SOC 2はサイバーディフェンスに役立つか? (SOC2ゆるミートアップ#2)

Transcript

1. <SOC 2 ゆるミートアップ#2> SOC 2はサイバーディフェンスに役⽴つか? Jan 15, 2026 markt primeNumber

   Inc.

2. 2 Who I Am & Where You Are markt (⽥代)

   です 今: primeNumberでsecurity engineer その前まで: CSIRT / private SOC / TI / DFIR PCI ISA / ISO27K1 その他も... ご来訪ありがとうございます!! 株式会社primeNumberです - 「あらゆるデータを、ビジネスの⼒に 変える」データテクノロジーカンパニー - TROCCO, COMETA, primeBusiness -Agent, professional serviceなど提供 - SOC 2取得に向けて邁進中

3. 3 • セキュリティの認証って必要なの? ◦ (なんでこんなにコストかかるの?) • 認証されたら資産守れるの? セキュリティ認証永遠のテーマ セキュリティ不要論者 (経営者)は最近⼤分

   少なくなった 今⽇のテーマ: セキュリティ認証‧準拠には実践(実戦)的な 効果があるのか

4. 4 SOC 2*はサイバーディフェンスに役⽴つか? ＝ ＝> 具体的な攻撃や不正から守れるか? が、security engineer視点 “守る”にはdamage controlやcyber

   resiliencyも含まれる   *... ここではTrust Services CriteriaのSecurity(つまりCommon Criteria)について書いています 実践的か? ...実践的とは?

5. 5   セキュリティフレームワークの成り⽴ちは実践的 不正‧漏洩‧改ざんそ の他問題発⽣ 個別の問題を防ぐため の統制を考える フレームワーク化 PCI DSSが明⽩にこのパターン -

   カード漏洩、不正を防ぐための基準を⽂書化 - 要件からはかつて発⽣したインシデントが想像される e.g. background check, POSの保護, 内部pentest… - 基準は”漏洩原因の体系” SOX/J-SOXでも明確に不正会計や粉飾決算を防ぐための要件がある - 新しい不正が増える度に要件も増える そもそも

6. 6 8 Elements primeNumberが ⼤切にしている価値観 バリュー

7. 7 8 Elements primeNumberが ⼤切にしている価値観 バリュー セキュリティフレームワークにはこ れらはほぼ含まれている 実は

8. 8 8 Elements primeNumberが ⼤切にしている価値観 バリュー セキュリティフレームワークにはこ れらはほぼ含まれている 実は 「準拠したら資産守れるの?」

   — yes?

9. 9 セキュリティ認証を取る と 実践的なサイバーディ フェンスを実装する は離れている?

10. 10 セキュリティフレームワークには必要な要件が⼤抵⼊っているのに なぜ実践的とそうでないフレームワークがあるように⾒えるのか? “実践的”の罠 具体的かつ必須 抽象的かつ推奨 - CVSS score 7.0以上は1ヶ⽉

    以内に修正せよ - これは必須要件です → 是⾮はともかく計測しやすい - 組織で定めた脆弱性管理の プロセスに従い適切に対応 することが推奨される → ⽬標⽔準も判定基準も難しい 脆弱性管理の例 (架空の要件です) 具体的なリスクを低減するので実践的に⾒える 個別のインシデントを防ぐための要件は具体的に なり、かつ必須とされる確率が⾼い

11. 11 ではすべてのセキュリティ要件が具体的であれば良いのか? コンプライアンスは無視してセキュリティ実装っぽい要件に集中すればよいのか? ⇒ 具体的、にも限界がある “実践的”の罠 具体的な要件に従えば OKというわけでもない例 アクセスログをとれ →

    S3に保存して終了、アプリのログなし アラート監視しろ → ⾒る運⽤はしているが調査はしてない アクセス権管理しろ → 管理しているが許可ルール全部合わせるとほぼall allow アプリのスキャンしろ → スキャンはしたが対象が部分的 別名: EDR⼊れただけ問題 (またはCSPM⼊れただけ問題)

12. 12 実践的 = サイバーディフェンスに効果的、かどうかは 実は実装する側の問題 - 抽象的な要件でも求められる⽔準を理解する組織が実装すると実践的なセキュリティにできる - “どの状態をできている (in

    place) とみなすか”という問題 “実践的”の罠 要件に従うだけで効果的な セキュリティが実装できる 理想(夢) 経験のある セキュリティ 従事者が必要な⽔ 準に持っていく よくある 要件を満たすだけでは 効果的なサイバーディ フェンスに届かない 現実 セキュリティに完全はなく、 実践的と⾔える⽔準の実装に なんとか持っていく

13. 13 つまり そのフレームワークで具体的な攻撃や不正から守れるか? → 実装‧運⽤次第 (終了) 実践的なフレームワークとは、その導⼊によって 具体的な攻撃や不正から守るための実装や運⽤を ⼀定⽔準で保証できるもの ではSOC

    2は実践的か? 1. 具体的な攻撃や不正から守れるか? 2. SOC 2に従えば⼀定⽔準が保証されるか? (ようやく本題)

14. 14 SOC 2 + Compliance Platformは実践的に近づける SOC 2は実践的(サイバーディフェンスに効果的)か? SOC 2の統制はCommon

    Criteria(CC)に基づく - かなり抽象的... (くっ) - このままではどの⽔準で何をすべきか迷⼦になる (1) コンサルティング会社やプラットフォーム(Vanta, Drataなど)が具体的な要件を提⽰ (2) 対象システムが使⽤するSaaSと連携する これらを合わせるとかなり実践的な実装や運⽤に近づける ↑元のCCを具体的な実装に変換する機能を担っている (個⼈的にはその具体要件をSOC 2要件にすれば良いのでは... と思いますが)

15. 15 SOC 2でサイバー攻撃や不正を防げるか? IPAによる情報セキュリティ 10⼤脅威 2025 (甲⼦園出場みたいな扱いを受ける脅威たち) OWASP Top 10

    2025 security misconfiguration, insecure design など抽象化の進むOWASP Top 10 Verizon DBIR 2025

16. 16 共通の脅威 SOC 2でサイバー攻撃や不正を防げるか? - ランサムウェア、サプライチェーン(/委託先)への攻撃 - システムの脆弱性、サードパーティ製品の脆弱性 • Initial

    accessとしてはとにかくaccountが盗られている (各社侵害レポートを読んだ感想) • かつて低下傾向だったシステムの脆弱性を悪⽤した侵⼊が増加 • 標的のシステム本体が堅牢でもサプライチェーン、境界のVPN機器などに多くの脆弱性 があり複雑なシステムほど侵⼊経路をカバーしきれない SOC 2で登場するテーマだと以下が実装できているかが防御に関わる アカウントの認証 強化‧権限管理 脆弱性の迅速な修正 セキュリティテスト の実施 教育‧啓蒙 委託先‧ベンダの リスク評価

17. 17 SOC 2でサイバーセキュリティのベースラインを整えることはできる 更にはVanta, Drataなどのplatformを使うとその徹底度を上げることが可能 SOC 2でサイバー攻撃や不正を防げるか? - SOC 2を活⽤するとlayered

    security (多層防御)につなげられる - Compliance PlatformがSaaSと連携し設定状況を⾃動取得 → 状態監視できる - AWSだとS3, VPC Flow, CloudTrail, GuardDuty, etc. - AgentがMDM的に振る舞いEndpointのpatch statusを収集 - IdPのCloud service連携を取得しアカウントやshadow IT 管理も... ⼀⽅、 - ⾼度で複雑な攻撃シナリオへの対応よりは必須のベースラインを達成させる⽅向性 - 狙われる確率を考えると妥当 - マルチクラウドでのリスクやAIサービスの悪⽤などはフレームワーク側も追いついていない印象 - AICPAのpoint of focus revisionが2022なので次回でAIへの対策も含まれるのかもしれない

18. 18 SOC 2でサイバー攻撃や不正を防げるか? ベースラインの先は? SOC 2にヒントが書いてある - Risk Assessment :

    ⾃分たちにとってのリスク‧脅威を定義する - 攻撃‧不正⼿法が絞られてくる - PentestやIncident Response Plan / 侵害シナリオについて試す‧考える : - シナリオが練られてくると⾃社やサプライチェーンの弱点が⾒えてくる - その上で脅威モデリングをしよう、edge deviceは侵⼊される前提でネットワーク分離 しよう、すべてのfile uploadにきちんとvalidation⼊れよう等のアクションにつなげる - 技術選定や次期システムのアーキテクチャ検討にも活かせる - Attract competent individuals : - サイバー攻撃に詳しい⼈員の確保 しかし、これらは”その先”なので予算以上となることが多いと思われるため 実装するには、SOC 2やISO27001で求められるリスク評価に サイバー脅威を具体的なシナリオとして含める必要がある

19. 19 SOC 2+ が必要そうな脅威 Supply Chain Attack GitHub上のOSSや公式ライブラリの乗っ取り&汚染 → patch

    managementとは別ベクトルの脅威 常に最新、では守れない領域 0dayもよくある⼿法で侵害後に気づくケースも Account Hijack MFA有効は前提での攻撃 - ClickFixなど〇〇Fix - Mal-extension at Chrome Social Engineeringは教育⼀択が現状(の認識) Attack on AI 成熟前に進化するAIサービスの悪⽤ - Indirect prompt injection - Zero-click attackの流⾏ EDR Evasion

20. 20 急に差し込まれるユーザ⽣の声編 まとめ、の前に: Vantaについて Vantaを使ったSOC 2 - USのstartupに近いITシステムや事業モデルだと効果が⾼い(気がする) - GitHub,

    Slack, AWS, Oktaなど⽇本でもお馴染みのサービスと連携し 直接statusを取得する - GitHubだとdependabot alertやissueも - アカウント管理が厳格になりonboarding/offboardingの設定漏れによる インシデント対策にかなり有効 - Vanta APIで⾒たい項⽬の取得や変更が可能 - 監査準備はUIで⼗分可能だが構成が⼊り組んでいるので テスト項⽬や⽂書だけ⼀覧取得する、などが便利 (Control ⇔ Test/Docが多対多の関係) - PostmanのCollection & Environmentも提供している - Claude Codeと対話しつつ進捗を確認した

21. 21 Challenges Vantaについて 1. English a. コスト⾯で優位性があるので認識しつつ導⼊ 2. SaaSからのステータス取得機能の仕様 a.

    正確でないデータが取得されるとその修正コストがかかる e.g. Endpointのcompliance状況 3. ISMS体制との互換性 a. ⽇本語の⽂書やルール体系で構築されている b. 暗号化ポリシーなどSOC 2⽤に細かいルールを追加した c. Vanta/SOC 2フレンドリーにセキュリティ管理体系を変えることでセキュリティが向上 するのかどうか... i. SOC 2はプロダクトがscopeなのに全社scopeのISMS側の運⽤に変更が必要など 4. Platform導⼊後の全社的リスク管理のアプローチ a. 前述のサイバー脅威を含む各リスクの登録と低減に向けたアクションが必要 b. 英語だったり、全社ツールとして使うべきか未知の要素が多い

22. 22 まとめ SOC 2はサイバーディフェンスに役⽴つか? 実践的か 具体的な攻撃や不正を防げるか 攻撃や不正を防ぐための実装は⼀定⽔準か SOC 2 +

    Compliance Platformによる具体的な要件と システム連携で役⽴つ⽔準実現に近づける  実践的かどうかは実装するこちら次第 SOC 2はサイバーディフェンスに役⽴つフレームワークといえる しかし、SOC 2ですべてのサイバー脅威が防げるわけではない - 最新脅威の直接的な対策は教えてくれないが、ベースラインの構築はできる - その先は組織のリスクとしてサイバーディフェンスを登録しアクションする (ために予算を取る)

23. Thank you!