何が起きたか
2026年1月30日、さくらインターネットはさくらのクラウドについて SOC2 Type1 報告書を新たに取得したと発表した。基準日は 2025年10月31日。
ここで押さえておきたいのは、今回の対象がデータセンターではなくクラウドサービスそのものだという点だ。つまり、物理インフラの管理だけでなく、ユーザーが直接触るサービスレイヤーのセキュリティ統制を第三者が評価したことになる。その結果、データセンターからサービスへと SOC 対応の範囲が一段広がった。
この動きは、近年のAIを活用した自律型セキュリティ診断の進化と合わせて見ると、クラウドサービスのセキュリティ体制が攻めと守りの両面から強化されていることがわかる。
SOC2 とは何か
まず前提を整理しておこう。SOC2(Service Organization Control 2)は、米国公認会計士協会(AICPA)が策定した、サービス提供組織の内部統制を評価する監査基準だ。評価の軸になるのが Trust Service Criteria(信頼サービス規準) と呼ばれる 5 つの領域になる。
| 規準 | 内容 |
|---|---|
| セキュリティ | 不正アクセスからの保護 |
| 可用性 | サービスの安定稼働 |
| 処理の完全性 | データ処理の正確性 |
| 機密性 | 機密情報の適切な管理 |
| プライバシー | 個人情報の保護 |
独立した監査人がこれらの規準に沿って統制の状況を評価する。
Type1 と Type2 の違い
| Type1 | Type2 | |
|---|---|---|
| 評価の対象 | ある一時点での統制の設計 | 一定期間にわたる統制の運用 |
| 例え | 設計図を見る | 実際の運用を見る |
| 期間 | スナップショット | 通常 6〜12 ヶ月 |
| 信頼度 | 設計の妥当性を確認 | 設計が継続的に機能していることを確認 |
言い換えれば、Type1 は「仕組みがきちんと設計されているか」のスナップショット評価。一方、Type2 は「その仕組みが実際に機能し続けているか」の継続評価だ。したがって、Type1 を取得してから Type2 に進むのが一般的な流れになる。
さくらインターネットの SOC 取得の歩み
では、今回の取得はどのような背景から生まれたのか。実は突然のものではない。さくらインターネットが長年積み重ねてきたセキュリティ対応の延長線上にある。
| 時期 | 取得内容 |
|---|---|
| 2017年5月 | 石狩データセンターで SOC2 Type1 を初取得 |
| 2020年10月 | SOC2 Type2 および SOC3 報告書を取得 |
| 2025年7月 | SOC2 / SOC3 報告書を更新 |
| 2026年1月 | さくらのクラウドで SOC2 Type1 を新たに取得 |
このように、データセンターの物理セキュリティから始まり、Type2 への昇格を経て、今回はクラウドサービス単体での取得に至った。この段階的な拡大は、SOC 対応の成熟度を示している。
国産クラウドの SOC2 対応状況
それでは、さくらインターネットの取得を文脈づけるため、主要な国産クラウド事業者の SOC2 対応状況を整理してみよう。
| 事業者 | SOC2 Type1 | SOC2 Type2 | 特記事項 |
|---|---|---|---|
| KDDI(KDDIクラウド) | 取得済 | 8 年連続取得 | 通信キャリア系で最も長い実績 |
| IIJ(IIJ GIO) | 取得済 | 取得済 | DC 含む包括的な SOC 対応 |
| GMOクラウド | 取得済 | — | ConoHa 等一部サービスが対象 |
| NTT Com(SDPF) | 取得済 | 取得済 | グローバル展開に伴う SOC 対応 |
| さくらインターネット | DC + クラウド | DC のみ | 今回クラウド単体の Type1 を新規取得 |
この中で特に目を引くのは、KDDI が Type2 を 8 年連続で維持している点だ。さくらインターネットはデータセンターでは Type2 まで到達しているものの、クラウドサービス単体では今回が Type1 の起点となる。そのため、次のステップは当然、クラウドサービスでの Type2 取得だろう。
SOC2 と他のセキュリティフレームワークの位置づけ
ただし、SOC2 はクラウドセキュリティを評価するフレームワークの一つにすぎない。他にもいくつかの基準がある。ここでは、日本で実務に関わる主要な基準を横並びで比較する。
| 観点 | SOC2 | ISMS(ISO 27001) | ISMAP | CSA STAR |
|---|---|---|---|---|
| 策定元 | AICPA(米国) | ISO/IEC(国際) | 日本政府 | CSA(国際) |
| 評価方式 | 監査人によるレポート | 認証機関による審査 | 政府の評価委員会 | 自己評価 or 第三者評価 |
| 主な用途 | 委託先管理・B2B 評価 | 情報セキュリティ全般 | 政府調達の前提条件 | クラウド固有のリスク評価 |
| 公開範囲 | NDA ベースで開示 | 認証取得の事実は公開 | 登録リストを公開 | レジストリで公開 |
| 日本での浸透度 | エンタープライズ中心 | 広く普及 | 官公庁必須 | まだ限定的 |
この中で特に注目すべきは ISMAP(政府情報システムのためのセキュリティ評価制度) だ。2020年に導入され、約 1,200 の管理策で構成される。政府クラウドに採用されるためには ISMAP 登録が事実上の前提条件となっている。
さくらインターネットは 2023年11月にガバメントクラウドに条件付きで採択された。その後も要件達成を進め、2025年12月時点で 122 項目中 116 項目の技術要件を達成済みとされる。こうした背景を踏まえると、今回の SOC2 取得もガバメントクラウド対応の流れの一環と見ることができる。
実務面での影響 — なぜ気にすべきか
ここからは、今回の SOC2 取得がクラウド利用者にとって具体的にどう影響するかを見ていく。
1. クラウド選定時の客観的な判断材料が増える
クラウドサービスを導入する際、「セキュリティは大丈夫か」という問いに対して、ベンダーの自己申告ではなく独立した監査人による評価報告書を確認できるようになる。特に、エンタープライズ案件や ISMS 取得企業では委託先の統制評価を求められる場面が増えている。そうした場面で SOC2 報告書はそのまま判断材料として使える。
2. 国産クラウドの選択肢が広がる
データ主権やレイテンシの観点から国産クラウドを選びたいケースは少なくない。しかし、これまでは SOC2 未取得という点がネックになることがあった。今回の取得により、さくらのクラウドも SOC2 という国際的に認知された基準を満たし、AWS や GCP と同じ土俵で比較検討できるようになった。
3. コンプライアンス対応の工数を減らせる
自社で SOC2 や ISMS の認証を維持している企業にとって、利用するクラウドサービスが SOC2 報告書を持っていれば、委託先管理の監査工数を大幅に削減できる。逆に言えば、SOC2 報告書がないクラウドを使っている場合、自社で独自に統制評価を行う必要があり、その分のコストと時間がかかっている。
SOC2 報告書を確認する際の7つのチェックポイント
実際に SOC2 報告書を閲覧する機会を得たとき、どこを見ればよいのか。以下の 7 つのポイントを押さえておけば、報告書の内容を正しく評価できる。
- 対象範囲(Scope): どのサービスが対象か。「さくらのクラウド」全体か、特定コンポーネントか
- 選択された Trust Service Criteria: 5 つのうちどれが評価対象か。セキュリティのみの場合もある
- 監査意見(Opinion): 無限定適正意見か、限定付き意見か、不適正意見か
- 例外事項(Exceptions): 統制の逸脱が発見されていないか
- 補完的統制(Complementary User Entity Controls): 利用者側で実装すべき統制が何か
- サブサービス組織の取り扱い: データセンターなど外部委託先の統制をどう扱っているか
- 基準日 / 評価期間: Type1 なら基準日、Type2 なら評価期間を確認
この中で特に見落としやすいのが「補完的統制」だ。SOC2 報告書は「サービス提供者側の統制」を評価したものであり、利用者側で対処すべきセキュリティ対策が別途記載されている。これを無視してしまうと、SOC2 を取得したサービスを使っているにもかかわらず、セキュリティインシデントが発生するという事態になりかねない。報告書を「取得済み」の事実だけで安心するのではなく、中身を読んで自社側の対応事項を把握することが不可欠だ。
報告書の閲覧方法
なお、SOC2 報告書は一般には公開されない。NDA 等の条件のもとで開示されるのが通常だ。そこで、主要クラウドプロバイダの報告書へのアクセス方法を整理しておく。
| プロバイダ | アクセス方法 |
|---|---|
| AWS | AWS Artifact(マネジメントコンソール内で NDA 同意後にダウンロード) |
| Google Cloud | Compliance Reports Manager(同意後にダウンロード) |
| Microsoft Azure | Service Trust Portal(NDA 同意後) |
| さくらのクラウド | 営業担当またはカスタマーセンター([email protected])に問い合わせ |
AWS・GCP・Azure がセルフサービスで報告書にアクセスできるのに対し、さくらのクラウドは問い合わせベースだ。そのため、クラウド選定の検討フェーズで報告書を確認したい場合は、早めに連絡しておくことをおすすめする。
今後の展望 — Type2 への道のりと注目ポイント
一般的に、SOC2 Type1 を取得した組織は 1〜2 年以内に Type2 への移行を目指す。さくらインターネットはデータセンターでは既に Type2 を取得しているため、クラウドサービスでの Type2 取得も時間の問題だろう。
加えて、さくらインターネットは近年、インフラ面でも大きな動きを見せている。
- GPU クラウド: 高火力シリーズで NVIDIA H100/H200 を提供、2025年に TOP500 で世界 49 位にランクイン
- データセンター投資: 石狩 DC の大規模拡張に 53 億円を投じ、2026年に新棟稼働予定
- ガバメントクラウド: 2023年11月に条件付き採択、技術要件の達成が進行中
このように、インフラの拡大とセキュリティ認証の強化が並行して進んでいる。クラウドサービスの信頼性は性能だけでは測れない。だからこそ、第三者評価の積み重ねが、選ぶ側にとっての判断材料になる。
よくある疑問
SOC2 を取得していれば安全なのか
SOC2 はあくまで「統制が設計・運用されているか」を評価したものであり、「絶対にセキュリティインシデントが起きない」ことを保証するものではない。報告書に記載された補完的統制を利用者側で実装しなければ、SOC2 取得済みサービスを使っていてもリスクは残る。
Type1 だけで十分か
Type1 は設計の妥当性を確認したスナップショット評価だ。そのため、継続的に統制が機能しているかは Type2 でなければ確認できない。委託先管理の観点からは、Type2 の方が信頼性が高い。ただし、Type1 の取得自体が「統制を設計し、監査を受け入れる体制がある」ことの証明にはなるため、まったく無意味ということではない。
ISMAP と SOC2 はどちらが上か
両者は目的と評価方式が異なるため、単純な上下関係にはない。ISMAP は日本政府の調達要件であり、SOC2 は国際的な委託先管理の基準だ。両方を持っていることが、国内外の顧客に対する信頼性の幅を広げる。
まとめ
- SOC2 Type1 は、内部統制の設計が適切であることを第三者が評価したもの
- 今回は「さくらのクラウド」サービス単位での取得がポイント
- 国産クラウドの SOC2 対応は KDDI、IIJ、NTT Com が先行しており、さくらはクラウド単体での Type1 が起点
- ISMAP やガバメントクラウドの文脈と合わせて読むと、国産クラウドのガバナンス体制は着実に厚みを増している
- 報告書を閲覧する際は、対象範囲・監査意見・補完的統制を必ず確認する
- SOC2 報告書を「取得済み」の事実だけで終わらせず、中身を確認して自社の対応事項を把握することが不可欠
参考リンク