カリフォルニア州、サンマテオ – 2021年5月10日 – PingCAP社は、TiDB Cloudサービスの初めてのSOC 2 Type 2監査が完了したことを発表しました。独立したサードパーティ組織によって広範囲にわたる監査が実施されました。2020年8月1日から2021年1月31日の期間中、サービスとお客様のデータを保護するために設計されたPingCAPの統制機能が有効に機能していることが実証されました。お客様は、デジタル・クラウドへの変革を実現しつつ、増え続けるセキュリティ・コンプライアンスに対応できるデータベース・プラットフォームの導入を求めています。今回の監査を経て、PingCAPは、TiDBをクラウドデプロイメントのための信頼できる主要データベースプラットフォームにするというビジョンを実現します。そうすれば、企業は自信をもってデータをデプロイおよび管理するとともに、最も厳しいコンプライアンス要件やセキュリティ要件を満たすことができます。
SOC 2 Type 2監査とは?
System and Organization Controls 2(SOC 2)監査では、該当するTrust Services Categories(TSC)に関連する、組織の統制機能を調べます。2020年8月、PingCAPは、Schellman & Company, LLCによるSOC 2 Type 1監査が無事終了したことを発表しました。これでPingCAPの統制機能が適切に設計されており、セキュリティ、可用性、秘密保持のTSC要件を満たしていることが証明されたことになります。SOC 2 Type 1レポートでは、レポート作成日における統制機能の水準を保証していますが、SOC 2 Type 2監査では、設計された統制機能が一定期間(つまりレポート審査期間)にわたって効率的に機能したという、より強力な保証を提供しています。独立した監査人が各統制機能の監査テストを実施した後、統制機能がどのように運用されたのか、統制機能メンテナンスに不備があったかどうかなど、詳細な情報が記載された認証レポートが作成されます。お客様がコンプライアンス要件に対応しようとする際、セキュリティ質問票に代わる有効な手段として、しばしばこれらのレポートが活用されます。
PingCAPのSOC 2レポートに記載されている項目とは?
このレポートには、まず、TiDB Cloudサービスのセキュリティ、可用性、秘密保持を確保するための、PingCAPのさまざまな統制機能が記載されています。また、これらの統制機能をサポートするインフラストラクチャ、ソフトウェア、データ、スタッフ、各プロセスが詳しく説明されています。これにより、読者は、PingCAPチームがどのようにしてお客様のデータを保護し、TiDB Cloudサービスを運用しているのかを理解することができます。最後に統制機能テストの結果が記載されています。これにより、お客様は十分な情報に基づく意思決定を行うことができます。以下は、このレポートで取り扱う統制機能の例です。
- セキュリティおよび可用性のモニタリング
- 脆弱性マネジメント
- 実稼働環境へのアクセス権コントロール
- 従業員のオンボーディングおよび解雇の手続き
- エンドポイントの保護
- リスク評価
- 顧客とのコミュニケーション
- インシデントレスポンスおよびディザスタリカバリ
PingCAPの広範囲にわたるコンプライアンスプログラムの詳細について知りたい場合は、完全なレポートのコピーをアカウント担当者にご請求ください。
※ 現時点までレポートは英語版のみを提供いたします。
次の行動は?
PingCAPは、初めてのType 2監査を完了したことを非常に誇りに思っていますが、私たちの取り組みがここで終わるわけではありません。監査を今後も継続的に受けることによって、SOC 2コンプライアンスを実践していくことを約束します。TiDB Cloudサービスを今後も展開していく中で、コンプライアンスプログラムをさらに成熟させていくことに専念し、お客様が信頼性の高いセキュアなクラウドデータベースPaaSをスムーズに導入できるようにします。検査を継続していくことは、改善の余地を見つけるのに非常に有効な方法です。そうすれば、お客様から信頼を得られるだけでなく、その信頼を着実に高めていくことができます。
PingCAPについて
PingCAPは、エンタープライズ向けのソフトウェアサービスプロバイダーとして2015年に設立され、オープンソースでクラウドネイティブなワンストップのデータベースソリューションを提供することにコミットしています。PingCAPの社名は、ネットワークの疎通を確認するために使用されるコマンド「Ping」とCAP定理の「CAP」の2つの単語を組み合わせています。3つのうち2つを選ばなければならないとされるCAP定理のC (Consistency – 一貫性)、A (Availability – 可用性)、P (Partition Tolerance – ネットワーク分断への耐性) ですが、この3つの全てに接続したい (Ping) という思いが込められています。PingCAPの詳細については https://pingcap.co.jp をご覧ください。
本件に関するお問合わせ先
PingCAP株式会社 広報部
Email:pingcapjp@pingcap.com