Threat Stack の SOC 2 プロセスの進化を詳しく見る

1年目: 基盤の構築

1 年目 (2017 年) に SOC 2 を選択したのは、当社がお客様の SOC 2 コンプライアンスを支援するセキュリティ企業であり、自ら試験を完了することで模範を示すことが重要であると考えているためです。 タイプ 2 は、より厳格なプロセスと継続的な遵守の証明を示しているため、タイプ 1 よりもタイプ 2 を選択しました。 Threat Stack の CSO である Sam Bisbee 氏は次のように述べています。 「タイプ2を選択することで、社内でそのポリシーに従って運営することで『継続的なコンプライアンス』という自社の主張を守れるという、より強いシグナルを市場に向けて発信することができました。」

タイプ 2 SOC 2 の取得を決意した後、私たちは検査までの期間を利用して、コントロール、プロセス、ガバナンスの強固な基盤を構築しました。 具体的には、インフラストラクチャを強化し、製品開発のあらゆる段階でセキュリティを確立するための新しいポリシーとテクノロジーを導入しました。 さらに、この機会を利用して、セキュリティ チームを DevOps プラクティスにさらに適切に統合しました。 最後に、自動化されたプロセスに SOC 2 の期待を組み込むツールを作成し、必要なチェックが最後に障害として追加されるのではなく、開発プロセスに組み込まれるようにしました。 

結果： 例外なく試験に合格したことで、Threat Stack Cloud Security Platform®、それを支える人々、および導入されているプロセスが、厳しいコンプライアンス基準を継続的に遵守できると信頼できることが実証されました。 

2年目: 専用の GRC 機能の確立とプロセスの最適化 

1 年目は大きな成功を収めましたが、今後はさらに厳格かつ効率的な方法で、同じかそれ以上の結果を達成できることが明らかになりました。 それを念頭に置いて、私たちは2年目に次のことを行いました。

• エンジニアリング、運用、プラットフォーム セキュリティの各チームを活用して、セキュリティ チーム内に専用のガバナンス、リスク、コンプライアンス (GRC) 機能を構築し、監査をサポートするための分散型の全社的アプローチを作成します。
• 正式なオンサイト SOC 2 評価の前に厳格な内部監査を設計および実行し、制御、ポリシー、プロセスのエンドツーエンドの有効性を評価および改善し、精度と効率性を高めるために構築または活用できるツールを決定します。 

見返りは大きかった。 当社はガバナンスと基盤を強化しただけでなく、正式な審査の前に社内プロセスの改善も継続しました。 弊社の内部検査は完了までに約 1 か月かかりましたが、公式検査では監査人が現場に 3 日間立ち会うだけで済みました。 (内部監査によって、監査人が必要とする証拠を迅速に特定して引き出す準備が整っていたため、監査人が現場にいる必要のある時間が実際に短縮されました。)

結果： 合理化されたプロセス、短縮された現地訪問、そして例外のない検査の成功！

3年目: 範囲の拡大と新しいコントロールの導入

3年目は面白くもあり、挑戦的でもありました。 2 回の試験に例外なく合格すれば、3 回目の試験も簡単に合格できると思われるかもしれません。 しかし、サイバーセキュリティ業界全般の特徴である絶え間ない変化、そしてThreat Stackで私たちが経験した変化と成長を考えると、これは決して当てはまりませんでした。 範囲の変更と新しい管理の導入によってもたらされる課題に対処するために、私たちは次の 3 つの領域に重点的に取り組みました。

• 既存の監視と制御の検証: 当社は最初の 2 年間でポリシー、手順、管理の強固な基盤を構築し、強化してきましたが、それだけでは継続的なコンプライアンスが保証されるわけではありません (そのため、毎年の再検査が必要です)。 これを予測して、当社では既存のプロセスの有効性を検証し、検査官に対してコンプライアンスを簡単に実証できるような内部チェックと監査を組み込んでいることを確認しました。 つまり、私たちは検査前にシステムをテストできる積極的なアプローチを採用し、エンドツーエンドの有効性とコンプライアンスを確保しました。 これらのプロセスを標準操作に統合することで、継続的なコンプライアンスの維持が、時間のかかる最終的な追加作業ではなく、作業の促進要因となることを保証できました。
• ガバナンスの範囲を拡大して新しい機能を追加します: 組織内の機能の範囲が変わるたびに、新しい機能が組織の残りの部分を管理する同じポリシーと手順に従っていることを確認することが重要です。 私たちの場合、Threat Stack は 2019 年半ばに、Threat Stack Cloud Security Platform の不可欠な部分として、新しい統合applicationセキュリティ監視ソリューションを導入しました。 したがって、これが適切に監視および制御されていることを確認し、これを審査官に実証し、その実証を裏付ける適切な証拠を提供できることが不可欠でした。 そのため、当社では、applicationセキュリティ機能を SOC 2 ガバナンス活動の範囲内に積極的に組み込み、アプリケーション セキュリティを担当するチームが、変更管理プロセスを含むすべてのポリシーと手順に対応できるようにしました。
• 追加の管理への準拠の証拠の提供: 2019 年の検査の一環として、いくつかの追加管理への準拠の証拠を提供する必要があると通知されました。 その中で重要なのは、「ベンダーやビジネス パートナーに関連するリスクを評価および管理する」能力でした。
  
  組織は資格のあるベンダーにアウトソーシングするケースが増えています。 もちろん、これらのベンダーに対する責任はアウトソーシングされません。 責任は組織内に残り、ベンダーをベンダー管理プログラムに含め、会社全体で使用しているのと同じポリシー、手順、および制御でベンダーを管理することが重要です。 繰り返しになりますが、Threat Stack はサードパーティ ベンダー管理に対して積極的なアプローチを採用していたため、適切なベンダー管理ポリシーがすでに導入されていることを実証することができました。 基本的に、当社の GRC システムにより、このような事態を予測し、ベンダー管理の要件を考慮に入れることができました。

柔軟性を維持しながら SOC 2 コンプライアンスを管理するための強固なフレームワークを構築することで、Threat Stack は業務の性質と範囲の変化に積極的に適応し、継続的なコンプライアンスを確実に実現できるようになりました。 当社は、基盤の検証と変化への適応を継続しながら、運用ポリシーと手順を最適化しながら、セキュリティ体制を継続的に強化しています。 そのため、コンプライアンスは、Threat Stack Cloud Security Platform やお客様と共有する学習を通じてお客様に価値を伝えながら、社内で利益を得ることができる、純粋なビジネス強化および促進要因となっています。

Threat Stack は、独自のタイプ 2 SOC 2 検査に加えて、クラウド セキュリティ プラットフォームを通じて、フル スタックのクラウド セキュリティの観測可能性、継続的な監視、アラート、調査、クラウド インフラストラクチャの検証を実現し、顧客のクラウド コンプライアンス管理を簡素化します。