ドメインネームシステム（DNS）はインターネットのバックボーンであり、何百万という人や企業が毎日利用するオンライン機能をスムーズに動かすのに不可欠な存在です。そして、サイバー脅威がますます巧妙になるなかで、DNS サービスのセキュリティと信頼性の確保が今ほど重要な課題となったことはありません。

そこで登場したのが SOC 2。デジタルトラストを維持し、顧客のデータを安全に保護する取り組みを行っている組織のひとつが開発したコンプライアンスフレームワークです。

SOC 2 とは

SOC 2 とは、System and Organization Controls 2 の略であり、米国公認会計士協会（AICPA）が策定した厳格な監査手続きです。

公認会計士とサイバーセキュリティの関係について疑問に思うかもしれません。しかし、会計士が膨大な量の個人データを扱っていることを考えれば、様々なことに納得がいくでしょう。AICPA が開発したこのフレームワークは、サービスプロバイダーが顧客のデータを管理し、保護するときに高い基準を遵守するよう保証するものであり、データセキュリティを優先するどんな企業にも欠かせません。

実際、SaaS プロバイダー、クラウドサービス、フィンテック、ヘルステック、法律サービスの組織は、データセキュリティ管理への取り組みを立証するために SOC 2 レポートを取得するのが一般的になりつつあります。

だからといって、SOC 2 レポートを持たない組織はデータ管理に問題があるとか、安全性が低いというわけではありません。しかし、レポートがあれば、データ管理に関して最高水準の基準を満たす、あるいはそれを上回る形で機密データが管理されているという安心感を顧客は得ることができます。

SOC 2 が DNS に重要な理由

セキュリティは、どの業界でも当たりまえに重要とまで考えるべきではありませんが、DNS プロバイダーが転送しホストするデータの量を考えれば、とりわけ重要です。SOC 2 レポートは、セキュリティと運用整合性に対するプロバイダーの貢献度を証明する強力な証拠となります。

それがなぜそこまで重要なのか、その理由を説明しましょう。

• 信頼性の立証: SOC 2 レポートは、DNS プロバイダーが堅牢な管理を実施してユーザーデータを保護し、サービスの可用性を維持していることを示す、独立した証明です。
• リスクの軽減: SOC 2 の厳格な要件を遵守することで、DNS プロバイダーは潜在的なセキュリティ脆弱性を事前に特定して対処し、データ侵害やサービス中断のリスクを軽減することができます。
• 規制への準拠の達成: 業種によっては、特に機密データを取り扱うとき、SOC 2 レポートが取引を行うための前提条件となっています。

SOC 2 の 5 つの基準

SOC 2 への準拠を達成すると、プロバイダーが以下の 5 つの観点でシステムとプロセスへの徹底的な評価をクリアしたことになります。

1. セキュリティ: ファイアウォール、侵入検知システム、アクセスコントロールといった堅牢なセキュリティ対策を導入し、不正アクセスやデータ侵害から保護します。

2. 可用性: 提供される DNS サービスが利用可能で回復力を備え、ダウンタイムを最小限に抑えるための障害復旧と事業継続計画が整備されていることを保証します。

3. 処理の完全性: DNS データ処理の正確性、完全性、適時性を保ちます。

4. 機密性: 顧客データや専有の DNS レコードといった機密情報を、不正な開示から保護します。

5. プライバシー: DNS プロバイダーが収集および処理する個人情報を保護します。

SOC 2 評価には、Type 1 と Type 2 の 2 種類があることに注意してください。両者の主な違いは、評価の「時期」と「期間」です。

Type 1 は、特定の時点でプロバイダーの管理が適切に設計されていることを示す寸評です。Type 2 は、それらの管理の設計と運用上の有効性を両方とも検証し、コンプライアンスとセキュリティパフォーマンスを、より動的かつ継続的に把握します。

信頼できる DNS プロバイダーとの連携がもたらすメリット

サービスプロバイダーやその他の組織としてデータセキュリティを重視するのであれば、SOC 2 に準拠した DNS プロバイダーと連携するのは賢明な判断です。自分たちのデータと顧客のデータが最高水準で管理され、保護されていることが確認できるだけでなく、自分たちも SOC 2 評価を確実に完了しやすくなります。

DNS プロバイダーの SOC 2 レポートが、特に SOC 2 Type 2 のレポートであれば、顧客のビジネスにいかに有益かを説明しましょう。

信頼と保証

SOC 2 Type 2 レポートは、DNS プロバイダーのセキュリティ業務と運用の卓越性について詳細な見識を提供します。DNS サービスが企業のインターネット上のプレゼンスとセキュリティを支える世界で、この保証には計り知れない価値があります。

リスク管理

デジサートのように SOC 2 Type 2 評価を受けたプロバイダーと提携すると、DDoS 攻撃の場合には特に、リスク軽減に向けた予防的な措置を講じることができます。Type 2 レポートは、プロバイダーが皆さんのオンライン資産に関して信頼性と可用性を確保できることを示します。

コンプライアンスがもたらす相乗効果

組織が HIPAA、GDPR、PCI DSS などの厳しい規制標準のもとで事業を展開している場合、コンプライアンスに準拠した DNS プロバイダーを利用することが不可欠です。こうしたパートナーシップは、規制に準拠するだけでなく、データ保護とプライバシーに対する取り組みを強化するという点でも有効です。

競争における優位性

競争の激しい市場で突出しようとするなら、セキュリティに取り組む姿勢を示すことが、新規顧客を獲得する成否の分かれ目になります。SOC 2 Type 2 評価を受けた DNS サービスを利用すると、業務上の整合性と信頼性を重視していることを顧客にもパートナーにもアピールできます。

ベンダー選定プロセスの簡素化

SOC 2 評価をクリアできることは、プロバイダーが高度なサービスとセキュリティ基準に真摯に取り組んでいる姿勢を示す強力な指標となり、ベンダー選定プロセスを効率化します。

DigiCert DNS Trust Manager によるデータセキュリティの強化

私たちが、自身でクリアしていない監査について褒めそやしているのではないことは、ご推察のとおりです。デジサートは、SOC 2 Type 2 評価を受けたソリューションである DigiCert DNS Trust Manager を通じて、権威 DNS サービスを提供しています。世界的に認められたデジサートの SOC 2 レポートは、顧客と、顧客の情報が安全に保護されていることを信頼する人々を守れるように、データを安全に管理していることを確認すべく毎年監査を受けています。

DNS についてすでにデジサートと提携しており、デジサートの SOC 2 評価の合格証明書をお求めの場合は、ベンダーチーム（vendorforms@digicert.com）までお問い合わせください。NDA を締結したうえで、完全版のレポートもご請求いただけます。


デジタルトラストに関する最新情報

デジサートのデジタルトラストソリューションスイートが受けた独立の監査および認証の詳細なリストについては、当社のインフラセキュリティデータシートをご覧ください。また、DNS、データセキュリティ、デジタルトラストなどのトピックについて詳しくお知りになりたい場合は、記事を見逃さないようにデジサートのブログを参照してください。