1ヶ月でSOC2 Type1の監査準備を終えた話

316 Views

January 27, 26

#SOC2 #監査 #Vanta #SIGQ #コンプライアンス

スライド概要

profile-image
スライド一覧

Docswellを使いましょう

ダウンロード

関連スライド

slide-thumbnail

KH Coder 3 チュートリアル
user-img HIGUCHI Koichi 735K
slide-thumbnail

【初心者向け】UE5 シーケンサーと Movie Render Queue の使い方【Cinematic Dive 2023】
ue5 ue-nongame
user-img エピック ゲームズ ジャパン 297.7K
slide-thumbnail

エンジニアとQAの壁が崩れていくのを眺めていた #scrumosaka
scrumosaka 2024 scrum agile
user-img asato 276K
slide-thumbnail

シェーダコードも怖くない?UEのCustomノードで学ぶHLSL入門
ゲームメーカーズスクランブル ゲーム制作 ue5 シェーダー
user-img ゲームメーカーズ 265.2K
slide-thumbnail

【2023年版】ゲーム制作の現場でよく使うツールをまるっと紹介
ゲームメーカーズスクランブル ゲーム制作 ツール紹介
user-img ゲームメーカーズ 216.7K
slide-thumbnail

Unreal Engine 5.4、あの新機能を追え!
ue5
user-img エピック ゲームズ ジャパン 198.1K
各ページのテキスト
1.

1ヶ月でSOC2 Type1の監査準備を終えた話 株式会社SIGQ 大山 智

2.

私たちの紹介 大山 智Sutton 株式会社 SIGQ 株式会社 SIGQ / Corporate IT 経歴 ヘルプデスク、システム運用などを経て情シスへ(約10年) ISMS構築・運用・規格移行・審査対応を複数社で経験。 ISMS審査員要件取得済。 SOC2対応は今回が初めての挑戦でした 事業内容 インシデントマネジメントAIプラットフォーム SIGQ Incident Lakeの提供

3.

なぜSOC2なのか? 海外(特に米国)のB2B SaaS市場では、SOC2取得が事実上の標準となっている為 取得が求められる主な業界 Fintech HealthTech 金融データを扱うサービスでは必須の要件 医療情報の保護基準として要求される HR / Payroll Dev / Data系SaaS 従業員の機密情報を扱うため重要 顧客のソースコードやデータ保護のため

4.

利用ツール・監査法人 ツール Vanta 自動化されたコンプライアンス管理プラットフォームを採用。テンプレートベースで の管理により、証跡収集と統制の可視化を効率的に実施しました。 • リアルタイムでのコントロール状況の把握 • 統合された証跡管理機能 • 監査対応の工数削減 監査法人 Insight Assurance SaaSスタートアップに特化した監査経験を持つパートナーを選定。 業界理解の深さが、スムーズな監査進行の鍵となりました。 • スタートアップ特有の課題に精通 • 実務的なアドバイスの提供 • 柔軟な対応とコミュニケーション

5.

環境紹介(体制・役割) チーム構成と役割分担 Brown(CEO) Sutton(Corporate IT) 過去の SOC2対応経験を活かしたリーダーシップ 実務面での推進とオペレーション管理 • 開発環境側の技術的な対応を主導 • Vantaプラットフォームの日常運用 • プロジェクト全体の最終意思決定 • 証跡の整備と管理 • 例外事項の判断と優先度調整 • ドキュメント作成と更新 • 監査法人との戦略的コミュニケーション

6.

タイムライン(全体) 10月1日 1 Vanta利用開始(探索フェーズ) 2 10月15日 監査法人と契約「本気モード」に移行 11月11日 3 Control 90%超を達成「監査OKライン」到達 4 11月14日 監査開始 12月23日 最終レポート発行 5

7.

タイムライン( Vanta契約〜監査開始) 10月1日:Vanta利用開始 1 この段階では、まだ触れるだけ。 プラットフォームの操作性を確認し、どのようなコントロールが必要か、どんな証跡が求められるかの把握に努めた。 • 各種統合機能の接続テスト • ポリシーテンプレートの確認 • コントロール項目の全体把握 10月15日:監査法人と契約 2 監査法人との契約により、明確なゴールと期限が設定された。 ここから本気モード! Insight Assuranceから提供された準備チェックリストをもとに、優先度を決めて対応を開始。 3 • キックオフミーティングの実施 • 監査スコープの最終確認 • 必要な証跡リストの共有 11月11日:Control 90%超達成 監査法人が指定する「監査開始OK」ラインをクリア。 約1ヶ月で必要なコントロールの大部分を実装・証跡化。 • 残り10%は致命的なものでなく、かつ説明できればOK(「計画済で対応予定」「実施中で進捗は〇〇」等)

8.

タイムライン(監査開始〜レポート発行) 4-1 監査開始( 11月14日) 11月14日 監査法人から全体タイムラインが共有され、正式な監査プロセスがスタート。 監査開始 この段階から、 監査法人側がプロジェクトの主導権を持つ 形に移行。 私たちは依頼に応じて証跡を提供する形に。 4-2 12月1日 追加質問・証跡提出依頼( 12月1日) 追加対応 監査法人から 25項目の追加質問と証跡提出依頼あり。 高難易度のものはなかったが、 原則 2営業日以内での回答 を求められたため、迅速な対応が必要だった。 5 • 既存ドキュメントの補足説明 12月23日 • 特定期間のログやスクリーンショット レポート発行 • 一部のポリシー運用実績の証明 最終レポート発行( 12月23日) 重要な指摘事項なく、 SOC2 Type1のレポートが発行。 レコメンデーションで改善提案はいくつか受けたものの、準拠性に影響するものはなかった。

9.

弊社がかっちりハマった点 • 基礎的なセキュリティ統制が既に実装されていたこと 大きな導入・対応が不要で、SOC2の前提となるコントロールを スムーズに適用可能だった • Greenfield環境であったこと 既存ルール・運用負債がなく、再設計コストが低い 特に、監査前提でポリシー策定できたことが大きかった! • Centralizedな意思決定ができたこと CEOに集約している形だったので、判断の滞留が発生しなかった