Zenn
CoeFontPublicationへの投稿
🦙

約3人でセキュリティ監査を乗り越えた話

sugasuga
2025/03/18に公開
5
vanta
idea

セキュリティ監査とVantaの導入

クラウドサービスを提供する企業にとって、データの機密性や可用性を担保するために、SOC2やISMSなどのセキュリティ認証が必要になる場合があります。しかし、これらの認証には厳しい要件があり、対応には多大な労力が必要となります。そこで、効率的に監査対応を進めるために、私たちはSaaSツール Vanta を導入しました。

Vanta

Vanta導入で得られたメリット

セキュリティ監査プロジェクトが初めてという立場から、特に効果を実感したポイントを以下にまとめます。

1. 自動テスト機能で要件チェックがスムーズに

  • 進捗状況の可視化
    Vantaでは、監査対応すべき各項目の進捗がプラットフォーム上で常に確認できます。未対応の項目は一覧表示されるため、何をすべきかが一目で把握できます。全体の進捗度合いは、パーセンテージでも表示されており、現在位置がわかります。

  • SaaS連携による自動チェック
    AWS、GCP、Slack、Notion、GitHub、Datadogなど、約350種類のSaaSツールと連携することができ、SOC2に必要な項目が自動でチェックされ、違反箇所が通知されます。これにより、常に最新のコンプライアンス状態を維持できます。

    例えば、GitHubでは以下のチェックが実施されます。

    • バージョン管理システムの導入
    • main ブランチの保護設定
    • レビューを経たマージの実施

    また、AWSなどの重要なシステムについても明確なチェック項目が提示されるため、対応すべき課題が把握しやすくなりました。

    下記は、脆弱性のあるパッケージを検知し、対応が必要なリポジトリを一覧表示する例です。

    脆弱性チェック

2. ポリシー整備が効率的に

  • 自動生成されるポリシーテンプレート
    Vantaにおける「ポリシー」とは、組織が情報セキュリティやデータ保護に関して定める公式な方針や手順のことを指します。例えば、インシデント対応ポリシーなどがあります。これは、セキュリティインシデント発生時の対応手順を定め、全従業員に同意・準拠してもらう必要があります。
    Vantaには、あらかじめ用意されたポリシーテンプレートがあり、Web上で必要な情報を入力するだけでドキュメントが自動生成されます。詳細まで把握し社内フローを整える必要がありますが、ドキュメントをゼロから作成する手間が省け、効率的にポリシー策定が可能です。

    ポリシー作成

3. 充実したサポート体制

  • 同一タイムゾーンのCSチーム
    オーストラリアに拠点を持つVantaのカスタマーサポートチームにより、同じタイムゾーンで迅速なサポートがslack上で受けられました。タイムゾーンのずれによる深夜のミーティングや回答遅延といった課題がなく、安心して問い合わせが可能でした。

  • 幅広い質問に即時対応
    Vantaのサポートは、セキュリティ監査全般に関する疑問にも丁寧に回答してくれました。たとえば、以下のような質問にも迅速に対応していただきました。

    • SOC2 Type1の一般的な取得率はどの程度か?
    • SOC2 におけるオプショナルな基準の取得の判断方法
    • 監査の対象外にできるリソースの基準は?
    • 脆弱性テストはいつ実施すべきか?

4. 監査機関との連携

Vantaは企業が監査機関とスムーズに連携し、監査プロセスを迅速かつ効率的に進めるための様々な機能を提供しています。以下の点が特に便利です。

  • 提携監査機関の紹介とマッチング
    Vantaは信頼できる監査機関(CPA事務所や認証機関)と提携しており、企業の規模やニーズに合った監査パートナーを紹介してくれます。SOC 2やISO 27001、HIPAA、GDPRなどの規格ごとに最適な監査機関をマッチングでき、監査の選定プロセスを簡素化できます。

  • 監査機関向けの専用ポータル
    監査機関にVantaのダッシュボードへの限定的なアクセスを付与することで、監査人が必要な情報を直接確認できる仕組みがあります。
    これにより、監査人が追加の資料を求める回数を減らせるため、やりとりの手間が減り、監査期間が短縮されます。

SOC2取得までのロードマップ

Vantaを活用して、以下のスケジュールでSOC2監査プロジェクトを進行中です。

時期 進捗内容
2024/11 初旬 Vantaのセールスチームとコンタクト開始
2024/11 中旬 SOC2取得に向けたシステム整備および社内体制の構築開始
2025/02 初旬 SOC2 Type1の監査開始と完了・Type2監査開始
2025/03 初旬 SOC2 Type1レポート発行予定
2025/06 初旬 SOC2 Type2レポート発行予定

振り返り

今回のSOC2認定プロジェクトは、中心メンバー2名と、全社員(2025年1月時点で60名)の協力のもと進められました。少人数で、厳格なセキュリティ基準をクリアできたのは大きな成果です。

Vantaの利用コストは決して安くはありません。しかし、その分、運用負荷が大幅に軽減され、効率的に監査対応が進められたと実感しています。SOC2の要件は多岐にわたるため、最初は不明点も多かったものの、Vantaの充実したサポートと自動化機能により、スムーズに認定取得へと進めることができました。

今後も、最新のセキュリティ要件に適合し続けるために、Vantaを活用して運用を継続・アップデートしていきます。

5
CoeFont
CoeFontPublication

AI音声プラットフォーム「CoeFont(コエフォント)」の公式テックブログです。

Discussion