SOC2とは何か、そしてメールリスト内の情報をどのように保護するのか。私たちの記事で、そのすべてを知ることができます。

SOC2コンプライアンスを理解する 

SOC2準拠のメールプロバイダーが、どのようにお客様の安全を保証するのかを説明する前に メールリストSOC2が何であるかを知る必要があります。 

SOC2規格とは何ですか？

SOC 2 (Systems and Organization Controls 2）とは、サービス組織向けのサイバーセキュリティとプライバシーの基準である。2010年に米国公認会計士協会（AICPA）が策定したもので、サービス事業者が顧客データをどのように管理、保管、保護し、セキュリティリスクやインシデントを最小化すべきかを規定したものです。

SOC2はまだ自主基準ですが、自社サービスと顧客を侵害から守るために、セキュリティ監査を申請するサービスプロバイダーが増えてきています。

例えばA-lignの研究において、 回答者のうち47% は、SOC2監査が自社のビジネスにとって最も重要な監査であると回答しています。

SOC2監査には、2つのタイプがあります：

• タイプ1の時、 独立監査人は、特定のビジネス慣行やプロセスが、関連する信託原則の要件にどの程度適合しているかを検査・分析します。
• タイプ2 は、同じプロセスを、通常6ヶ月から12ヶ月の期間にわたって検証します。

SOC2準拠のフレームワークの5つのTSC（Trust Service Criteria）とは何ですか？

SOC2のフレームワークは、5つのTSC（Trust Services Criteria：信頼できるサービス基準）で構成されています：

• セキュリティ
• アベイラビリティ
• 守秘義務について
• プロセッシング・インテグリティ
• プライバシー

セキュリティ（ともいう コモンクライテリア)は、SOC2監査を受けようとするすべての企業にとって必須である。それ以外は任意であるため、企業は自分にとって重要な監査カテゴリにのみ申請することができます。

例えば、バウンサーでは、サービスの可用性とデータの機密性を監査の対象にしました。

 それでは、トラストサービスの原理を詳しく見ていきましょう。

セキュリティ（コモンクライテリア）

セキュリティ監査は、組織全体のセキュリティとコンプライアンスのレベルを調査するものです：

• セキュリティの手順と方針
• 不正アクセスやデータの不正利用からの保護
• ユーザーアクセス設定
• セキュリティ機能（ファイアウォール、暗号化、多要素認証など）を実装。
• セキュリティ事故や違反に対する会社の手続きなど。

しかし、実際の監査要件のリストは、はるかに長いです。一般的なセキュリティ監査では、SOC2監査人は、インシデントが発生する可能性のあるすべての場所をカバーするために、80～100のセキュリティ管理を評価します。 

を見つけることができます。 セキュリティ要件の詳細なリスト をAICPAのホームページで公開しています。

 アベイラビリティ

SOC2監査の2つ目のカテゴリーは「可用性」であり、サービスの稼働時間やパフォーマンスを調査します。監査人はまた、次のことを確認する：

• 組織がどのような災害復旧対策をとっているか
• バックアップを作成する頻度
• サービスのパフォーマンスや品質をモニターするために、どのような方法を用いているか。
• セキュリティインシデントの対応プロセスを有しているかどうか

守秘義務について

機密保持監査では、SOC2監査人は、サービス組織が顧客データ（特に機密性の高いデータ）をどのように保存し、どの程度保護されているかを検査します。

秘密保持契約（NDA）で保護された情報を保管している企業や、契約終了後にデータの消去を要求する顧客がいる企業は、このカテゴリーも監査の対象に含めることが多い。

プロセッシング・インテグリティ

処理の完全性監査は、組織のシステム内部で追加・処理されるデータが信頼でき、エラーがないかをチェックする。監査人はまた、システム内部の情報がどのように処理されるか、例えば、処理中に情報のどの部分が失われたり破損したりするかについても調べる。 

また、処理されたデータが使用できるようになるまでの期間や、処理に関する問題を企業がどのように解決しているかも測定されます。 

プライバシー

このパートでは、SOC2監査人は、PII（個人を特定できる情報）がどのように使われているかを分析します。 が収集、保存され、違反や誤用から保護されます。 

プライバシーに関する基準は、機密保持に関する基準と同じように思えるかもしれませんが、1つだけ大きな違いがあります。すなわち、機密保持の要件は、企業が保管する可能性のあるあらゆる種類の機密資料に関連するのに対し、プライバシーはPII情報（生年月日や社会保障番号など）にのみ適用されます。 

SOC2準拠のメリット

組織においてこのような徹底したセキュリティ監査を実行することは、この活動に費やされる労力と時間が多いように思われるかもしれません。SOC 2 Type1レポートには通常約2ヶ月、SOC 2 Type2レポートには6ヶ月から12ヶ月を要することがあります。

しかし、SOC2認定を受けたサービスを利用することで、必要な時間や労力を補って余りあるメリットがあります。   

SOC 2監査を実施することが、長期的に企業に利益をもたらす主な理由を3つ紹介します。

強化された保護機能

SOC2監査の最大のメリットは、企業のセキュリティ保護対策の強化に役立つことです。セキュリティ監査を実施することで、セキュリティの強いところと弱いところを見つけ、セキュリティインシデントの発生リスクが高い場所をピンポイントで特定することができます。 

そして、監査で得た知識をもとに、企業における主なサイバーセキュリティの課題を解決するためのセキュリティ対策を計画し、実施することができます。 

その結果、企業は健全なデータ保護とセキュリティポリシーがあるという確信を得ることができ、セキュリティ侵害にうまく対処することができるようになるのです。  

国内外法令へのコンプライアンス向上

SOC2監査に合格すると、その要件が他の重要なセキュリティ基準と重なることが多いという利点もあります。 

そのため、最初にSOC2監査を実施することで、企業はより容易に準拠することができます：  

• 医療保険の相互運用性と説明責任に関する法律（HIPAA）および経済的および臨床的健康のための医療情報技術（HITECH）について
• 国際標準化機構（ISO）27001
• Payment Card Industry (PCI) Data Security Standards (DSS)またはその他のPCI規定。
• 欧州のGDPRやカリフォルニア州のCCPAなど、国際的なプライバシー基準。 

SOC2準拠とHIPAA準拠の両方を目指す企業のために、AICPAは、これらの方法に関するいくつかのガイドも作成しています。 の要件が重なります。 

お客様の信頼度アップ

データベース侵害の見出しを何度も目にするようになり、お客様がデータの安全性に関心を持つようになったのは当然です。 

SOC2監査バッジを表示することで、企業はサービスのセキュリティを強化し、システム内のデータを保護するための措置をすでに講じていることを顧客に安心させることができます。また、サービスプロバイダーがSOC2監査に合格していることを確認することで、顧客（特に機密資料を扱う人）は安心して所定のサービスを利用することができます。   

メール検証におけるSOC2準拠の役割について

メールリストを最大限に活用するためには、定期的に削除することが不可欠です。 無効・非活動メール ニュースレターやキャンペーンを、開封もしない人に送る必要はないでしょう。 

しかし、イントロですでに述べたように、数千人の名前がリストにある場合、手動でメールリストをクリーニングすることは、必ずしも選択肢ではありません。そこで メール検証ツール などは、リストに登録されたアドレスの確認作業をほとんど行ってくれるので、便利です。

とはいえ、リストを混乱させることのない信頼できるメール認証サービスを見つけるにはどうしたらいいのでしょうか。そして最も重要なことは、あなたのメールリストを完全に安全に保つことができるということです。 

SOC2に準拠した検証サービスを利用することが、その答えです。なぜかというと、いくつか理由があります。

機密性の高いメールデータを保護する

SOC2準拠の検証サービスプロバイダーと連携することで、メールリストやメールそのものに含まれる機密情報を適切に管理する方法を知っていることを確認することができます。 

例えば、Bouncerを経由するすべての電子メールは自動的にハッシュ化され、データベースにある顧客情報も同様に暗号化されます。 

情報漏えいのリスクを低減する

SOC2監査は、サービス・プロバイダーが業界のセキュリティ慣行を実践しているかどうか、不測の事態への対処法を知っているかどうかをチェックする。 そうすれば、（従業員のミスやサイバー攻撃による）情報漏えいのリスクを最小限に抑えることができる。これがなければ、以下のような一般的なサイバーセキュリティの脅威のリスクにさらされることになる。 クレジットカード盗難フィッシングや個人情報の盗難。 

 検証プロセスにおけるデータインテグリティの維持

リスト検証ツールを使用する場合、すぐにメールを送信できるように、確認されたメールを含むクリーンなリストを取得したいものです。しかし、アドレスの破損や欠落があるリストは絶対に避けたいもので、自分でクリーニングする必要があります。

SOC2準拠のサービスプロバイダーは、そのサービスが同様の問題に対してすでにスキャンされているため、そのようなことが起こらないことを保証することができます。ですから、このツールはあなたの時間（と神経）を浪費するのではなく、むしろ節約するものだと確信できます。

正確で一貫した検証結果を得る

また、SOC2監査が検証しているのは、サービスの信頼性や、負荷がかかった状態での動作の良し悪しです。ですから、SOC2に準拠したサービスを利用すれば、リストがどれだけ大きくても、今現在何人がサービスを利用していても、正確な結果を得ることができるのです。

データセキュリティへのコミットメントを示す

サービスプロバイダーがサイバーセキュリティに真剣に取り組んでいることを顧客に証明するのに、SOC2準拠のバッジをウェブサイトに表示する以上の方法があるでしょうか。 

監査に合格することで、サービスプロバイダーは、システム内のデータを害から守る方法を知っていると同時に、サイバー攻撃からインフラを保護するための適切なツールや手順をすべて備えていることを証明できます。

お客様の信頼と信用を高める

SOC2監査報告書を閲覧できるようにすることで、来場者から寄せられる可用性やセキュリティに関する質問に答えることができるのです。 

例えば、サービスのダウンタイムを心配したり、特定のサービスが必要な場合などです。 電子メール暗号化サービスまた、監査報告書に記載されている情報を見れば、安心してメールマガジンを利用することができます。また、サービスプロバイダーが自分たちのデータの安全を守ってくれるとわかれば、自分たちのEメールリストをプロバイダーに託す可能性も高まります。 

お客様の期待に応える

毎日多くのサイバー攻撃があり、その結果がどれほど深刻なものであるかを考えると、顧客は企業がサイバーセキュリティとデータ保護を最優先事項として扱うことを期待するようになっています。 

そのため、ビジネスサービスを探している企業の中には、ビジネスデータの安全性を確認するために、サービスプロバイダーがSOC2に準拠しているかどうかを確認してから、サービスの購入を決定するケースも増えています。 

例えば、あるレポートでは 各社の33% SOC2証明書については、お客さまが企業のデータ保護について調べる際に聞かれることが多いとのことです。 

そのように、SOC2バッジと監査報告書をウェブサイトに掲載することで、競合他社よりも優位に立つことができるのです。 

バウンサーSOC2準拠のメール検証ツール

私たちBouncerにとって、サービスを通過するデータが可能な限り安全であることを保証することは優先事項です。そこで、2023年2月以降、SOC2 Type 1に準拠することになりました（Type 2は進行中です！）。

当社のサービスは、SOC2監査人によるテストを受けています：

• データ、インフラのセキュリティ、
• サービス提供状況
• コンフィデンシャル（秘密保持）。

監査結果に基づき、いくつかのセキュリティ対策を実施した結果、要塞レベルのセキュリティがプラットフォーム内に構築されました。   

BouncerがSOC2準拠の要件に適合している理由

では、メール認証サービスの信頼性、耐障害性、安全性を高めるために、具体的にどのような工夫をしたのでしょうか。 

定期的なセキュリティ監査とアセスメント

少なくとも年に1回は、公演を行います：

• リスクアセスメント監査
• ペネトレーションテスト(第三者企業による実施)
• アクセス・コントロール・ポリシーの見直しと 組織図.

一方、四半期に一度、本番環境の脆弱性スキャンを実施しています。

バウンサーによるセキュリティ対策

また、当社内でのデータの使用・保存方法を以下のように強化しました：

• バージョン管理システムを使って、ソースコードやドキュメントなど重要な資料を管理する。 
• セキュリティ、機密性、完全性、可用性の事故や懸念を経営陣に報告するためのプロセスを、従業員と顧客の双方に概説している。 
• インシデント対応計画を作成し、対応チームに専任の従業員を配置する。  

を使うこともあります。 Drataプラットフォーム のポリシー、手順、ITインフラを監視し、従業員が業界標準を遵守していることを確認します。

暗号化

当社のプラットフォーム内のデータ（物理的なデバイスとクラウド上の両方に保存されている）は、SSL/TLS暗号化によって全体が暗号化されています。また、会社支給のノートパソコン内の情報も、Full disk encryptionにより自動的に暗号化されます。

アクセスコントロールとモニタリング

• 顧客データについては「最小権限ポリシー」を採用しており、従業員は業務に必要な顧客情報のみにアクセスできるようにしています
• バージョン管理システムにアクセスしたり、変更を追加したりするには、従業員は管理者権限を持つ必要があります
• 機密性の高いデータやアプリケーションにアクセスするためには、ユーザーID、パスワード、OTP、および/または証明書の形で二要素認証を要求しています。

これは、私たちのプラットフォームが完全に安全であることを保証するために行った作業のほんの一部に過ぎませんが。 

監査後にどのようなセキュリティ対策を行ったか（要塞レベルのセキュリティを保つためにどのようなことをしているか）については フルセキュリティレポート 当社のウェブサイトで公開されているDrataが作成した

SOC2準拠がBouncerのパフォーマンスと信頼性に与える影響について 

しかし、その苦労は十二分に報われました。SOC2監査のおかげで、私たちのサービスやインフラのセキュリティについてより深く知ることができ、メール認証サービスをより良くするための場所を見つけることができました。 

そういう意味では、監査に助けられたということですね：

• メール認証サービスをサイバー脅威からより確実に守る
• すべてのお客さまに高品質で信頼性の高いサービスを提供すること
• お取引先様に安心してデータを預けていただけること     

抜群の精度を誇りながら、堅牢なデータ保護対策が施されたリスト検証ツールをお探しでしたか？Bouncerは、数千から数百万のアドレスがあっても、新鮮でアクティブなメールリストをすぐに手に入れることができます。   

また、まずはBouncerの動作を試してみたいという方は 最初のメールアドレスを確認する 完全無料🙂です。 

そこで、私たちの力を借りて、あなたのリストがどれだけきれいになるのか、ご自身で確かめてみてはいかがでしょうか。  

SOC2コンプライアンスに対応したツールを選ぶようにしましょう

メール検証ツールは、あなたのビジネスにとって素晴らしい助けとなります。メール検証ツールは、あなたが持っているメールアドレスのリストを渡すだけで、あなたのメールを決して開かないかもしれないアドレスをすべてハイライトしてくれます。では、なぜそのようなツールに時間とお金を費やす必要があるのでしょうか？ 

しかし、リストを使用するのがあなた（とあなたの従業員）だけであることを確認するために、一流のセキュリティを備えたメール検証サービスを探す必要があります。バウンサーのページにあるようなSOC2コンプライアンスバッジは、まさにそのようなセキュリティの証と言えるでしょう。 

アプリがあれば、リストの整理はすべてお任せで、新しいリストの準備ができたら、すぐにニュースレターやオファーを送ることができます。

SOC2 コンプライアンス よくある質問

SOC2コンプライアンスとは何か、なぜサービスプロバイダーにとって重要なのか。

SOC2とは、米国公認会計士協会（AICPA）が定めたセキュリティ基準で、サービス会社が顧客データのプライバシー、セキュリティ、機密性を保護する能力を測定するものです。

SOC2監査を受けることで、サービスプロバイダーは、データ漏洩や不正アクセスから機密情報を保護する方法や、内部セキュリティを強化する方法について詳しく知ることができます。 

SOC2準拠は、サービスプロバイダーとそのお客様にどのようなメリットをもたらすのでしょうか。

SOC2監査に合格することで、サービス組織は、侵害、誤用、サイバー攻撃からビジネスデータとそのサービスを保護する方法を知っていることを証明することができます。これにより、特に利用するクラウドサービスに高度なセキュリティを求める顧客は、より安心することができます。 

SOC2監査は、メール検証サービスにどのようなメリットをもたらすのでしょうか？

電子メール検証プロバイダーは、電子メールアドレスや顧客の個人情報など、多くの機密情報を扱っています。SOC2監査を受けることで、ネットワーク内のデータがどの程度保護されているのか、また、サービスをより強固なものにするために何を改善すればよいのかを知ることができるのです。