ハクソク

世界を動かす技術を、日本語で。

Excalidraw+がSoC 2認証を取得しました

336日前原文(plus.excalidraw.com)

概要

Excalidraw+は SOC 2 Type I 認証を取得し、セキュリティ体制を強化。 Vanta を活用し、ポリシー策定や技術基盤のアップグレードを実施。 次のステップは SOC 2 Type II、GDPR、ISO 27001取得を検討中。 社内プロセスやベンダー管理も体系化し、信頼性を向上。 認証取得のノウハウと実践例を共有。

Excalidraw+のSOC 2認証取得ストーリー

  • SOC 2認証 取得の背景

    • セキュリティアンケート対応の手間軽減
    • 顧客・第三者に 客観的な信頼性 を示す必要性
    • 小規模チームのうちに 仕組みを整備 する戦略

  • SOC 2とは

    • AICPA が策定した、顧客データ保護のための セキュリティ基準
    • 5つの基準: セキュリティ、可用性、処理の完全性、機密性、プライバシー
    • Type I :時点での体制確認 Type II :運用実態の継続評価
    • 米国企業での認知度が高く、 ISO 27001より導入しやすい

  • 準備・ツール選定

    • Vanta を導入し、Vercel・GCP・DigitalOcean・GitHubなどと連携
    • Drata も候補に入れたが、既存サービスとの親和性でVantaを選択
    • 証跡管理セキュリティワークフローの一元化 を実現
    • セキュリティポリシー の整備(テンプレート活用しつつ自社向けに調整)

  • 技術的な取り組み

    • Nx でモノリス分割・マイクロサービス化し、CI/CDも標準化
    • Infisical で環境変数や機密情報を安全に管理
    • VPN・ファイアウォール と連携したCI環境の構築
    • Vector/Axiom によるロギング、 ステータスページ の公開
    • ペネトレーションテスト を実施し、年1回の実施をルール化

  • ゼロトラスト運用

    • 本番環境アクセスを 最小限の技術責任者 に限定
    • 内製管理ダッシュボードで サポート業務を分離
    • アクセス履歴・証跡の自動記録 を徹底

  • 社内教育・運用

    • 定期的なセキュリティ研修 ・新メンバー向けオンボーディングの標準化
    • 社内ルールの明文化 で属人化を排除

ベンダー管理とリスクマネジメント

  • 顧客データに関与する全ベンダーの評価・記録
    • 主要サービス(Vercel, Google Cloud, GitHub)は SOC 2レポート を保有
    • Vantaと内製ダッシュボードで ベンダー情報の一元管理
    • 各ベンダーの データアクセス範囲・認証状況・リスク評価 を記録
    • 早期着手が重要 (ベンダー対応に時間がかかる場合あり)

プライバシーとユーザー追跡

  • 最小限のユーザーデータ収集 方針
    • Excalidrawは Umami (セルフホスト)で利用状況を把握
    • 公開ページは Simple Analytics でトラッキング
    • Cookieバナー不要 なプライバシーファースト設計

監査と今後の展望

  • 監査プロセス

    • Vanta推奨または独自選定の 監査法人 を利用可能
    • Insight Assuranceを選択、 早期の相談が効率化の鍵
    • SOC 2 Type I を取得、次は Type II を目指す

  • 今後の計画

    • SOC 2 Type II 取得
    • GDPR 対応(EU規制動向次第)
    • ISO 27001 (顧客要望次第)

  • 信頼センター で全ドキュメント・認証情報を公開中

    • Security page & trust center
    • Trust Center
    • Security and Compliance

上記のように、Excalidraw+は 体系的なセキュリティ基盤 を構築し、今後もさらなる信頼性向上を目指す方針。 SOC 2認証取得の実践例として、スタートアップやSaaS企業にも参考となるプロセス。

Hackerたちの意見

これはいいことだね。ただ、最後まで読んでる人に一つだけ言っておきたいことがある。真剣な監査人を使っているなら、Type 1を通過しない方法は基本的にないよ。Type 1の目的は、ある時点でのベースラインを文書化することだから。Type 2が最初の「本物の」監査で、Type 1で証明したことをちゃんとやってるかを確認するだけなんだ。つまり、Type 1のためにやるセキュリティ作業は最小限に抑えて、ずっと守れるベストプラクティスの小さなセットに絞るべきだよ(シングルサインオンと保護されたブランチが基本的に90%を占めてる)。後からコントロールを追加するのはいつでもできるけど、取り除くのはすごく面倒だからね。SOC2に初めて挑む人にはいつもこれが心配なんだ。業界のベンダーは、Type 1を利用してチームをスキルアップさせたり、いろんなものを展開させようとするから、ひどいミスだよ。これは、ExcalidrawがType 1をクリアしたことに興奮しているという記事の結びに書いたんだ。彼らの監査人が、いつもそのハードルをクリアするって言ってくれたことを願ってる。

この記事の結びにExcalidrawがType 1をクリアしたことに興奮しているって書いてあるから、これを書いてるんだ。彼らの監査人が、いつもそのハードルをクリアするって言ってくれたことを願ってる。Type 1を持っていることが示す信号は、次の監査に挑戦することに興味があるってことだから、それ自体がみんなにとっていいサインだよね。Type 1を「通過」したことに興奮したり誇りに思うのは、詳細を知っている人にとってはちょっと大げさかもしれないけど、それは許せるよ。多くの組織は、もっと疑わしいことに対してもっと誇りを持っているから。

そうだね、大体は自分でコントロールを定義できるよ!Type 2も、セキュリティに真剣なら「失敗」するのはかなり難しい。ちょっとした例外がレポートに出るくらいだね。

俺の読み方合ってる?つまり、この分野のベンダーは自分たちの利益のために、あなたの利益に反するようなことをするってこと?それに、スコープクリープタイプ1で、タイプ2のビジネスを増やそうとしてるの?

トーマスは良いHN市民だから、自分のブログ記事を宣伝してないけど、SOC2の旅を始める人には彼のガイドを紹介しておくよね。https://fly.io/blog/soc2-the-screenshots-will-continue-until...

記事から: > SOC 2はAICPAが作ったセキュリティとコンプライアンスのフレームワーク。どうして会計士の集団(米国公認会計士協会)がソフトウェアのためのセキュリティフレームワークを作り、SaaSベンダーを認証する監査人を決める唯一のゲートキーパーとして自分たちを位置づけることができたのか、驚きだよね。企業がベンダーのITセキュリティプラクティスを判断するのに、テック業界の人ではなく会計士に頼るなんて信じられない。でも、テック業界全体がこれを受け入れているみたいで、GoogleやMicrosoftもそうだし。どうしてこうなったんだろう?

これはセキュリティに関する監査基準で、セキュリティ基準ではないよ。リスク管理をやってるとか、アクセスコントロールの仕組みがあるとか、非常に広い目標を少数定義しているだけなんだ。それがITツールか、テーブルトークRPGかは関係ない。人々がこれをセキュリティ基準として説明し続けることにイライラするのは理解できるけど、実際にはそうじゃない。AICPAの監査人がSOC2監査を行うのは、SOC2が監査だからで、書類や証拠を照合し、ポリシーを消化して、それに実際に何かをやっているかを確認することに関するものなんだ。企業の実際のセキュリティプログラムについて知りたいなら、SOC2が答えられる以上の深い質問をしないといけないよ。

CSが自分たちを正式に組織化したりライセンスを取得することを拒否して、自分たちにとって不利になってるからだよ。標準的なソフトウェア開発者なんていないし、アカウントにはライセンスを維持するための最低限の基準がある。誰を選ぶ?

あの図はどうやって作ったんだろう?見た目がいいね :)

彼らの製品をチェックしてみて ;)

元Meta FinTechのセキュリティGRC責任者で、元MotorolaのCISO。今は、コンプライアンス修正エンジニアリングのスタートアップでテクニカルファウンダーをやってる。いくつか細かい指摘があるよ。SOC 2は「認証」されるものではなく、Type 1の場合はコントロールが設計されていること、Type 2の場合は効果的に運用されていることの証明を受けるだけなんだ。だから、正しい表現は「Excalidraw+はx,y,zのトラストサービス基準に対するSOC 2 Type 1の証明を受けた」ってことになる(通常はセキュリティ、可用性、機密性。企業は他の二つ、プライバシーと処理の完全性を選ぶことはあまりないけど、HIPAAなどの他のコンプライアンスフレームワークと重なる場合は別)。これが重要なのは、表現が大事だからで、誤った言い回しは成熟度の欠如を示すんだ。また、他の人が言っているように、誰もSOC 2監査に「失敗」することはないよ。監査人の意見は4つのうちの1つしか得られない - 修正なし、条件付き、否定的、免責(修正なしを目指したいね)。監査人が特に厳しくチェックする技術的な領域は、アクセス管理(人間とサービスアカウント)、変更管理(サプライチェーンセキュリティとアーティファクトセキュリティ)、脅威と脆弱性管理(パッチ管理、インシデントレスポンスなどを含む)。この情報が誰かのSOC 2証明の準備に役立つことを願ってるよ :-) 同様に、注意が必要なレポートの領域は、セクション3: システム説明(過度に広いシステムスコープにサインしてコンプライアンスの危険を冒さないように)、セクション4: テストマトリックス(自分には適用されないコントロールや、監査テストプランが意味をなさない場合は反論すること - 監査人はまだ2000年代初頭の「クライアントサーバーレガシーデータセンター」モードにとらわれていて、現代のクラウド環境を理解していないから)。最後に、VantaやDrataなどを使っているなら、セキュリティポリシーテンプレートをしっかり読んで、自分の組織に対して盲目的に受け入れないようにしてね。そうしないと、一度決めたらそれが固定されて、監査の基準になっちゃうから(例 - ほとんどの現代のオペレーティングシステムにはアンチマルウェアが組み込まれているから、別のソフトウェアを購入するためにお金を無駄にする必要はないよ、少なくとも最初の年はね - だからポリシーには別のエンドポイント保護ソリューションが稼働しているとは書かないように)。もう一つ、WeWorkのコワーキングスペースモデルだけで使っているオフィスがあるなら、カメラやバッジシステムなどの物理的セキュリティコントロールは、適用されないか、大家の責任になるから、あなたには無関係だよ)。このコメントが誰かの役に立つことを願ってる!SOC 2は実際には必要以上に複雑(そして高価)にされていることが多いから。

これには心から同意するよ。反論しよう!スコープを絞ることは、いつも忘れがちなすごく良いアドバイスだね。SOC2に自分のソフトウェアセキュリティプログラムを全部まとめることもできるけど、なんでそんなことをしたいんだろう。ソフトウェアのセキュリティは顧客にとって非常に重要だけど、SOC2には関係ないし、関係するべきじゃないよ。

“SOC 2認証済み”って言わなきゃいけないって感じることもあるよね。多くのベンダーがその言葉を使ってるから、もう期待されるようになっちゃった。最初の営業コールで、購入者が間違ってるって説明したいのか…それとも「はい、そうです」と言って、このNDAにサインすれば監査報告書を渡せるって言うべきか。

今の職場でも同じことを経験したよ。SOC2タイプ1を取得するのは簡単じゃなかったし、何年分ものインフラのゴタゴタを片付けることになった。監査ログなんて存在しなかったし、アクセスログも半分壊れてたし、変更履歴の管理も全然できてなかった。急にそれらをちゃんとしなきゃいけなくなったんだ。しかも、オープンコアの設定で有料SaaSも運営してるから、同じような苦労があった。どの部分を公開するか、どれをログインの裏に隠すか、どのアクションを追跡する必要があるかをはっきりさせなきゃいけなかった。OSSはスピードをくれるけど、コンプライアンスが求められるまで表面が見えない。早く出荷してた時には誰も気にしなかったことが、急にブロッカーになったりするんだよね。結局、やるって言ったことを実際にやった証拠があるかどうかをチェックされるだけ。成長を強いられるけど、創業者には優しくないやり方だよね。

成長を強いられる 同意する。スタートアップや中小企業でまさにこれを経験してきた。もっと驚くべきことに、SOC 2やISO 9xxx、ISO 27xxxx、初めてのロレム・イプサムに直面しているフォーチュン500の内部者からも全く同じことを聞いたことがある。みんな、どこでも、どうやらその辺は緩いみたいだ—正式なプロセス、チェックポイント、文書、監査が必要になる日が来るまではね。その時が来たら、急いでパンツを履くことになる。

SOC 2については全然知らないんだけど(他の公式っぽいフレームワークについても)。オランダの大きな自治体で働いてて、彼らも監査人がすべてを追跡・検証できるように、すべてのステップを細かく文書化してるんだ。彼らがこの目標を達成するためにやったことを見て、次のステップ(彼らの提案)でISOをやるのは楽勝だと思うよ。だって、どの「フレームワーク」も細かい文書化を要求するから。

残念だけど、SOC 2の認証を持ってても、ベンダーの質問票(や一時的なセキュリティの要求)からは逃れられないけど、少しは楽になるよ。 ;)

特に、https://trust.yourdomain.com にあるような、あふれんばかりの「信頼ページ」があるなら、それは本当に効果的だよ。

これは良いまとめだね。今、私たちも同じプロセスを進めてるところ(SOC2 & ISO27001)。長い旅だったよ。コンプライアンスプラットフォームはすごく助かるけど、まだまだやるべきことがたくさんある。早い段階で監査経験のある人を関わらせるのはいつも良いことだね。

認証を取得するのに一番簡単な方法って何?VantaやDrataみたいなのを使うのがいいのかな?あれって実際どうなの?

Googleドライブにスプレッドシートとスクリーンショットを使うのもアリだよ。一番の問題は要件をクリアすること、実際に何を意味しているのか理解すること、ポリシーを書くためのフレームワークを持つことだね。でも、それを乗り越えればなんとかなる。VantaやDrataはそれを楽にしてくれる。彼らは大手で、プラットフォームにかなりの料金を取ってるから、私は自分のスタートアップに取り組み始めたんだ。中小企業向けにもっと手頃にするためにね(コンプライアンス管理のためで、認証そのものはやってないけど)。

Metaは技術面接でExcalidrawを使ってたけど、主に未実行のコードを評価するためのEtherpad(共同テキストエディタ)として使ってたよ。だから、PiratePadやEtherpad、Googleドキュメントでも十分だと思う。