🔒

SOC2ゆるミートアップ参加レポート

に公開
Security
ベンチャー
スタートアップ
コンプライアンス
soc2
idea

はじめに

今回は「SOC2ゆるミートアップ - SOC2取得済み企業LT会 -」に参加してきたので簡単なレポートを作成します。

本イベントでは、SOC2取得に向けて動いている方や、取得検討中の方(+私のようなSOC初心者の方w)を対象としたイベントでした。

SOC2取得に向けて「何から始める?」だとか「どのように進める?」といった疑問を持つ方に対して、SOC2取得済み企業の方々がLT形式で経験談を共有してくれる内容でした。

もちろん、「SOCって、、?」な私にとっても学びの多い内容でした。

イベント概要

  • イベント名: SOC2ゆるミートアップ - SOC2取得済み企業LT会 -
  • URL: connpassイベントページ
  • 開催日時: 2025年10月1日(水)19:00〜21:00
  • 会場: 株式会社primeNumberオフィス(目黒)
  • 主催: Security Compliance Lounge
  • 参加者: 約40名
  • ハッシュタグ: #soc2yuru

LT

会場スポンサーLT

登壇者: 鈴木健太 さん(@kekekenta
所属: 株式会社primeNumber

https://x.com/gringriffin/status/1973331056633037166

https://x.com/gringriffin/status/1973329841794716099

https://x.com/tk3fftk/status/1973329689138831661

自己紹介で共有いただいた、2人の「鈴木健太」さんがポッドキャストで対談する話が出てきて、それ以降の話が全く記憶にございません。w
note記事で二人の掛け合いがテキスト化されたときの見づらさにニヤニヤしてたら、LT終わってました。スミマセン!
noteのスクショ

、、とりあえずprimeNumberさんのオフィスがめちゃキレイで感動しました!

LT-1. Findy Team+のSOC2取得までの道のり

登壇者: Adachi.Ryo さん(@adachin0817
所属: ファインディ株式会社
資料: Findy Team+のSOC2取得までの道のり

https://x.com/gringriffin/status/1973331511341621369

https://x.com/gringriffin/status/1973332081859240240

メモ

  • サービスの性質上、顧客から高いセキュリティ要件を求められる
    • グローバル展開もある
  • SOC2を取得してないと商談に至らないケース
  • SOC2はセキュリティではなく、運用(?)
  • SOCとは?、から解説してくれるのはありがたかった
  • Drataというツールを利用
  • Findyにおけるセキュリティ基盤
    • Shisho Cloud
    • Amazon Security Lake
  • 企業の信頼性につながる
    • 営業、CSが安心してセキュリティを説明できる
  • まとめ
    • 割とスムーズに取得できた
    • 仕組み化につながる(通常業務のセキュリティ運用もスムーズになった)
    • 再現性のあるセキュリティ基盤の構築

LT-2. SOC2取得の全体像

登壇者: T.Yamahara さん(@shonansurvivors
所属: 株式会社スマートラウンド
資料: SOC2取得の全体像

https://x.com/gringriffin/status/1973334510168428841

https://x.com/gringriffin/status/1973335492101022173

https://x.com/gringriffin/status/1973337473951605085

メモ

  • SOC2概要
    • 登場人物たちの関係性がわかりやすい
  • 全体像の理解
    • 各領域(担当者)ごとに対応項目が存在する
    • 情シス/コーポレートIT、エンジニア、人事/労務
  • ポリシー作成と合意
    • ポリシー:社内規定
      • 多岐にわたる(アクセス管理から災害復旧計画まで)
    • テンプレートはあくまでベース
    • 会社のカルチャーに合わせて極力カスタマイズ
    • 定期的な見直し、改善が必要
    • 関係者を巻き込むことで、実態とあわないポリシーを作成しない
  • セキュリティ実装:ざっくり2つ
    • インフラ領域
      • クラウドプロバイダのベストプラクティスに従う
    • ソフトウェア開発のライフサイクル領域
      • 開発ルールの運用、証跡残す
  • アカウントの管理
    • 退職時の削除
    • 定期的な棚卸し
    • やることを文書化
    • 漏れなく実施して、証跡を残す

LT-3. 継続的セキュリティ&ガバナンス強化とSOC2タスクの自動化

登壇者: Umisora さん(@umisora__
所属: マネーフォワードi株式会社

https://x.com/gringriffin/status/1973338497168912405

https://x.com/gringriffin/status/1973342013039976904

メモ

  • なぜSOC2を取得するのか?
    • 商談に便利(特に海外では、初年度で取るぐらいの感覚)
    • ベースライン、ガバナンスの統制を効かせることができる
    • 組織のマネジメントアプローチのひとつ
    • セルフアセスメント:自分たちの弱みを把握
      • 何をやるべきか、意思決定に役立つ
      • ツール選定したら、チェックリストがある
      • フレームワークには先人の知恵が詰まっている
  • SOC2取得&維持の自動化
    • Drata Agent
    • リアルタイムモニタリング
    • タスク期限管理
  • Admina
    • SaaS・アカウント管理
    • APIで全Saasアカウントと特権IDの情報を取得
    • GitHub Actions を利用して管理・処理を自動化

おわりに

恥ずかしながら、私は人生のなかで「SOC2とりたい」なんて一度も考えたことなかったのですがw、どうやら美味しい(役に立つ)ものだということは理解できました。

少なくともSOC2を取得してる企業では、ガバナンスの統制を効かせる仕組みや、企業のマネジメント体制が存在するということがわかり、これまでとはまた違った側面から「企業」を見ることができるようになったと感じました。

宮崎駿さんの言葉で「世の中の大事なことはたいてい面倒くさい」というものがあるように、やらなきゃいけないが(面倒くさくて)やれてない状況って多いと思います。

それを「ちゃんとやる仕組み・体制」を整えることがSOC2取得につながるのかな、という漠然とした仮説は、あながち間違っていなかったように思います。

今回のイベントは、正直私には未知の領域過ぎて「参加して大丈夫かしら」と思う部分もありましたが、楽しめたので参加して大正解でした。

運営の皆さん、素晴らしい企画をありがとうございました!
交流会でお話させていただいた皆さまもありがとうございました!

p.s. 会場提供していただいたprimeNumberさんが「Corporate SRE」というチーム立ち上げの話をされていたのが地味に気になったので、要チェック。

それでは、最後まで読んでいただきありがとうございました。

Discussion