2026年1月15日、primeNumber社オフィスにて、SOC2(System and Organization Controls 2)をテーマにした交流イベント「SOC2ゆるMeetup #2」が開催されました。
security-compliance.connpass.com
- 現場で得たSOC2の情報を語り合う場
- プロダクトオーナーから見たSOC2:鈴木さん(primeNumber)
- SOC2社内説明丸ごとこれ一本:相澤さん(ATOMica)
- 1ヶ月でSOC2 Type1の監査準備を終えた話:大山さん(SIGQ)
- SOC2は、取った瞬間よりその後が面白い:ひまわりさん
- SOC 2はサイバーディフェンスに役立つか?:田代さん(primeNumber)
- 「実践」をキーワードに気楽にSOC2の情報交換をし合う
現場で得たSOC2の情報を語り合う場
前回の第1回から約3ヶ月。セキュリティコンプライアンス分野の情報共有を目的としたコミュニティ「Security Compliance Lounge」の第2回勉強会として企画されました。
主催者の株式会社スマートラウンド執行役員VP of Reliability 山原さんは「自分がSOC2の情報を探した時に現場の声が少ないと感じた」と指摘。「実際にSOC2取得・運用にかかわった人たちの体験談を、堅苦しくせず楽しい雰囲気で共有したい」とイベントの趣旨を語りました。
プロダクトオーナーから見たSOC2:鈴木さん(primeNumber)
会場を提供した株式会社primeNumberからはCTOの鈴木さんが登壇。「プロダクトオーナーから見たSOC2」というテーマで、ビジネス戦略としてのSOC2の重要性について語りました。
鈴木さんは、データとAIを扱うprimeNumberにとってセキュリティは「プロダクトの守りの部分だけではなく攻めの部分も担っている」と説明。現在、primeNumberではSOC2取得を推進中で、ITリスクアセスメントなどを進めています。監査準備ツールとしてはVantaを活用しています。
鈴木さんは、企業のセキュリティ意識が高まる中で、「プロダクトオーナーとしてお客さまと直接対話する中で、日本の企業でもSOC2がないとプロダクトを導入できないという話も聞くようになった」と商談の現場感を共有。「SOC2推進は将来の会社の売り上げを作る事業戦略の1つ」と位置づけました。
SOC2社内説明丸ごとこれ一本:相澤さん(ATOMica)
株式会社ATOMicaの相澤飛翔さんは、実際に社内説明で使用した資料をベースに、SOC2の基礎から費用、期間まで網羅的に解説しました。
https://www.canva.com/design/DAG-ZfuHZ4Y/bSgv0UG3SA7QgY6JQ04I_w/edit
ISMSとの違いについて、相澤さんは「ISMSが『免許証』なら、SOC2はドライブレコーダーのように『無事故・無違反の走行記録』まで証明する」と説明。日々の実績まで含まれるため信頼性が高いとされると解説しました。
また、取得で実際に苦戦したポイントとして、取締役会規定や議事録などの大量の文書作成や各種SaaSの設定、ツールやマニュアルがすべて英語であることや時差などを挙げ、「相談相手がいないと進められなくなる」と実感を語りつつ、利用した審査機関(Prescient Security)やツールベンダー(Vanta)を紹介。参加者がすぐに活用できる具体的な情報まで共有しました。
1ヶ月でSOC2 Type1の監査準備を終えた話:大山さん(SIGQ)
大山智さんは、株式会社SIGQのコーポレートIT担当として、「1ヶ月でSOC2 Type1の監査準備を終えた話」を共有しました。
SIGQはAIでインシデントマネジメントをサポートするSaaSプラットフォームを提供しており、顧客のインシデント情報に触れるため、セキュリティの継続的な向上は不可欠。海外のSaaS市場では「もう当然のようにみんな取っている」という状況を踏まえ、自社もスピード感持って取得するという方針でプロジェクトを開始したそうです。
「日本のSOC2取得事例を見ると、Vantaが一番多かった」ことから、ツールとしてはVantaを、監査法人は「話が早く、価格も海外の監査法人なら半分程度」という点からInsight Assuranceを選定。結果「準備開始から1ヶ月もないぐらいで準備はできた」と語りました。
成功の要因として、基礎的なセキュリティ体制ができていたこと、創業間もないタイミングでポリシーをSOC2に合わせて策定できたこと、CEOに権限集約し時間の短縮ができたことをあげ、「SOC2は怖くない、Type1においてはISMSの審査の方が大変だったかもと思うぐらい、意外とすんなり進んだ」と参加者にエールを送りました。
SOC2は、取った瞬間よりその後が面白い:ひまわりさん
ひまわりさんからは、SOC2取得後の運用フェーズにフォーカスした実践的な知見が共有されました。
ひまわりさんは監査要求を運用に落とす3つの型として、「議論を止めないための翻訳」「約束と実態をズラさないための表現調整」「SOC2を走りながら育てる」を紹介。
「議論を止めないための翻訳」では、専門用語のままだと経営層の意思決定が止まるため、相手が決められる粒度に落とすことが大切だと説明しました。
「約束と実態をズラさないための表現調整」では「当社として受け入れるのか、根拠を示して拒否するのか、表現調整で折り合うのか」という3択に論点を固定することで、監査法人からの指摘をうまく着地させる方法を紹介。
加えて「SOC2を走りながら育てる」方法として「暫定から恒久へ、個別例外から標準へ、手動から自動へ」という3つのレールで、統制の考え方を変えずに実装を進化させることを提示しました。
最後に「完璧を待つのではなく、説明できる運用を積み上げていく。運用が育っていくフェーズが面白い」とコメントし、SOC2を継続的に成長させるものとして捉える視点を示しました。
SOC 2はサイバーディフェンスに役立つか?:田代さん(primeNumber)
primeNumberのセキュリティエンジニアである田代さんは「SOC 2は実践的なのか否か」というテーマで登壇しました。
田代さんはまず「実践的とは、具体的な攻撃や不正からサービスや利用顧客を守れるかである」と定義したうえで、「実践的かどうかは、実装する側の問題である」と提示しました。
また、「SOC 2でサイバーセキュリティのベースラインを整えることはできる」と評価する一方で、「高度で複雑な攻撃シナリオへの対応よりは必須のベースラインを達成させる方向性」と指摘。
ベースラインの先については、SOC 2に書かれているリスクアセスメントや、侵害シナリオ、有能な人材の確保をヒントとして挙げつつ、「これらはSOC2の『その先』にあるため、実装するためにはSOC 2やISMSで求められるリスク評価に
サイバー脅威を具体的なシナリオとして含める必要がある」と締めくくりました。
「実践」をキーワードに気楽にSOC2の情報交換をし合う
プレゼンテーション終了後は、転職ドラフトさん提供のクラフトビールを片手に懇親会を実施。登壇者と参加者による活発な交流が行われました。
今回も前回に引き続き「ゆる」を冠したイベントながら、4名の登壇者それぞれが異なる現場の視点から、SOC2の「実践」に迫る内容となりました。primeNumberも現在SOC2取得を推進中であり、今回得られた知見を活かしながら、その過程で得られたノウハウをコミュニティに還元していきたいと考えています。
改めて登壇者の方々、ご参加いただいた方々、そして転職ドラフトさん、ありがとうございました。次回の「Security Compliance Lounge」勉強会もお楽しみに!
