サイバーセキュリティとは
サイバーセキュリティとは、デジタル攻撃、不正アクセス、損害から、システム、ネットワーク、データを保護する手法です。これには、ネットワーク、アプリケーション、業務セキュリティの各分野において、情報の完全性、機密性、可用性を保護するための技術、プロセス、管理の実行が含まれます。マルウェア、ランサムウェア、フィッシング、サービス妨害攻撃などのサイバー脅威から防御することが目標です。これらのサイバー脅威は、業務の中断、機密データの盗用、組織への重大な損害を与える可能性があります。
フォーブスのアドバイザーによると、「それまでの過去最高記録を保持していた2021年以降、2023年にはデータ漏えいが72%増加しました」
サイバーセキュリティ監査が必要な理由
サイバーセキュリティの向上には、定期的な監査と脆弱性評価の実施が必要です。これらの監査により、組織は、弱点を特定し、コンプライアンスを確保し、潜在的な脅威に対する強固な防御を維持することができます。
- リスクの特定と軽減:サイバーセキュリティ監査では、セキュリティ対策の有効性を評価し、潜在的な脆弱性を特定し、リスクを軽減するための改善を推奨します。
- コンプライアンスの確保:多くの業界は、特定のサイバーセキュリティ対策を必要とする規制の対象となっています。監査は、ISO 27001のような広く認知された基準への準拠を確認し、潜在的な罰金や法的効果影響を回避するのに役立ちます。
- 評判と信頼の保護:侵害は、組織の評判と顧客の信頼を損なう可能性があります。定期的な監査により、強固なセキュリティ態勢を維持し、サイバーセキュリティを真剣に受け止めていることをクライアントやパートナーに示します。
- インシデント対応の改善:監査では、インシデント対応計画と手順を確認し、組織がセキュリティ侵害に迅速かつ効果的に対応できていることを確認します。
- 想定外のコストの防止:監査を通じてセキュリティギャップを事前に特定して対処することで、コストのかかる侵害や、それに伴う復旧、法的な費用、罰金を防止できます。
-
$488万
データ漏洩による世界の平均コスト(IBMレポート、2024年)
-
2,365
2023年に確認されたサイバー攻撃(Identity Theft Resource Center、2023年)
SOC 2とは
Service and Organization Controls 2(SOC 2)は、米国公認会計士協会(AICPA)がデータセキュリティを管理するために設計したフレームワークです。具体的には、顧客データを取り扱っている組織を対象として、そのデータを取り扱う際に一定の基準を満たしているか確認しています。SOC 2は、次の5つの信頼サービス基準(TSC)を中心に構成されています:
- セキュリティ:システムが不正アクセスから保護されることを保証します。
- 機密性:機密として指定されたデータが保護されていることを保証します。
- 可用性:システムが確実に稼働して使用可能であることを保証します。
- プライバシー:個人情報が適切に収集、使用、保持、開示されることを保証します。
- 処理の完全性:システムがデータを正確、完全、タイムリーに処理することを保証します。
SOC 2への準拠は、第三者監査によって検証され、TSCにおける組織の統制の有効性を評価します。SOC 2レポートは、サービス組織がデータセキュリティ基準に準拠していることを実証するためにとても大切です。
ISO 27001とは
ISO 27001(ISO/IEC 27001:2022)は、国際標準化機構(ISO)と国際電気標準会議(IEC)が策定した情報セキュリティマネジメントシステム(ISMS)の国際規格です。ISMSの開発、実施、維持、改善のための体系的なガイダンスを示します。
- リスク評価:情報セキュリティに対するリスクを特定し、それらを管理または軽減する方法を決定します。
- セキュリティ管理:特定されたリスクに対処するための管理を実施します。
- 継続的改善:ISMSを定期的に見直し、更新し、進化するセキュリティの脅威に対処します。
ISO 27001の認証は、認定された認証機関による監査に合格した後に取得されます。ISO 27001を取得することで、組織が情報セキュリティの管理に真剣に取り組んでいることを利害関係者や顧客に示すことができます。
SOC 2とISO 27001の類似点
- 目的:両フレームワークは、組織内の情報セキュリティを強化し、顧客、パートナー、利害関係者に対し、データが安全に処理されていることを保証することを目的としています。
- 監査要件:SOC 2とISO 27001の両方で、コンプライアンスを検証するために独立した第三者による外部監査が要求されています。
- リスク管理:どちらの基準も、情報セキュリティに関連するリスクの特定と軽減を含むリスク管理の重要性を強調しています。
SOC 2とISO 27001の相違点
- 範囲と焦点:SOC 2は、顧客データを取り扱うサービス組織に焦点を当て、それらのサービスにおけるデータセキュリティ、機密性、プライバシーを重視します。対照的に、ISO 27001は、より包括的であり、規模や業界に関係なく、あらゆる組織に適用されます。事業継続性、法令遵守、リスク管理など、より広範な情報セキュリティ管理を対象としています。
- 証明または認証:ISO 27001は、認定機関による認証により、組織は、公に表示できます。SOC 2は、CPA(公認会計士)が提供する認証レポートを作成し、通常は特定の顧客またや利害関係者と共有します。
- 世界的または米国中心:ISO 27001は、国際的で世界的に認められた基準ですが、SOC 2は、米国、特にサービスとしてのソフトウェア(SaaS)やその他のサービスプロバイダーの文脈で一般的に認められています。
つまり、SOC 2とISO 27001は、強固な情報セキュリティを確保することを目的としていますが、SOC 2は、データ処理に重点を置いて米国のサービスプロバイダー部門に焦点を当てているのに対し、ISO 27001は、より広範な適用と包括的なISMSに焦点を当てた国際規格です。
ALTURE®️は、どのように監査され、認定されたか
統制環境は、組織内のセキュリティ対策の有効性に影響を与えます。これを評価するために、独立した第三者監査人がALTURE®️の制御システムの設計と実施を調査してテストしました。第三者監査人は、アトラスコプコのセキュリティ担当スタッフに相談し、作業を観察し、管理を改善するための経営陣の取り組みを調査しました。これらの洞察に基づいて、データのセキュリティの原則に重点を置いてテストが行われました。
ISO 27001とSOC 2(Type IとType IIの両方)の枠組みと基準は、アトラスコプコをより良い実践へと導きました。リスクと脅威を特定することで、よりうまく予測し、それらが発生しないように予防的な行動をとることができます。明確な文書化と明確に定義された制御システムにより、すべての利害関係者がベストプラクティスに従うことを確認します。監査要件を満たすことで、ALTURE®️は、最高水準のサイバーセキュリティで生産を最適化し、重要なデータを十分に保護します。
関連文書
- Certificate of Registration ISO27001 254.1 kB, PDF
SOC 2 Type IおよびType II監査レポートについては、アトラスコプコの担当者までお問い合わせください。
よくあるご質問(FAQ)
ALTURE®️の独立した第三者監査を実施したのは誰か
- ALTURE®️の独立監査人は、KPMG AB社とKPMG IT Certification Ltd.社です。
SOC 2 Type IとSOC Type IIのレポートの違い
- SOC Type Iは、サービス組織の制御システムと、特定の時点における準拠プロセスの実装の概要を示します。
- SOC Type IIは、設計、業務の有効性、適合性を長期間(通常は約6~12ヵ月)にわたって評価します。
