最終更新日

SOC2ゆるMeetup #1 イベントレポート:SOC2取得企業が現場目線で語るSOC2取得の実践知

2025年10月1日、primeNumber社オフィスにて、SOC2(System and Organization Controls 2)をテーマにした交流イベント「SOC2ゆるMeetup #1」が開催されました。

 SOC2取得の現場目線での知見を楽しく共有する「“ゆる”Meetup」

SOC2は、クラウドサービスやSaaSなどを提供する企業が、顧客データを適切に管理しているかを証明するためのセキュリティ監査の基準です。特にBtoB(企業向け)のクラウドサービスでは、SOC2の取得が契約の条件になることも多く、ビジネス上の信頼性を示す重要な証明書となっています。

このイベントは、セキュリティコンプライアンス分野の情報共有を目的としたコミュニティ「Security Compliance Lounge」の第1回勉強会として企画されたもので、実際にSOC2を取得した企業が登壇、それぞれの立場からSOC2取得の実践的な知見を共有しました。

会を主催したスマートラウンド執行役員VP of Reliabilityの山原さんは、「Webで見つかるSOC2の情報は監査法人やコンサルタントの視点から語られることが多く、SOC2を取得した現場の声は少ない」と指摘。「実際にSOC2取得・運用にかかわった人たちの体験談を、堅苦しくせず楽しい雰囲気で共有したい」と、“ゆる”の名を冠したイベントの趣旨を語りました。

主催のスマートラウンド山原さん

イベント会場を提供した私たちprimeNumberからはCTOの鈴木健太が登壇。primeNumberではいままさにSOC2を取得すべくITリスクアセスメントやGoogle Cloud基盤整備などを進めており、その準備ツールとして「Vanta」を活用していると紹介。来場者に向けて「交流会を通じてたくさん学び合いたいと思っています」と呼びかけました。

画像

primeNumber CTOの鈴木

画像

同姓同名同士でAI時代のCTOやエンジニアリングについて語った「鈴木健太対談」

画像

primeNumberはVantaでSOC2取得を推進中

準備開始から約半年でSOC2 Type2を取得したファインディの戦略

ファインディの安達涼さんは、同社のプロダクトである戦略支援SaaS「Findy Team+」におけるSOC2 Type2取得の経緯と実践を語りました。

画像

ファインディの安達さん

Findy Team+は顧客データを環境に保存する必要があるため、顧客から高いセキュリティ要件を求められることが多かったといいます。また、グローバル展開を行う中でSOC2がグローバルスタンダードになりつつあり、取得していないと商談に至らないケースが複数存在したことも取得の大きな動機だったと語りました。

取得に際しては「Drata」というサービスを活用しました。Drataは様々なセキュリティコンプライアンスフレームワークの維持を効率化・自動化するプラットフォームで、コード管理やインフラを連携し、要対応箇所を可視化してくれます。監査法人の選定もDrataを通じて行い、証跡収集やポリシー実装の自動化、リスク評価などを包括的にサポートしてもらったそうです。

SOC2取得にDrataを活用

同社のセキュリティ基盤についても紹介。AWSではCSPMとしてGMO Flatt Securityの脆弱性診断ツール「Shisho Cloud」を活用したほか、セキュリティログ基盤としてはAmazon Security Lakeでマネージドのログ収集基盤を構築し、WAFやCloudTrail、VPCフローログを一元管理。さらにオープンソースの分析&監視ソリューション「Grafana」で可視化し、AIで解析する仕組みを整えました。アプリケーション側では、フロントエンドの脆弱性対応を開発メンバーが継続的に実施し、定期的な手動脆弱性診断も行っています。

画像

セキュリティ基盤の概要

2024年9月からはShisho Cloudを全サービスに展開し、月次でアプリケーション脆弱性診断を実施する体制を構築しました。Shisho CloudとDrataの役割分担として、Drataは「Findy Team+」のみの検知に特化させ、インフラの深い部分はShisho Cloudでカバーするという戦略を取っています。

DrataとShisho Cloudの使い分け

2025年1月にSOC2 Type1を取得し、2ヶ月後にType2を取得。準備開始から約半年での達成となりました。取得によって営業やカスタマーサクセスが安心してセキュリティ対応を説明できるようになり、商談での差別化につながったことが最大の成果で、海外やエンタープライズ向けの導入も大きく進展したといいます。

画像

SOC2取得で得られた効果

最後に安達さんは「日々のインフラ運用、セキュリティ対応、開発プロセスの整備という積み重ねが非常に大事」と強調し、企業の信頼性向上、セキュリティ運用の仕組み化、再現性のあるセキュリティ基盤整備のノウハウ獲得といった副次的効果も得られたと締めくくりました。

半年での取得を実現再現性ある基盤整備やノウハウを獲得

SOC2取得の全体像を職種やステップごと体系的に解説

主催のスマートラウンド山原さんは、SOC2取得の全体像を体系的に解説しました。

スマートラウンド山原さん

スマートラウンドは、「スタートアップが可能性を最大限に発揮できる世界を作る」というミッションのもと、7000社のスタートアップと投資家向けのSaaSプラットフォームを提供しています。スタートアップの株式情報を扱うという性質上、セキュリティには特に気を遣っており、SOC2 Type2、ISMS、AWS認定ソフトウェアなど複数の認証を取得したそうです。

山原さんは最初にSOC2取得の概要を説明。クラウドサービス提供企業が監査法人に監査を依頼し、監査報告書を受け取る。そしてその報告書を、サービスのセキュリティを確認したいユーザー企業に無償で提供し、評価してもらうという枠組みです。

SOC2の概要

続いて山原さんは「今日お話ししたかったこと」と前置きした上で、SOC2取得に必要なタスクを職種・役割別に分類した全体像を紹介。情シス・エンジニア両方が関わる横断的なタスク、情シス主導のタスク、開発・運用エンジニア主導のタスク、人事労務が協力すべきタスクという4つのカテゴリーに分類し、全14項目にまとめたもので、「誰が何をすべきか」が一目で分かるようになっています。

職種・役割ベースでのSOC2取得の全体像

個別のタスクについては「ポリシー作成と同意取得」「自社サービスのセキュリティ実装」「アクセス管理」を重点的に紹介。ポリシーとは社内のセキュリティ方針を定めた、日本企業の社内規定に相当するもので、アクセス管理から災害復旧計画まで多岐にわたるテーマを網羅する必要があります。山原さんは「SOC2の基準は抽象的なためゼロから作成するのは現実的ではなく、コンサルやVanta、Drataなどの支援ツールが提供するテンプレートをカスタマイズして使うのが現実的」と語りました。

ポリシー作成はテンプレートのカスタマイズが現実的

一方で山原さんは、「テンプレートは便利で楽だが、そのまま使うとこれまでの会社のカルチャーや慣習からちょっとかけ離れたものになってしまうという懸念があった」と振り返り、「会社のカルチャーや慣習に沿うよう極力カスタマイズした」と説明。

会社のカルチャーや慣習に合わせて極力カスタマイズ

「100%納得いくまではできなかったのが残念だが、ポリシーは1回作って終わりではなく年次で見直す必要があるため、はじめから完璧を目指さず、徐々に改善していく方針」とした上で、「会社の実態にそぐわないような運用しづらいポリシーにならないよう、必要に応じてポリシーに関わる職種の方に参画してもらうのが大事」だと補足しました。

必要に応じて関係する職種にも参加してもらうのが重要

セキュリティ実装は、大きく「インフラ・運用周り」と「ソフトウェア開発ライフサイクル周り」の2つに分類して説明。インフラ側では、クラウドプロバイダーのベストプラクティスに沿ってセキュリティを高めることがSOC2準拠につながるとし、AWSならSecurity Hub(CSPM)を活用し、ネットワーク分割、暗号化、ログ管理などを適切に実施することが求められるとしました。

インフラ・運用の領域

また、開発ライフサイクル側では、GitHubのようなVCS(バージョン管理システム)の適切な運用、コードレビューの徹底、承認プロセスの証跡管理など、「ポリシーに書かれたことを真正面から実施し、証跡を残すことが重要」としました。

ライフサイクルの領域

アクセス管理の中では、特に従業員のアカウント管理に注目。「退職者のアカウント放置は論外で、定期的な棚卸しによる不要アカウントや過剰権限のチェックが不可欠であり、山原さんは「監査でこの点を重点的に見られた」との経験談を披露。チェックリストを作成して適切なタイミングで漏れなく実施し、確実に証跡を残すことが成功の鍵としました。

退職者のアカウント削除や定期的なアカウント棚卸しなどアカウント管理を深掘り

SOC2取得の鍵は自動化と継続的な運用

マネーフォワードiで取締役CPOを務める村上勝俊さんは、「取締役や役員として、コーポレートセキュリティ・プロダクトセキュリティをどうマネージするか」という経営視点から登壇。元々オンプレミス・インフラエンジニアからキャリアをスタートした村上さんですが、現在は新規事業の取締役兼CPOを務めており、既にSOC2 Type2の監査を4回経験、Type1から数えると4周目に入っているというほど、SOC2取得の経験が豊富です。

マネーフォワードiの村上さん

村上さんは商談でのSOC2の有用性に加え、「グローバル展開を見据えた場合、SOC2は必須になりつつある」と村上さんは指摘。「アメリカを見ると、創業1年目ぐらいで取るようなレベルになっている。日本では5〜10年経ってから取る印象だが、どんなベンチャーもSOC2がないと商談にも上らない時代が来ている」と語りました。

工数についてはすでにオンプレミス環境をクラウドへ移行するクラウドリフトが完了していたことと、本社のデバイス管理が優れていたために基礎が終わっていた状態のため、エンジニア1名が2〜3ヶ月程度でType1からType2まで取得できたとのことです。

グローバル展開ではSOC2が必須条件に

また、村上さんは「自分はセキュリティの専門家ではない」と断ったうえで、「専門家を雇う余力はなく、抜け漏れもあるという前提で、どのように組織のガバナンスやセキュリティを高めていくか」と前置いた上で「広く浅く」と「狭く深く」を組み合わせた戦略を取ったと語りました。

具体的には自分たちで組織の状態を評価するセルフアセスメントを実施し、自組織の弱みを把握した上で、重要な部分を継続的に深く監視する自動インスペクションを行うという方針を説明。AWS Well-Architected FrameworkレビューやFTRレビュー、CISやIPAのチェックシートなどを活用し、「今どこが弱いのか」を可視化、決定した対策は、AWS Security Hub(CSPM)やDrataなどを用いて自動化を推進しています。

広く浅く認識して成熟度を徐々に高める

村上さんは、「セキュリティで何をすべきか、何が弱いのかは相対的な評価が難しい」という課題を示したうえで、「コンプライアンスに関するフレームワークを採用することで議論がしやすくなり、今どこが弱いのかといったグラデーションが明確になった」と説明。フレームワークを選べばタスクが明確になるため、インターン生やジュニアエンジニアでも進められるようになったとその効果を示しました。

セキュリティ・ガバナンスのアプローチメリット

また、CISのIG(Implementation Group)レベルを基準として設定し、「今年はIG1まで」「来年はIG2まで上げよう」といった会話が経営層で行われるようになったと説明。「昔はフレームワークなんてうるさいと思っていたが、上の立場になると非常に便利だと感じる。先人の知恵が詰まっている」と、現場と経営の両視点から語りました。

継続的な運用では「証跡収集が大きな負担」とした 上で、Drataを活用して各端末の状態を自動監視。スクリーンセーバー設定やインストール漏れなども検知でき、タスク期限管理機能でリマインドも自動化しているそうです。

Drataの活用でモニタリングや証跡収集を自動化

さらに、自社プロダクト「Admina」を活用したSaaS管理の自動化も紹介。AdminaはSaaS管理サービスで、各種SaaSのアカウントリストを自動取得します。定期的なアクセスレビュー(アカウント棚卸し)では、GitHub Actionsを使ってAdminaのAPIを呼び出し、特に個人情報を扱う重要度の高いSaaSのアカウントリストを自動でGitHubチケットに出力し、AIと人間でレビューする仕組みを構築しています。

自社プロダクトのAdminaも活用

SSOと連携しているアプリケーションについても、Google WorkspaceのAdmin権限などを自動取得し、GitHub上でレビューを行っているとし、「とにかく集める作業が大変なので自動化している。AI時代はこういう作業がとても楽になる」との知見を共有しました。

村上さんのチームでは、アーキテクチャレビューやリスクアセスメントなど人手が必要なものは起票だけ自動化し、CSPMスコアやインフラパフォーマンス分析など定量評価できるものは全自動化と役割を分担しながら自動化を推進。一方で「一番大変なのはSOC2レポートの他社からの収集」と苦笑しながら、NDA締結やフォームからのリクエストなど完全自動化が難しい領域もあるとしました。

ゴール設定やフレームワーク、自動化が重要。Admiraのアカウント監査も便利

3社それぞれの視点から実践的で濃密なSO2取得の知見が語られた学びの場

プレゼンテーションの後は登壇者と参加者による交流会を実施。ビールスポンサーである転職ドラフトさんのクラフトビール「DOORS」「DAYDREAM」をいただきながら、登壇者への質問や参加者同士の情報交換で盛り上がりました。

懇親会の模様

懇親会で提供された転職ドラフトのクラフトビール

“ゆる”を冠した気楽なイベントという趣旨とは裏腹に、プレゼンテーションの内容は実践的かつ濃密で、ファインディの実践的な取得プロセス、スマートラウンドの体系的な全体像マップ、マネーフォワードiの経営視点と自動化戦略と、それぞれ異なる切り口から、現場目線でのSOC2取得に関する知見が共有されました。

いずれのプレゼンテーションでも共通していたのは「完璧を目指すのではなく継続的に改善する」姿勢と、「ツールやフレームワークを賢く活用する」実用主義でした。すでに準備されたテンプレートや各種ツールを効率的に組み合わせることで、小規模チームでも数カ月でSOC2取得が可能だということを取得企業が自ら示す、とても意義のある学びの場となりました。

primeNumberも今後はSOC2に向けて準備を進めるとともに、その経緯で得られたノウハウをコミュニティに還元していきたいと思います。

改めて登壇者の方々、ご参加いただいた方々、ありがとうございました。