見出し画像

関係者51名!SOC2 Type1 受領からType2受領までの歩み

株式会社SmartHR

こんにちは。セキュリティグループのチーフで情報セキュリティマネジメント担当の @kuwa です。

先日発表した「SOC2 Type2保証報告書を受領」までの歩みSOC2 Type1との違いを知っていただきたいと思いこの記事を書き始めました。

「SOC2」は耳馴染みのない言葉かもしれませんが、受領したことがSmartHRにとって強みになります。そして、「SOC2を受領したい」と思っている社外の方にもこの社内報が参考になったら幸いです。

※ちなみに、僕が個人的にお気に入りなので、雰囲気が伝わりやすいよういらすとやさんの画像を添えてお届けします。

SOC2(ソックツー)レポートって?

みなさん、SOC2レポートというものをご存知でしょうか?実は私自身、2020年までこの存在を知りませんでした。SmartHRでお仕事をさせていただくことになり「ソックツウ?」というところからはじまっています。

腕を組んでハテナマークを頭に乗せている、男性のイラスト

ここでいうSOCは ”System and Organization Controls” の略でして、おなじSOCでも ”Security Operation Center”(サイバー攻撃の検知や分析を専門とする組織)もありますがこれらは別のものですのでご注意ください。

シャンプーだと思って手に取ったらリンスで驚いている男性のイラスト

SOC2レポート(報告書)とは特定の業務を受託し提供する会社の内部統制について、一定の規準に基づいて、監査法人が独立した第三者の立場から評価したことについての報告書です。

さらに、このSOC2にはType1とType2というものがあります。
ある時点を基準日とし評価が行われるSOC2 Type1に対し、今回受領したSOC2 Type2は、一定の期間を対象に評価が行われるというものです。Type2では半年や1年間にわたる実際の運用について評価が行われます。

当社のセキュリティに関する統制状況を客観的に評価いただくことで、我々自身が気づけていないような改善のきっかけができたり、対外的にもより安心してSmartHRの利用や導入検討をいただけることと思います。
この報告書はSmartHRの利用企業様や導入検討企業様の内部監査等にもご活用可能です(※報告書の提供には所定の手続きが必要となります)。

Type2受領へこのように進みました

デザインを文書化する

まず「当社ではこのようにセキュリティの内部統制をデザインしています」ということを文書にします。これを「受託会社のシステムに関する記述書(以下、記述書)」と言います。
今回の場合ですとこれは2020年に受領したType1の時点の記述書がありますのでType2に向けては既存のものをブラッシュアップするかたちとなりました。

書類が重なっている様子のイメージ画像
※画像はサンプルです

エビデンスを探すのは1回じゃない

記述書で記したことが適切に運用されているかを評価いただくのですが、それを確認するには根拠となるもの(エビデンス)が必要です。
そこで苦労するのが対応付けです。これはSOC2に限らず多くのことで共通することかと思っています。

当社の場合、エビデンスとなる対象物のURLリンクを一覧化したスプレッドシートが力を発揮してくれました。
探したいときはスプレッドシート上で対象を文字検索し、ヒットしたURLリンクをクリックするという簡単なアクションで済みます。これは、後にあらためて確認するときや2年目の運用時によりありがたさを感じられるものかと思います。

スプレッドシートの一覧を切り取ったように見える、イメージ画像
※画像はサンプルです

ウォークスルーとスクラム開発

手続きをスタートからクローズまで順に確認することを「ウォークスルー」と言います。その中では、統制が適切に機能しているか?業務フローの承認ルートは適切か?という視点があります。

一方、SmartHRでは、全社的にスクラム開発を採用しています(関連する記事ブログ)。この全てを正確に説明することは難しいのですが、あえて抜粋してお伝えすると「不確実性が高い状況でも正しいものを正しく作っていく」ことを体現していると考えています。

そしてこれらが相まみえます。いわゆる「業務フローの承認ルート」と「スクラム開発におけるソレ」は、特に直接の担当でないものからすると直感的に理解するのは非常に難しいケースがあります。
今回そういったケースに何度も遭遇し大変苦労しました。なのですが「不確実性が高い状況でも正しいものを正しく作っていく」の通り、統制としても自信を持って素直にアウトプットをすることが結局最善なのだと学びました。

「AGILE」と書かれた矢印のイラスト

運用状況評価(サンプリングテスト)

そして、ここがまさにType2ならではと感じる主な部分なのですが、「母集団」からの「サンプリング」です。
これは「対象期間中に定めた運用が本当に正しく行われていたか」を評価するための手段です。

業務フローの全件を確認することは現実的ではありません。ですので、一定の量をサンプリングすることで評価をしていきます。

このとき必要になるのが「母集団」です。分母を明確にして、それをもとにランダムで抽出したN件を実際にみていく(当社からみると提出していく)ことです。

防護服とマスクを身につけた人がピンセットで何かをつまみ上げている様子のイラスト

「仏作って魂入れず」になることはなく

なんと今回総勢51名により対応いただきました(細かい部分などはもっともっと多くの方の協力で成り立っています)。
約1年にわたりSOC2 Type2受領に向け活動を行ってきました。そしてその中で強く感じたのは真摯に向き合うことの大切さでした。

あらゆる業務には手順が存在します。そして多くの場合それらは効率化されていくと思います。
効率化はいろいろありますが、その中の一つに「前提の一致」という要素があります。逆に、第三者が客観的に評価するときにはこの「前提の一致」が邪魔をすることがしばしばあります。

事務局として、このことを補完する行動が一見面倒で非合理になっているように錯覚することが正直ありました。ですが、協力いただいている社内のメンバーはもちろん、評価を行っていただいた監査法人の方々が常に真摯に向き合ってくれていること、そのこと自体に大きな価値を感じ、錯覚は霧散していきました。

評価を終わらせることだけに価値を置いてしまうのではなく、「我々はこういう思いで業務に取り組んでいます」ということが核にあり、それを素直にアウトプットしていくことができたと思います。
結果「仏作って魂入れず」になることはなく、心の通ったお仕事ができたのだと噛み締めています。

蓮の花の上で、穏やかな表情の仏が天を指差す様子のイラスト


これからもセキュリティグループでは各企業様や関係者の方々に信用いただくため、そして社内の皆さまが自信を持ってSmartHRを提供していけるため、必要な整備を進めていきたいと思います。
提案・相談・リクエストなどは気軽に Slackチャンネル # sec に書いてみてくださいね。

提供しているサービス(SmartHR)はもちろん、我々企業としても一緒に強くしていきましょう!

この記事が参加している募集

オープン社内報

21,780件