公開:2025年1月22日
18分で読めます
GitLabでSOC2セキュリティ要件に対応するためのガイド
SOC2セキュリティ要件に対応する、GitLab DevSecOpsプラットフォームのアプリケーションセキュリティ機能について解説します。
機密性の高い顧客情報を扱う企業にとって、SOC(システムおよび組織管理)2コンプライアンスの達成は単なる推奨事項ではなく、多くの場合、必要不可欠です。SOC2は、米国公認会計士協会(AICPA)が策定した厳格な監査基準であり、サービス組織のセキュリティ、可用性、処理の完全性、機密性、プライバシーに関する管理体制を評価します。 SOC2は法的義務ではありませんが、ニュースで頻繁に報じられる情報漏洩事件の影響もあり、重要性が高まっています。SOC2コンプライアンスを達成することで、顧客データを適切に保管し、第三者によるセキュリティ管理の評価を受けていることが伝わり、顧客からの信頼を得られます。 本ガイドでは、SOC2コンプライアンスの要件を解説し、GitLabがどのように組織のアプリケーションセキュリティの最高水準の達成に役立つかをご紹介します。
SOC 2で定められている要件
SOC2コンプライアンスを達成するには、独立した監査担当者による監査が必要となります。監査では、組織の管理体制の設計および運用の有効性を評価します。監査プロセスは非常にコストがかかることが多く、多くの組織は監査前の準備を十分に行えていないのが現状です。通常、SOC2監査は約1年を要するため、効率的な事前監査プロセスを確立することが重要です。 SOC2コンプライアンスを達成するには、組織は以下のトラストサービス規準に基づく要件を満たす必要があります。
| 規準 | 要件 |
|---|---|
| セキュリティ | - 不正アクセスを防ぐための管理策を実施 - リスクの特定と軽減のための手順を確立 - セキュリティインシデントを検知および対応するためのシステムを構築 |
| 可用性 | - 合意されたとおりにシステムの稼働を保証 - 現在の使用状況と容量をモニタリング - システム可用性に影響を与えうる環境リスクを特定・対処 |
| 処理の完全性 | - システムの入力・出力の正確な記録を維持 - システムエラーを迅速に特定し修正する手順を実施 - 製品・サービスが仕様を満たすよう処理作業を定義 |
| 機密性 | - 機密情報を特定し保護 - データ保持期間のポリシーを策定 - 保持期間終了後、機密データを安全に破棄する方法を確保 |
| プライバシー | - 機密個人情報を収集する前に同意を取得 - プライバシーポリシーを明確かつわかりやすく伝達 - 法的手段を通じて信頼できる情報源からのみデータを収集 |
ご意見をお寄せください
このブログ記事を楽しんでいただけましたか?ご質問やフィードバックがあればお知らせください。GitLabコミュニティフォーラムで新しいトピックを作成してあなたの声を届けましょう。
フィードバックを共有する