Kaspersky、包括的なSOC 2 Type 2監査に合格

[本リリースは、2023年6月23日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyはこのたび、SOC 2 Type 2（Service Organization Control for Service Organizations）監査に合格し、独立監査法人より保証報告書を受領しました。米国公認会計士協会（AICPA）によって開発されたSOC報告書のフレームワークは、組織のセキュリティ統制がAICPAのTrustサービス基準（TSC）の五つの対象範囲である、セキュリティ、可用性、処理のインテグリティ、機密性、プライバシーに準拠していることを示すものです。これにより、当社がアンチウイルス定義データベースの開発とリリースのプロセスを不正な改ざんから保護するために実施している、内部統制の有効性が認められたことになります。今回の監査は、2022年12月から2023年5月の6カ月にわたって行われました。

当社は2019年に初めてSOC 2 Type 1の監査を受けて以来、継続的に監査を受け続け、全て保証を受けた報告書を受領しています。SOCフレームワークは、AICPAによって開発され、国際的に認められたサイバーセキュリティリスク管理システムの規格です。このフレームワークは、組織においてセキュリティに関する内部統制が整備され運用されていることを、その組織の顧客が確認できるようにすることを目的としています。当社が掲げる透明性の原則に基づき、当社のプロセスとソリューションの信頼性、ならびにAICPAの五つの基準に準拠していることを確認するために、この規格を選択しました。

監査では、WindowsとUnixシステム用の定義データベースの開発と実装に使用される当社のプロセスが確認されました。なお、対象には内部統制の以下の要素も含まれます。

・組織とマネジメント
・コミュニケーション
・リスク管理
・内部統制のモニタリング

監査では、適切な管理・監督・スタッフの調査、当社の活動と運用の監視、当社の文書と記録の検査も行われました。これまで受けてきたSOC 2 Type 1の監査とは異なり、今回のType 2監査では、特定の時期における当社の内部統制の実施状況だけでなく、2022年12月から2023年5月までの6カ月間における内部統制の運用状況の有効性も監査されました。監査の結果、定義データベースを定期的に自動アップデートする内部統制は効果的であること、また、定義データベースの開発と実装のプロセスも改ざんから保護されていることが結論づけられました。

Kasperskyの最高技術責任者（CTO）アントン・イワノフ（Anton Ivanov）は次のように述べています。「お客様のセキュリティは私たちにとって何よりも重要です。今回、当社のセキュリティの内部統制とプロセスが適切に実施されており、AICPAのセキュリティ基準に準拠しているという評価について、改めて第三者から認められたことをうれしく思います。SOC 2 Type 2監査によって、当社のシステムにおいてセキュリティの内部統制メカニズムが効果的に確立されていることがお客様に対して保証され、また当社の内部プロセスが業界最高水準に準拠していることも証明されました」

当社の内部プロセスの定期的な監査は、当社のお客様やパートナーと信頼関係を構築し、当社が透明性の原則の順守を証明することを目的とした、透明性への取り組み（Global Transparency Initiative：GTI）の柱の一つです。今回新たに受領したSOC 2報告書をご希望の場合は、こちらからリクエストしていただけます。