SOC 2:安全管理基準
1)一言で言えばSOC 2
SOC 2は、組織がAICPA Trust Services Criteria (TSC)に従ってどのように設計(Design)および実行(Operating)を制御するかについて独立した評価です。
iGamingでは、これにより規制当局/銀行/PSP/パートナーの信頼性が高まり、TPRMが簡素化されます。
- タイプI-1つの瞬時状態(特定の日付):コントロールが正しく設計されているかどうか。
- タイプII-期間(通常6〜12ヶ月):(サンプルと)実際には安定してコントロールを動作させます。
2)トラストサービス基準(TSC)とその読み方
基本ドメインはSecurity (Common Criteria)です。残りはオプションでエリアに追加されます:3)制御モデルおよび必須要素(セキュリティ-CC)
ガバナンスとリスク:情報セキュリティポリシー、リスクレジスタ、目標、役割/RACI、トレーニング。
アクセス制御:RBAC/ABAC、 SoD、 JIT/PAM、 パスワード/MFA、 SCIM/IGAプロビジョニング、オフボーディング≤ 15分。
変更とSDLC: DevSecOps、 SAST/DAST/DS、 IaCスキャン、CAB、枯渇ログ、ロールバック。
ロギングとモニタリング:集中ログ(WORM+署名)、SIEM/SOAR、 KRIアラート。
Vuln&Patch-プロセスの識別/分類、SLAからHigh/Critical、 Confirm Deployment。
インシデントレスポンス:Playbook、 RACI、 war-room、 post-mortems、 CAPA。
ベンダー/TPRM:デューデリジェンス、DPA/SLA、監査権、ベンダー監視。
4)延長基準(A、 C、 PI、 P)
空室状況(A)
SLO/SLAおよびダッシュボード;DR/BCP (RTO/RPO)、年次テスト;容量/クロスリージョン;可用性のインシデントのプロセス。
機密性(C)
データの分類;rest/in transit (KMS/HSM) PIIトークン化での暗号化;エクスポート制御(署名、ログ);保持しています。
処理の完全性(PI)
データ品質管理:スキーム/検証、重複除外、調整;タスクの起動の監視;パイプラインの変更を管理します。
プライバシー(P)
プライバシーポリシー;RoPA/法的根拠;CIW/同意;DPIA/DSAR;マスキング/保持;トラッカー/SDK監査。
5) SOC 2マッピング↔ポリシー/コントロール
ISO 27001/ISMS→CC(リスク管理、ポリシー、ログ、脆弱性)の基礎をカバーします。
ISO 27701/PIMS→多くのプライバシー基準を閉じます。
内部セクション:RBAC/Lest Privilege、パスワードポリシーおよびMFA、ログポリシー、インシデント、TPRM、 DR/BCP-TSCに直接マッピング可能。
6)管理のカタログと証拠の例
各制御のために:ID、目的、所有者、頻度、方法(自動/マニュアル)、証拠の源。
例(フラグメント):- 'SEC-ACCESS-01'-管理者アクセスのためのMFA→IdPレポート、設定のスクリーンショット、ログの選択。
- 'SEC-IGA-02'-オフボーディング≤ 15分→SCIMログ、解雇チケット、ブロックログ。
- 'SEC-LOG-05'-不変ログ(WORM)→configs、ハッシュチェーン、エクスポートサンプル。
- 'AVAIL-DR-01'-年次DRテスト→テストプロトコル、実際のRTO/RPO。
- 'CONF-ENC-03'-KMS/HSMキー管理→回転ポリシー、KMS監査。
- 「PI-DATA-02」-支払いの和解→和解レポート、インシデント、CAPA。
- 'PRIV-DSAR-01'-DSAR→クエリレジスタ、タイムスタンプ、レスポンステンプレートによるSLA。
7) SOC 2を維持するための手順(SOP)
SOP-1インシデント:検出→トリアージ→封じ込め→RCA→CAPA→レポート。
SOP-2変更管理:PR→CI/CD→skany→CAB→deploy→monitoring→otkat/fiksy。
SOP-3脆弱性:intake→klassifikatsiya→SLA→verifikatsiya report fiksa→vypusk。
SOP-4アクセス:JML/IGA、四半期ごとの再認証、SoDブロック、JIT/PAM。
DR/BCP SOP-5:年次テスト、部分演習、RTO/RPO事実の公表。
SOP-6エクスポート/プライバシー:ホワイトリスト、署名/ログ、保持/削除。
8)監査準備: タイプI→タイプII
1.TSCギャップ分析:コーティングマトリックス、不足しているコントロールのリスト。
2.ポリシーと手順:更新、所有者を任命します。
3.統合されたエビデンスストレージ:ログ、IdP/SIEMレポート、チケット、サンプルのエクスポート(署名付き)。
4.内部準備監査:監査アンケートの実行、サンプルキャプチャ。
5.タイプI(日付X):制御の設計と打ち上げの事実を示します。
6.観察期間(6-12ヶ月):アーティファクトの継続的な収集、発見の閉鎖。
7.タイプII:期間、運用効率レポートのサンプルを提供します。
9) SOC 2のためのメトリック(KPI/KRI)
KPI:- MFA採用率=100%
- オフボーディングTTR ≤ 15分
- パッチSLA High/Critical Closed ≥ 95% on time
- DRテスト:スケジュールの実行=100%、実際のRTO/RPO正常
- ロギング(WORM)によるカバレッジ≥重要なシステムの95%
- 'purpose'なしのPIIアクセス=0
- SoD障害=0
- 規制より遅く通知されたインシデント=0
- 高い/重大な再脆弱性>5%-エスカレーション
10) RACI(拡大)
11)チェックリスト
11.1準備(タイプIの前に)
- スコープ(TSCおよびシステム)ロック
- ポリシー/プロシージャが最新で承認されている
- 割り当てられた所有者とメトリックを制御する
- プロトタイプ証拠保管準備(ログ、IdP/SIEMレポート、チケット)
- インシデントテーブル、DRミニテスト実施
- リスクとSoDマトリックスの確認
11.2フォローアップ期間(I〜II)
- 毎週のサンプリング/ログのエクスポート
- 月例KPI/KRIレポート
- SLAの脆弱性の閉鎖
- 四半期ごとの権利再認証
- 予定通りDR/BCPテスト
11.3 タイプIIの前に
- 期間ごとの証拠の完全なセット(制御ごとに)
- インシデント/脆弱性登録とCAPA
- マネジメントレビューレポート(期間集計)
- マッピングマトリックスを更新しましたTSC↔kontroli
12)頻繁な間違いとそれらを回避する方法
「練習のないポリシー」:ドキュメントだけでなく、ログ、チケット、DR/インシデントプロトコルを表示します。
弱いロギング:WORM/署名と明確なイベントセマンティクスなしでは、監査はより困難です。
権利の再認証はありません。「ぶら下がっている」アクセスのリスクは重要なマイナスです。
不完全なベンダースコープ:SOC 2はチェーンを見ます-TPRM、 DPA/SLA、監査権を追加します。
ルーチンなしのワンタイムジャーク:JMA/ダッシュボードと月次レポートを実装します。
13)ロードマップ(12-16週間→タイプI、別の6-12ヶ月→タイプII)
週1-2: TSCギャップ分析、スコープ、所有者、作業計画。
週3-4:ポリシー/プロシージャの更新、コントロールディレクトリのビルド、マッピングの行列。
週5-6:ログ(WORM/署名)、 SIEM/SOAR、 SLA脆弱性/パッチ、IdP/MFA、 IGA/JMLを設定します。
週7-8: DR/BCP最小テスト、TPRMアップデート(DPA/SLA)、インシデントリハーサル。
週間9-10:証拠保管、KPI/KRI報告、内部準備監査。
週11-12:最終編集、監査予約、タイプI。
次:毎週のアーティファクトのコレクション、四半期ごとに→期間の終わりにタイプIIのレビュー。
TL;DR(ドクター)
SOC 2=clear Scope TSC→オーナーとメトリクスによる制御カタログ→Design&Operating→Continuous logs/SIEM/IGA/DR/TPRM→Readiness→Type I→観察期間→Type I。