MarkLogic は、MarkLogic クラウドサービスにおいて SOC 2 Type II 監査を完了し、MarkLogic® データハブサービスが SOC 2 Type II の5原則(セキュリティ、可用性、処理の整合性、機密性、プライバシー)すべてに準拠していることを証明する報告書を第三者監査機関より受領しました。
エンタープライズデータを管理するための安全でセキュアなプラットフォームを提供することは、複雑化するデータ統合をシンプルにするという、MarkLogic のビジョンにとって非常に重要です。MarkLogic はきめ細かなセキュリティと高度な暗号化機能を備えた非常にセキュアな最先端のデータベースであり、コモンクライテリアセキュリティ認証に対応した唯一の最先端のデータベースです。SOC 2 Type II 報告書では、MarkLogic の継続的かつ「セキュリティ最優先」のポリシーが、特にクラウドサービスと金融サービスのユースケースに適用されていることが報告されています。
SOC 2 Type II の概要
SOCとは「Service Organization Controls」の略です。SOC II はコンプライアンスと運用に関する組織の内部統制に重点を置いたもので、次の5原則を軸としています。
- セキュリティ – システムが物理的および論理的な不正アクセスから保護されている。
- 可用性 – コミットまたは合意したとおりにシステムを運用および使用できる。
- プロセスの整合性 – システム処理は完全、正確、タイムリーであり、承認されている。
- 機密性 – 機密として指定された情報が、コミットまたは合意したとおりに保護されている。
- プライバシー – 個人情報が所定のガイドラインに基づいて収集、使用、保持、開示、廃棄されている。
最終結果をまとめた報告書により、組織は、(ほぼすべてのクラウドテクノロジーベンダを含む)サービスプロバイダのセキュリティを評価することができます。監査報告書の要件は、米国公認会計士協会(AICPA)により管理されています。
セキュリティ制御の例
サイバーセキュリティにおける「セキュリティ制御」の定義は比較的広く、情報と実際の物理的ハードウェアに対するセキュリティ上のリスクを防止、検出、解消、軽減するための安全対策と防止策を意味します。
SOC II のコンテキストと監査においては、一般的に(認可や認証を受けた)適切な人のみが情報資産(データやコード)にアクセスできるようにすることを意味します。つまりセキュアなシステムを設計するだけでなく、適切なポリシーと手順を用意し、それを順守する必要があります。
SOC 2 Type I と Type II の違い
SOC 2 レポートには Type I とType II の2種類があります。いずれも第三者監査機関により作成されたもので、同様のセキュリティ分野を網羅していますが、Type II のレポートの方が新しく、要件が厳格です。主な違いは、Type I の対象が特定の時点におけるセキュリティ制御であるのに対し、Type IIは長期間(6か月以上)にわたる制御の運用上の有効性を評価し、制御が予定通りに機能しているかどうかを特定するという点です。
SOC 2 Type II が重要である理由
セキュリティ違反の数、結果の深刻度、コストの増大に伴い、あらゆるレベルでセキュリティの重要性が高まっています。そうした中、組織は(特にクラウド分野において)新しいITシステムの導入と維持を積極的に進めていますが、コンサルティング会社マッキンゼーは同社の記事で、「パブリッククラウドにはメリットがあるが、サイバーセキュリティに対する恒常的な懸念が、企業のクラウドへの業務移行を阻害する要因になっている」と述べています。
SOC 2 Type II により、MarkLogic のクラウドサービスは第三者監査機関の検証を受け、MarkLogic はミッションクリティカルデータの処理において信頼できるクラウドプロバイダであると評価されました。MarkLogic のクラウドは、サイバーセキュリティの心配をせずにクラウドへの移行を積極的に進めることができます。
報告書の利用について
SOC 2 Type II レポートは非公開ですが、MarkLogic と機密保持契約をご締結いただければご提供いたします。報告書のコピーをご希望の場合は、MarkLogic にお問い合わせください。当社のセキュリティ担当者がご連絡いたします。