理系学生日記

おまえはいつまで学生気分なのか

ISMSを示すときのISO 27001とSOC 2

他企業様のサービスを利用する場合、ISMS認証を求められることが多いです。 ISMSはInformation Security Management Systemの略であり、 wikipedia:情報セキュリティマネジメントシステムによると以下のように述べられています。

ISMSの目標は、リスクマネジメントプロセスを適用することによって、情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与えることにある。

このISMS認証として具体的に何を取得していれば良いのかという点で、いつも迷ってしまうので、ここにまとめておきます。

ISO/IEC 27001:2013

まず正面案としては、ISO/IEC 27001:2013です。ISO 27001と呼ばれることはありますが、それはISO/IEC 27001:2013の略と認識しています。 ISO/IEC 27001はISMSに関する国際規格であり、その目的は、ISMSを構築するベストプラクティスを示すことです。 、これを取得している企業サービスの場合、ISMSの認証取得という文脈で文句を言われることはないでしょう。

SOC 2

もう1つ、ISMS認証を要求されるケースで探すのがSOC 2です。

ISO 27001とSOC 2はほぼ同じスコープを対象としており、96%の推奨が同じという報告があります。

When Tugboat Logic mapped these two certification frameworks to over 150 security controls, it proved they share 96% of the same security controls.

ISO27001 vs SOC 2 Certification: Six Similarities & Differences

特にSaaSを対象としてSOC 2とISO/IEC 27001の有無を確認するときは、SOC 2をみる機会の方が多いです。 これはSOC 2が北アメリカを中心として普及していることと、SOC 2認証取得の安さと早さ、スコープの小ささ(後述)が理由のようです。

While pricing varies widely across the industry and depending on the scope of your certification project, ISO27001 typically costs 50%-60% more than SOC 2.

(snip)

Traditionally, ISO27001 requires about 50%-60% more time to complete than SOC 2.

ISO27001 vs SOC 2 Certification: Six Similarities & Differences

ISO/IEC 27001:2013とSOC 2の違い

まず認証範囲が違います。

SOC 2は「セキュリティ管理が実施されている」ことを証明する一方で、 ISO 27001はそれに加えセキュリティ管理を「継続的に管理するためのISMSがあること」を求めています。 このため、ISO 27001の認証取得には、SOC 2取得で必要な事柄以外に、ISMSが存在することを証明するドキュメントが必要になります。 純粋にISMSがあるか否かを問われると、ISO 27001が正面案になるというのはこのためです。

したがって、「ISMSを証明せよ」に対してSOC 2認証で回答するのは実質的には筋悪です。 ただし、SOC 2とISO 27001が類似しているという事実と、それが継続的に認証され続けていることを以て担保されていますという回答方法は (個人的には)許容範囲かなと考えています。

Tugboat Logic, if you do the SOC 2 certification first, we have already done the work for you to map controls to policies so you essentially get an ISMS for free when you implement the control in the first place.

ISO27001 vs SOC 2 Certification: Six Similarities & Differences

また、2019年にはSOC 2とISO 27001の内容はより近づいたという報告もあります。

参考文献