cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載がスタート。国際的には浸透しつつある監査だが、その内容は徹底的に“性悪説”を基準にしているのが特徴なのだとか……。

SOC2の興味深いところは、これらの無理難題を“クリアしなさいとは言ってこない”点です。あくまでもレポートとして記述されるので、会社のありのままの状況が記述されます。つまり、ダメな部分はリスクとしてはっきり記述されてしまうわけです。せっかく素晴らしいSOC2レポートを作ろうとしているのに、ダメ出しばかりではとても顧客に開示できる資料にはなりません。なので、皆必死になって環境整備を始めるのです。
　cloudpackでは、SOC2をやろうと決めてから、オフィスの堅牢性、物理セキュリティや人材計画、教育、ネットワーク総入れ替え、クラウドサービスの選定と評価、認証基盤の再設計など何もかもをやり直した結果、1年半ほどかかりました。
　その結果、自社の情報セキュリティ状況を全て開示できるまでになり、さらには「監査のためだけに資料を準備して、その日だけ乗り切る」というありがちなこともなくなりました。業務効率の向上を最優先にして監査項目をクリアさせたため、社内の環境は劇的に改善されたのです。

“性善説”で考えるセキュリティ、もうやめませんか？ (2/2) - ITmedia エンタープライズ