SOC 2 セキュリティ テストと脆弱性管理
SOC 2 Type II 監査人は、監査期間全体にわたって脆弱性管理プログラムを精査します。監査人を満足させるポイントインタイムスキャンの時代は終わりました。 KENSAI は、最新の SOC 2 監査に必要な継続的な証拠証跡を提供します。
SOC 2 評価を開始 → デモを予約するSOC 2 脆弱性管理の共通基準
SOC 2 は、AICPA のトラスト サービス基準 (TSC) に基づいています。脆弱性管理の証拠は主に以下の条件下で必要とされます。共通基準 (CC)システム運用と変更管理に関連するもの:
エンティティは、検出および監視手順を使用して、構成の変更、新しい脆弱性、および異常を特定します。監査人が確認したいのは、継続的な脆弱性スキャン、文書化されたプロセス、および四半期ごとだけでなく継続的に監視が行われていることを示す証拠です。
セキュリティ インシデント (脆弱性の悪用を含む) が特定され、対応されます。脆弱性管理はインシデント対応プロセスに直接組み込まれます。
インフラストラクチャ、データ、ソフトウェア、プロセスへの変更は承認、設計、開発、文書化、テスト、レビュー、実装されます。変更後の脆弱性スキャンは予期される証拠です。
組織は、脆弱性の特定と修復を含むリスク軽減活動を選択し、開発します。ここで、脆弱性の優先順位付けと修復の SLA が評価されます。
💡 タイプ I とタイプ II:SOC 2 タイプ I は、ポイントインタイムの評価です。タイプ II は一定期間 (通常 6 ~ 12 か月) をカバーします。タイプ II の場合、監査人は監査期間全体を通じて脆弱性スキャンの証拠をサンプリングし、一貫性のある反復可能な実行を探します。 11 か月目に 1 回のスキャンでは合格しません。
SOC 2 監査人が実際に求めるもの
SOC 2 エンゲージメント全体にわたる一般的な監査人のリクエストに基づいて、提供する必要があるものは次のとおりです。
| 証拠の種類 | 頻度 | 監査人が望むもの |
|---|---|---|
| 脆弱性スキャンの結果 | 毎月または継続 | タイムスタンプ、範囲、検出結果の数、重大度の内訳 |
| 侵入テストレポート | 年間 | 方法論、範囲、調査結果、修復ステータス |
| 修復の追跡 | 継続的 | 発見から修正、再テストまでのチケット発行の軌跡 |
| パッチ管理記録 | 継続的 | SLA (通常は 30 日) 以内に適用される重要なパッチ |
| 脆弱性管理ポリシー | 監査時 | 重大度の定義と修復 SLA を含む文書化されたポリシー |
| リスク受容文書 | 例外ごとに | パッチが適用されていない既知の脆弱性に対する署名済みのリスク受諾 |
SOC 2 の侵入テスト
SOC 2 はペネトレーション テストの頻度を明示的に義務付けていませんが、事実上すべての信頼できる SOC 2 レポートには年次ペネトレーション テストの証拠が含まれています。監査人はこれを、成熟した脆弱性管理プログラムの証拠とみなしています。
SOC 2 侵入テスト証拠の主な要件:
- 資格のある第三者によって実行されます (内部セキュリティ チームのみではありません)。
- 範囲は、SOC 2 の範囲内のシステムをカバーします (サブセットだけではありません)
- レポートには、重大度の評価と修復の推奨事項を含む調査結果が含まれます
- 再検査の確認とともに文書化された高/重大な所見の修正
- SOC 2 レポート自体に含めるのに適した概要
KENSAI が SOC 2 準拠をサポートする方法
✓ 証拠を継続的にスキャン
タイムスタンプ付きレポートを含む毎日または毎週のスキャンにより、SOC 2 Type II 監査人が監査期間全体にわたって必要とする継続的な証拠証跡が提供されます。
✓ 修復 SLA 追跡
重大度別に修復 SLA を定義し、追跡します。 KENSAI は、文書化された脆弱性修復タイムラインへの準拠を示すレポートを生成します。
✓ 変更トリガースキャン
インフラストラクチャの変更後にスキャンを自動的にトリガーし、変更のセキュリティ テストに関する CC8.1 要件を満たします。
✓ 監査人向けレポート
スキャン履歴、修復メトリクス、傾向分析を監査員のレビュー用に設計された形式でエクスポートします。監査の準備時間を大幅に短縮します。
✓ リスク受容ワークフロー
すぐには修復できない脆弱性に対するリスク受容の決定を、承認者の署名とレビュー日付とともに文書化します。
✓ アセットカバレッジレポート
包括的な資産インベントリを使用して、対象となるすべてのシステムが脆弱性管理プログラムの対象であることを監査人に実証します。
SOC 2 対応脆弱性管理プログラムの構築
- 脆弱性管理ポリシーを定義する— 文書の重大度の定義、修復 SLA (例: 重大: 7 日、高: 30 日、中: 90 日)
- 対象範囲内のすべての資産のインベントリを作成する— 完全な資産目録が基礎となります。知らないことをスキャンすることはできません
- 連続スキャンを実装する— 少なくとも毎週のスキャン。インターネットに接続されたシステムに毎日推奨されます
- 修復ワークフローを確立する— チケット、所有者、期限、終了基準と証拠
- 年次侵入テスト— 少なくとも年に一度、適格な第三者と協力する
- 文書の例外— すぐに修復できない脆弱性については、ビジネス上の正当性を伴うリスク受容を文書化します。
- 改善傾向を実証する— 監査人は、静的なプログラムではなく、時間の経過とともに改善されているプログラムを見たいと考えています。
自信を持って SOC 2 監査に合格します
KENSAI は、SOC 2 Type II で要求される継続的な脆弱性スキャン、修復追跡、監査人がすぐに使えるレポートを提供します。今すぐ証拠の証跡の構築を始めましょう。
SOC 2 準拠を開始 → コンプライアンスの専門家に相談する