用語集
SOC2 (Service Organization Control 2)
クラウドサービスの「安全性・信頼性」を評価する国際的な監査基準。
### 概要
米国公認会計士協会(AICPA)が定める保証報告書。特にSaaSベンダーが、顧客(エンタープライズ企業)に対して「自社のセキュリティはしっかりしている」ことを証明するために取得します。
### ログ管理への要求
TSC(Trust Services Criteria)に基づき、以下の統制が求められます。
- **CC1.4 (Monitoring)**: システムの異常を検知・監視しているか。
- **CC6.1 (Logical Access)**: ログへのアクセス権限は適切か。
- **CC7.2 (Incident Response)**: インシデント時に調査できるか。
### 実務のポイント
単にツールを入れているだけでは不十分で、「四半期に一度、アクセス権の棚卸しをした記録」などの運用証跡(Evidence of Operation)が重視されます。
この記事について
想定読者
監査対応を初めて担当するエンジニア、PM
記事の目的
専門用語の実務的な意味を解説し、監査での問われ方や運用上の注意点を理解する
根拠・参照情報
- •AWS CloudTrail Documentation
- •PCI DSS v4.0 Official Standard
最終更新日
2026-02-06
免責事項: 本記事は監査対応における判断支援を目的としており、法的・監査上の最終判断を保証するものではありません。 最終的な意思決定は、必ず関連規格(PCI DSS, SOC2等)の公式文書や、貴社の法務・監査部門の判断を参照してください。