織のサイバーセキュリティへのコミットメントを証明する哲学的な枠組みを提供します。

以下の5つのトラストサービス基準です。

1. セキュリティ：これは、アクセス制御、ファイアウォール、アイデンティティ管理システムなどを通じて、データとシステムの実践的な保護を指します。  
2. 機密性：本質的に、データは保存または送信される際に常に暗号化されなければなりません。さらに、「最小権限の原則」すなわち、従業員は業務遂行に必要な最小限のアクセス権限のみを持つべきであるという原則が遵守されなければなりません。
3. 可用性：システムは障害耐性を持つように設計され、組織が合理的な明確なSLAを維持できるようにする必要があります。  
4. プライバシー：個人を特定できる情報の収集、保存、または処理は、組織の書面によるデータ利用およびプライバシーポリシーに従う必要があります。  
5. 処理の整合性：企業は、システムが設計通りにエラー、脆弱性、遅延、またはバグなしに機能するように、堅固な品質保証とパフォーマンス管理プロセスを確立する必要があります。

トラストサービス基準とパスワードマネージャー

これらの5つのトラストサービス基準を考慮すると、パスワードのセキュリティ準拠にはパスワードマネージャーの導入が必須です。パスワードマネージャーのみが、パスワードを安全に保管・送信し、パスワードの可用性を確保しながら、チームとアカウントを共有する場合でもプライバシーを保持します。

さらに、TeamPasswordは多要素認証（MFA）とデータ暗号化を活用し、個人データのプライバシーと機密性を維持するのに役立ちます。

TeamPasswordはSOC 2 Type IIセキュリティ準拠の達成をサポート

TeamPasswordは、高度なセキュリティを備えた、導入が簡単なパスワード管理ツールです。あらゆる規模の企業にとって、パスワードセキュリティの準拠を容易にします。

TeamPasswordは、定期的な監査を通じてセキュリティ準拠基準を証明することにコミットしています。

TeamPasswordは、お客様のパスワードを安全に保管し、セキュリティを確保しつつ、簡単にアクセスできるように設計されています。これにより、お客様のクライアントのデータも安全に保護することが容易になります。  

SOC 2準拠を強化するための主要な機能：

統合型TOTP認証ツールと強制適用可能な2要素認証：SOC 2の基盤となるアクセス制御を強化するため、組織全体で2要素認証を実施し義務化しましょう。TeamPasswordの統合型時間ベースのワンタイムパスワード（TOTP）認証ツールは、チームのプロセスを簡素化しつつ、重要なセキュリティ層を確保します。

包括的なアクティビティログ：パスワード関連のすべてのアクティビティの明確で監査可能な記録を維持します。詳細なアクティビティログは、SOC 2監査員に必要な証拠を提供し、誰が、何を、いつアクセスしたかを示します。この重要な機能は、監視、インシデント検出、責任追及を支援します。

複数のユーザーロールによる細粒度アクセス制御：最小権限の原則を容易に実施できます。TeamPasswordは、異なる役割と権限を割り当てることで、チームメンバーが業務遂行に必要な資格情報のみにアクセスできるようにします。この細粒度アクセス制御は、SOC 2の重要な要件です。

無制限のレコードとグループでセキュリティを効率的に管理：APIキーからデータベースのパスワードまで、すべての機密情報を無制限のレコードとグループで安全に管理し、整理できます。この構造化されたアプローチは、アクセス管理を体系的に行い、監査プロセスを簡素化します。

Googleサインインによる安全で便利なアクセス：ユーザーの認証にGoogleのインフラストラクチャのセキュリティを活用できます。無料のGoogleサインイン統合は、チームがTeamPasswordに安全かつ便利にアクセスできる方法を提供し、同時に広範なアイデンティティとアクセス管理戦略をサポートします。

ワンタイムシェアによる情報共有の制御：外部パートナーとの共有や一時的なアクセスを、コアパスワードのセキュリティを損なうことなく安全に実施できます。この機能は、SOC 2のセキュリティと機密保持の原則に準拠した、制御された時間限定のアクセスを可能にします。

TeamPasswordは、ご自身とお客様のデータを保護します。今すぐ14日間の無料トライアルに登録して、ぜひお試しください。