BitwardenでSOC 2のパスワード要件に準拠

他の組織にサービスを提供し、情報セキュリティ体制の強化を目指す企業は、多くの場合、Service Organization Control 2（SOC 2）監査を受けています。近年は、SOC 2のパスワード要件を満たすことへの注目が高まっています。SOC 2認証プロセスでは、機密データが常に保護され、安全に保たれるよう、適切なシステムアクセス制御を実証することが求められます。SOC 2レポートは、アウトソーシングされたソリューションプロバイダーの顧客やビジネスパートナーから求められることが多く、SOC 2準拠の重要性を示しています。SOC 2準拠を目指す多くの企業は、SOC 2に準拠したパスワードマネージャーなどのソリューションを活用して、要件への対応に役立てています。

他のセキュリティ標準への準拠を達成する方法についてのガイドは、リソースセンターをご覧ください。

SOC 2レポートはサービス組織に関連し、セキュリティやプライバシーなどの側面に関する統制を対象としています。米国公認会計士協会（AICPA）は、Service Organization Control（SOC 2）レポートを導入しました。これは、金融機関、医療提供者、クラウドサービスプロバイダー、SaaSプロバイダーなどのサービス企業と、それらが「ユーザーのデータを処理するシステムのセキュリティ、可用性、処理のインテグリティ、およびこれらのシステムによって処理される情報の機密性とプライバシーに関連する」強固な統制を維持する能力を評価するためのものです。

SOC 2には2種類のレポートがあります。

• タイプ1：企業のシステム記述書と、その統制設計の適合性に関するレポート。

• タイプ2：企業のシステム記述書と、その統制設計の適合性および運用上の有効性に関するレポート。

SOC 2監査では、セキュリティフレームワークへの準拠を確認するため、サービス組織の統制が評価されます。どちらのSOC 2レポートタイプも企業がデータを処理する方法を詳述しますが、SOC 2タイプ2では、認証情報管理を含む、導入済みのデータセキュリティ統制についてより詳しく説明します。どちらのレポートタイプも、特定の主体（顧客や監査人など）に限定して提供されます。ただし、企業はSOC 2レポートに含まれるデータセキュリティ基準の一部を要約した、一般公開可能なSOC 3レポートを作成することもできます。

SOC 2認証を取得しようとする企業は、認定されたAICPA代表者による監査に合格する必要があります。5つのトラストサービス基準は、SOC 2コンプライアンスフレームワークの基本要素を構成するもので、セキュリティ、可用性、処理のインテグリティ、機密性、プライバシーが含まれます。2017年に初めて策定され、2022年末に「絶えず変化するテクノロジー、脅威、脆弱性の環境、プライバシーに関する法的・規制要件の変化とそれに関連する文化的期待」を反映し、「特に機密性に関連する場合のデータ管理に対処する」ために最終更新された基準は、次のとおりです。

• セキュリティ - 情報およびシステムは、不正アクセス、情報の不正開示、およびシステムへの損害から保護されます。これらは、情報またはシステムの可用性、データインテグリティ、機密性、プライバシーを損ない、事業体が目的を達成する能力に影響を与える可能性があります。

• 可用性 - 情報およびシステムは、事業体の目的を達成するために運用可能であり、使用されます。

• 処理のインテグリティ - システム処理は、事業体の目的を達成するために、完全、有効、正確、適時であり、承認されています。

• 機密性 - 機密として指定された情報は、事業体の目的を達成するために保護されます。

• プライバシー - 個人情報は、事業体の目的を達成するために収集、使用、保持、開示、廃棄されます。

内部統制は、監査中にトラストサービス基準への準拠を確保するうえで重要な役割を果たします。

企業は、自社に適用される原則にのみ準拠する必要があります。たとえば、可用性の原則は通常、コロケーション、データセンター、SaaSベースのサービス、またはホスティングサービスを顧客に提供する企業に適用されます。

セキュリティの原則は、SOC 2準拠を目指すほとんどの企業に適用され、顧客データの保護に重点を置いています。セキュリティの原則の要件の大半は、トラストサービス基準のCC6に記載されており、SOC 2のパスワード要件についても詳述されています。以下のセクションでは、パスワードマネージャーが多くの主要要件をどのようにサポートできるかを示します。

SOC 2の統制は、データ侵害の軽減と機密情報の保護において重要です。

顧客データを保護するためのインフラストラクチャ認証情報管理

「事業体は、事業体の目的を達成するため、保護対象の情報資産をセキュリティイベントから保護する論理アクセスセキュリティソフトウェア、インフラストラクチャ、およびアーキテクチャを実装する。」- CC6.1（34～35ページ）

企業は、不要または不要になったアクセス権の削除を含め、インフラストラクチャおよびソフトウェアの認証情報をどのように管理しているかを示す必要があります。パスワードマネージャーを使用すれば、管理者はアクセスを簡単に自動化し、役割を割り当て、ユーザーのシステム認証情報へのアクセスを読み取り専用に制限できます。きめ細かなアクセス制御により、管理者は認証情報を非表示にして、パスワード、TOTPシード、またはカスタムフィールドのコピーを防ぐことができます。

SOC 2監査では、認定CPAが組織の統制の設計と運用の有効性を評価し、機密データ保護に必要な基準に適合していることを確認します。

企業はデータを暗号化し、常に暗号化キーを保護する必要があります。100% エンドツーエンドのゼロ知識暗号化パスワードマネージャーをAES 256ビット暗号化で使用することで、企業は認証情報や、財務文書など従業員間で共有される可能性のある機密情報を保護できます。さらに、PBKDF2 SHA-256は、キーの取得をマスターパスワードでログインするユーザーのみに制限することで、暗号化キーの保護を強化します。

オンボーディングと引き継ぎ

「事業体は、システム認証情報の発行およびシステムアクセスの付与に先立ち、アクセスが事業体によって管理される新規の内部および外部ユーザーを登録し、承認する。アクセスが事業体によって管理されるユーザーについては、ユーザーアクセスが承認されなくなった時点でユーザーのシステム認証情報を削除する。」- CC6.2（36ページ）

企業は、アクセスレベルを含め、新規ユーザーをどのように登録し認証するかを示す必要があります。パスワードマネージャーを使用すれば、管理者はディレクトリサービス（LDAP）と連携して、ユーザーのオンボーディングと引き継ぎを効率化できます。社内LDAPのユーザーとグループはパスワードマネージャーの組織と同期され、同じ構造が複製されます。さらに、LDAPに新しいユーザーが追加されると、そのユーザーはパスワードマネージャーにも作成されます。逆に、LDAPからプロビジョニング解除されると削除されます。

企業は保護対象資産へのアクセスを承認する必要があります。シングルサインオンに対応したパスワードマネージャーを使用すれば、既存のIDプロバイダーでパスワードマネージャーユーザーの認証を提供できます。管理者は、認証情報にアクセスする際にシングルサインオン方式でのログインをユーザーに求めるパスワードポリシーを設定できます。

きめ細かなアクセス制御

「事業体は、事業体の目的を達成するため、最小権限および職務分掌の概念を考慮し、役割、責任、またはシステム設計と変更に基づいて、データ、ソフトウェア、機能、およびその他の保護対象の情報資産へのアクセスを承認、変更、または削除する。」- CC6.3（36ページ）

企業は、役割ベースのアクセス制御（RBAC）を示す必要があります。パスワードマネージャーを使用すれば、管理者はユーザータイプを設定し、カスタムの役割を作成して、パスワードマネージャーの各コンポーネントに対するきめ細かな制御とユーザー権限を割り当てることができます。役割ベースのアクセス制御は、ユーザーを管理できる人、イベントログにアクセスできる人、データをインポート／エクスポートできる人などの機能に対して設定できます。

Bitwardenのようなパスワードマネージャーを導入することで、サービスプロバイダーが顧客データの保護とSOC 2監査に取り組んでいることを示せます。Bitwardenはエンタープライズグレードのセキュリティを提供し、定期的なサードパーティーセキュリティ監査を実施し、SOC 2を含む主要なプライバシーおよびセキュリティ基準に準拠しています。

Bitwardenは、データ保護のための効果的な統制が整備されていることを確保することで、サービス組織がSOC 2コンプライアンス要件を満たすことを支援します。

すべての機能を利用できるEnterprise無料トライアルをぜひ活用して、BitwardenがサービスプロバイダーのSOC 2セキュリティ監査への準備とSOC 2パスワード要件への対応にどのように役立つかをご確認ください。