毎週のように、深刻なサイバーセキュリティ侵害が発生し、関係する組織やその顧客、ステークホルダーに多大な影響を与えているように思えることがあります。今回の米石油パイプライン大手のColonial Pipeline社の事例は、まさにその最たるものです。
これが、独立した証明可能なセキュリティ基準が非常に重要な理由です。特にSoftware as a Service (SaaS) ベンダーや、顧客の社内業務を深く掘り下げるビジネスプロセスアナリシスや自動化の分野ではなおさらです。顧客がSaaSパートナーを本当に信頼するためには、SaaSパートナーが最高レベルのセキュリティ基準を満たしていることを知る必要があります。
これこそが、SOC 2®が提供するものです。SOC 2は、米国のSaaS企業のセキュリティコンプライアンスのゴールドスタンダードであり、会計専門職を代表する世界最大の会員団体である米国公認会計士協会(AICPA)が策定した包括的な報告の枠組みです。SOC 2は、大企業のお客様に、貴重なビジネスデータを保護するためのすべてのプロセスが整っているという総合的な安心感を提供します。
SOC 2は、システムアーキテクチャ、データフロー、プロセスに関する統制の評価とテストのための基準です。SOC 2には2つのパートがあります。今年2月のブログでは、CelonisがSOC 2 Type 1認証を取得したことを紹介しました。Type 1監査では、統制の設計を評価し、Celonisが顧客の貴重なビジネスデータを保護するためのプロセスを確立していることを客観的に証明します。データはデジタルトランスフォーメーションの触媒であり、ビジネスプロセスを最適化することがデータから価値を引き出す鍵となるため、これは非常に重要なことです。
このたび、当社のExecution Management System(EMS)に対するSOC 2 Type 2の審査にも合格したことを発表できることを大変嬉しく思います。Type 2の評価は、実務的な側面です。この評価では、Type 1監査で指定された統制の設計が、監査期間中に効果的に運用されているかどうかを評価します。Celonisは、SOC2 Type 2に準拠した最初のプロセスマイニングベンダーとなりました。
これがお客様にとってどれほど価値のあることなのか、いくら強調しても足りません。当社はソースシステムとリアルタイムで深く統合し、この広範なシステム環境の上でアクションを提供しているため、Type 2認証は今や企業のお客様にとって「必須」のものとなっています。効果的に運用されている内部のセキュリティコントロールがあれば、深く統合されたデータ抽出とアクションフローを使用する際に、お客様が必要とする保証が得られます。これはお客様にとって重要な要件であり、SOC 2 Type 2に準拠することで、お客様自身が評価を行うことなく、完全な安心感を得ることができます。
