SOC 2
Service and Organization Controls(SOC)2 は、米国公認会計士協会(AICPA)の監査基準審議会(AICPA)SSAE 18 に基づく報告書です。この報告書は、トラスト サービスの基準(セキュリティ、可用性、処理の整合性、機密性保持、プライバシー)に関連するサービス組織の管理を評価するものです。
Google Cloud と Google Workspace の SOC 2 レポートをお探しですか?お客様は、ご都合のよいときに Compliance Reports Manager からレポートをリクエストできます。
Google Cloud と SOC 2 のコンプライアンス
Google Cloud の SOC 2 レポートへのアクセス
Google Cloud は、この標準に関連するプロダクト、システム、インフラストラクチャについて、第三者機関による監査を定期的に受けています。SOC 2 レポートは、顧客データを保護するためのコントロールについて Google Cloud が作成した一連のアサーションを証明する、客観的な第三者によって生成されます。監査会社による評価には、監査期間中における管理策の設計および運用効率についての包括的なテストが含まれます。
お客様は、評価対象期間中の Google Cloud および Google Workspace のシステムとのやり取りから生じるリスクを評価するために、SOC 2 レポートを使用できます。
Google Cloud の SOC 2 タイムライン
Google Cloud と Google Workspace のコア SOC 2 レポート
Google Cloud と Google Workspace のコアとなる SOC 2 Type II レポートは半年に 1 回発行され、Compliance Reports Manager からダウンロードできます。これらのレポートの対象期間と発行日は次のとおりです。
- 上半期
- 適用期間: 5 月 1 日~ 4 月 30 日
- 発行予定: 6 月中旬
- 下半期
- 適用期間: 11 月 1 日~ 10 月 31 日
- 発行予定: 12 月中旬
その他の Google Cloud SOC 2 レポート
ブリッジレター
ブリッジレターは、サービス プロバイダ(この場合は Google Cloud)の経営陣が作成する証明書であり、SOC レポートの終了日からお客様の期間終了日までのギャップを埋める(ブリッジする)意義があります。ブリッジ・レターは、最新の SOC 報告書の期間終了日以降に内部統制環境内で特定された重要な変化や問題を要約したものです。 SOC 1 および SOC 2 レポートのブリッジレターのみご利用いただけます。
Google Cloud は、毎月のブリッジレターを作成し、各レターが最新の SOC レポートからの期間をカバーするようにデザインされています。たとえば、Google Cloud は 11 月 1 日から 12 月 31 日までのルックバック期間を対象とするブリッジレターを 1 月上旬に発行します。これにより、以前に発行された SOC レポートの対象期間が 10 月 31 日に延長されます。
Google Cloud と Google Workspace のコア SOC 2 レポートの SOC ブリッジレターは、3 月 31 日、6 月 30 日、9 月 30 日、12 月 31 日に終了する期間を対象に、Compliance Reports Manager で入手できます。異なる期間の終了日またはプロダクト スコープを対象とするブリッジレターが必要な場合は、営業担当者またはサポートにお問い合わせください。
よくある質問
独立した第三者監査を実施しているのは誰ですか?
Google Cloud の独立監査人は、Ernst & Young LLP と Coalfire です。
SOC 2 Type II 報告書は SOC 2 Type I 報告書とどう違うのですか?
SOC 2 Type I 報告書は、特定の時点でのサービス組織の統制設計について規定するものです。SOC 2 Type II 報告書は、サービス組織の管理体制の設計と運用の有効性を一定期間にわたって報告するものです。たとえば、SOC 2 Type I は現時点でサービス組織の統制を評価しており、SOC 2 Type II は過去 6 か月以内のサービス組織の統制を評価しています。Google Cloud が発行するのは SOC 2 Type II 報告書のみです。
対象範囲内のサービス
SOC 2 の対象となる Google Cloud サービスは以下のとおりです。
Google Cloud
サービスの名前を簡略化し、かっこ内に旧名を記しています。
AI Platform Deep Learning Container
AI Platform Neural Architecture Search (NAS)
AI Platform Training と Prediction
Anti-Money Laundering (AML) AI
BigQuery Data Transfer Service
Cloud External Key Manager (Cloud EKM)
Cloud Hardware Security Module (HSM)
Cloud Intrusion Detection System (IDS)
Cloud Key Management Service (KMS)
Cloud Life Sciences (旧 Google Genomics)
Cloud Virtual Private Network (VPN)
Generative AI on Vertex AI(旧 Generative AI Support on Vertex AI)
GKE Enterprise Config Management
Google Cloud Identity-Aware Proxy
Google Cloud VMware Engine (GCVE)
Identity & Access Management (IAM)
Key Access Justifications (KAJ)
Managed Service for Microsoft Active Directory (AD)
Migrate to Virtual Machines (旧 Migrate for Compute Engine)
Notebooks(旧 AI Platform Notebooks)
Sensitive Data Protection(Cloud Data Loss Prevention を含む)
Google Security Operations 向け脅威インテリジェンス
Vertex AI Conversation (旧 Generative AI App Builder)
Vertex AI Platform (旧 Vertex AI)
Google Workspace
関連するプロダクトとサービス
アクセスの透明性
アクセスの透明性
Google Cloud の管理者がコンテンツにアクセスする際に、コンテンツの所有者にほぼリアルタイムのログを提供します。
Cloud Key Management Service
Cloud Key Management Service
オンプレミス型と同じ方法でクラウド サービスの暗号鍵を管理して、Google Cloud に保管している秘密情報やその他の機密データを保護します。
Google Cloud Armor
Google Cloud Armor
インフラストラクチャやアプリケーションに対する DDoS 攻撃を、Google のグローバルなインフラストラクチャとセキュリティ システムを使用して広範囲に防御します。
Security Command Center
Security Command Center
仮想マシン、ネットワーク、アプリケーション、ストレージの脅威を 1 か所で防止、検出し、損害や損失に発展する前に対策を取ることができます。
Sensitive Data Protection(Cloud Data Loss Prevention を含む)
Sensitive Data Protection(Cloud Data Loss Prevention を含む)
氏名、クレジット カード番号、Google Cloud 認証情報などの機密データを、高速かつスケーラブルに分類して秘匿化します。
VPC Service Controls
VPC Service Controls
Cloud Storage バケット、Bigtable インスタンス、BigQuery データセットといった Google Cloud リソースの周囲にセキュリティ境界を定義して、機密データが公開されないようにします。
セキュリティのベスト プラクティスに関する情報
ベスト プラクティスを見るよくある問題を解決する
セキュリティのユースケース動画を見るパートナーの活用
セキュリティ パートナーを見る
