2021.08.13
毎週のように、深刻なサイバーセキュリティ侵害が発生し、関係する組織やその顧客、ステークホルダーに多大な影響を与えているように思えることがあります。今回の米石油パイプライン大手のColonial Pipeline社の事例は、まさにその最たるものです。
これが、独立した証明可能なセキュリティ基準が非常に重要な理由です。特にSoftware as a Service (SaaS) ベンダーや、顧客の社内業務を深く掘り下げるビジネスプロセスアナリシスや自動化の分野ではなおさらです。顧客がSaaSパートナーを本当に信頼するためには、SaaSパートナーが最高レベルのセキュリティ基準を満たしていることを知る必要があります。
これこそが、SOC 2®が提供するものです。SOC 2は、米国のSaaS企業のセキュリティコンプライアンスのゴールドスタンダードであり、会計専門職を代表する世界最大の会員団体である米国公認会計士協会(AICPA)が策定した包括的な報告の枠組みです。SOC 2は、大企業のお客様に、貴重なビジネスデータを保護するためのすべてのプロセスが整っているという総合的な安心感を提供します。
SOC 2は、システムアーキテクチャ、データフロー、プロセスに関する統制の評価とテストのための基準です。SOC 2には2つのパートがあります。今年2月のブログでは、CelonisがSOC 2 Type 1認証を取得したことを紹介しました。Type 1監査では、統制の設計を評価し、Celonisが顧客の貴重なビジネスデータを保護するためのプロセスを確立していることを客観的に証明します。データはデジタルトランスフォーメーションの触媒であり、ビジネスプロセスを最適化することがデータから価値を引き出す鍵となるため、これは非常に重要なことです。
このたび、当社のExecution Management System(EMS)に対するSOC 2 Type 2の審査にも合格したことを発表できることを大変嬉しく思います。Type 2の評価は、実務的な側面です。この評価では、Type 1監査で指定された統制の設計が、監査期間中に効果的に運用されているかどうかを評価します。Celonisは、SOC2 Type 2に準拠した最初のプロセスマイニングベンダーとなりました。
これがお客様にとってどれほど価値のあることなのか、いくら強調しても足りません。当社はソースシステムとリアルタイムで深く統合し、この広範なシステム環境の上でアクションを提供しているため、Type 2認証は今や企業のお客様にとって「必須」のものとなっています。効果的に運用されている内部のセキュリティコントロールがあれば、深く統合されたデータ抽出とアクションフローを使用する際に、お客様が必要とする保証が得られます。これはお客様にとって重要な要件であり、SOC 2 Type 2に準拠することで、お客様自身が評価を行うことなく、完全な安心感を得ることができます。
CelonisのEMSプラットフォームの各レイヤーにはセキュリティが組み込まれており、お客様はニーズや基準に合わせてセキュリティ制御をカスタマイズすることができます。私たちのアプローチの中心となるのは、Celonis Security & Trust Centerです。このセンターでは、私たちのすべての活動にセキュリティとプライバシーがどのように組み込まれているかを定義しています。
SOC 2 Type 2認証を取得することは、私たちとお客様にとって、このセキュリティの旅の大きな節目となります。これにはCelonisの継続的な投資と、多くの社員によるハードワークが必要でした。しかし、これは一度きりの話ではありません。品質認証はCelonisの最優先事項であり、常にそうであり続けています。現在、CelonisはISO 27001認証を取得しているだけでなく、SOC 2 Type 2監査も受けています。これまでに、ISO 27001:2015(情報セキュリティ管理)、ISO 27701:2019(プライバシー情報管理)、Cloud Security Alliance CSA-STAR Level 1、ISO 9001:2015(品質管理)、SOC 2(セキュアデータ管理)、GDPR(データ処理)、自動車業界のTrusted Information Security Assessment Exchange(TISAX)を取得しています。
一度にたくさんの略語を理解するのは大変ですね。しかし、重要なことは、私たちはお客様のデータとシステムの品質とセキュリティを非常に重視しているということです。実際のところ、Celonisよりも高いセキュリティ基準を持つプロセスマイニングベンダーと提携することはできません。
Omesh Agam
Chief Information Security Officer