「エンタープライズ顧客の RFP(提案依頼書)に SOC2 Type 2 レポート提示が必須要件として入った」「米国・欧州の上場企業から導入条件として SOC2 を求められた」――100-500 名規模の中堅 SaaS / 受託開発会社で、ここ 1-2 年で急増している声だ。 B2B SaaS の受注スコアリングや調達基準で、SOC2 Type 2 の有無がそのまま「商談に乗るか落ちるか」の足切りラインになりつつある。

本稿は 100-500 名規模の中堅 SaaS / 受託開発会社向けに、SOC2 Type 2 取得の 5 フェーズロードマップ、費用 1,200-3,500 万円の内訳、12-18 ヶ月の段階計画、Drata / Vanta / Sprinto 等のコンプラ自動化ツールの選び方、監査人選定の 6 基準、ISO 27001 / Pマーク(プライバシーマーク)との違いと共通整備を整理する。本記事の費用・期間レンジは AICPA、Drata 公式、Vanta 公式、IPA、JIPDEC、ISMS-AC が公表する一次資料および、SaaS 業界の公開ベンチマーク(2025-2026 年)に基づく。

目次

  1. SOC2 とは|Type 1 / Type 2 / TSC 5 領域
  2. 取得ロードマップ 5 フェーズ
  3. 費用内訳|PoC / 中規模 / 大規模 3 段階
  4. コンプラ自動化ツール比較
  5. 監査人選定の 6 基準
  6. ISO 27001 / Pマーク との違いと共通整備
  7. 中堅向け 12-18 ヶ月段階計画
  8. よくある質問(FAQ)
  9. 関連記事

SOC2 とは|Type 1 / Type 2 / TSC 5 領域

SOC2 の位置付け

SOC2(System and Organization Controls 2)は、米国公認会計士協会(AICPA)が定める内部統制保証報告書の 1 つで、SaaS 事業者・クラウド事業者・受託開発会社が 顧客から預かるデータをどう守っているか を、独立した第三者監査人(CPA)が評価し、レポートとして発行する仕組みである。出典:AICPA "SOC 2 - SOC for Service Organizations"(aicpa-cima.com)。

エンタープライズ顧客(特に北米・欧州・上場企業の調達部門)は、ベンダー選定時に SOC2 レポートの提出を求めることが一般化している。RFP の必須要件、ベンダーリスク管理(VRM)プロセスの足切り条件、契約書のセキュリティ別紙への引用――この 3 点で SOC2 が組み込まれている場合、レポートが無いベンダーは商談のテーブルに着けない。

Type 1 と Type 2 の違い

SOC2 には 2 種類のレポートがある。

  • Type 1:ある「ある時点」(point in time)における、統制の 設計(design) が適切かを評価する。所要期間は短く、コストも低い。「最初の 1 枚」として取得されることが多い。
  • Type 2:「ある期間」(最低 3 ヶ月、推奨 6-12 ヶ月)にわたって、統制が 設計どおりに運用されている(operating effectively) かを評価する。証跡(evidence)の継続収集が前提となる。

エンタープライズ顧客が要求するのはほぼ Type 2 である。Type 1 は途中段階のマイルストーンと位置付けるのが現実的で、最終ゴールは Type 2 の継続更新(年次)になる。

Trust Services Criteria(TSC)の 5 領域

SOC2 監査の評価軸となるのが、Trust Services Criteria(TSC)と呼ばれる 5 つの領域である(AICPA TSC 2017 / 2022 改訂版)。

  1. Security(セキュリティ):必須領域。アクセス制御、変更管理、脆弱性管理、インシデント対応、ネットワーク保護等。
  2. Availability(可用性):オプション。SLA、DR、バックアップ、容量管理。
  3. Processing Integrity(処理のインテグリティ):オプション。入力検証、処理の正確性、ジョブ管理。
  4. Confidentiality(機密性):オプション。データ分類、暗号化、機密情報の取扱い。
  5. Privacy(プライバシー):オプション。個人情報の通知・選択・利用・保管・廃棄。

中堅 SaaS / 受託開発の典型的なスコープは Security + Availability + Confidentiality の 3 領域 で、商材の性質によって Privacy または Processing Integrity を追加する設計が多い。スコープを広げるほど監査工数・費用は増える。

取得ロードマップ 5 フェーズ

100-500 名規模の中堅企業が SOC2 Type 2 を取得する標準プロセスは、以下の 5 フェーズに分解できる。

Phase 1: Gap 分析 / Readiness 評価(1-2 ヶ月)

現状の統制と TSC 要件のギャップを棚卸しするフェーズ。コンプラ自動化ツールの初期スキャン、ポリシー・手順書の現状ヒアリング、技術統制(IAM、ロギング、暗号化、脆弱性管理)の構成確認、人事・物理セキュリティの整備状況確認を行う。

成果物は「Gap Assessment Report」で、TSC 5 領域のうちスコープに含めるものについて、Pass / Partial / Fail を一覧化する。中堅企業の Phase 1 開始時点では、初期 Pass 率は概ね 30-50% に収まることが多い(業界・業歴・既存 ISO 27001 取得有無による)。

Phase 2: 統制整備(3-6 ヶ月)

Gap で Fail / Partial だった項目を整備するフェーズ。情報セキュリティポリシー・手順書の整備、IAM(特権アカウント分離、MFA 強制、退職者削除自動化)、変更管理(PR レビュー、Production deploy 承認)、脆弱性管理(依存関係スキャン、ペネトレーションテスト計画)、インシデント対応プロセス、ベンダー管理(サブプロセッサ評価)、人事プロセス(バックグラウンドチェック、年次セキュリティ研修)等を整える。

このフェーズで最も工数を取るのは「ポリシー・手順書の文書化」と「証跡を継続収集する仕組みの構築」である。コンプラ自動化ツールが効くのは後者で、各種 SaaS(GitHub、AWS、Okta、Jira 等)と API 連携して証跡を自動取得する設計を組む。

Phase 3: 運用期間(3-12 ヶ月)

整備した統制を「運用」する期間。Type 2 では最低 3 ヶ月、推奨 6-12 ヶ月の運用実績が必要となる。ここで重要なのは、運用期間中に統制が「設計どおりに動いている」証跡を継続的に蓄積することである。

具体的には、四半期 / 月次 / 週次 / 日次のサイクルで実施するレビュー、アクセスレビュー、脆弱性スキャン、ログレビュー、変更承認のサンプリング、インシデント対応訓練、復旧訓練(DR テスト)等を計画通り実施し、その記録を残す。1 サイクルでも抜けると「例外事項(Exception)」として監査レポートに記載されるリスクがある。

Phase 4: 監査(1-2 ヶ月)

監査人(CPA 法人)による正式な監査フェーズ。事前ミーティング、エビデンスリクエスト、サンプリングテスト、コントロールテスト、ヒアリングを経て、監査人が監査報告書を作成する。中堅企業のサンプリング対象は、ユーザー数・変更回数・インシデント数等によるが、数十-数百サンプルになることが一般的。

監査中に「例外事項」が発見された場合、是正計画を提出し、軽微なものは「is not a material weakness(重要な不備ではない)」としてレポートに併記される。重大な不備は監査スコープからの除外または再運用期間設定の判断が必要になる。

Phase 5: レポート発行 / 顧客提示 / 年次更新

監査人から SOC2 Type 2 レポートが発行される。レポートは機密情報を含むため、NDA(秘密保持契約)下で顧客・見込み顧客に提示する運用が一般的である。発行から 1 年経過すると「stale」(陳腐化)扱いとなるため、年次で更新監査が必要になる。

中堅企業は 2 年目以降、運用が定常化すれば、年次更新のコストは初年度の 60-75% 程度に圧縮できることが多い(同じ監査人を継続採用する前提)。

費用内訳|PoC / 中規模 / 大規模 3 段階

SOC2 Type 2 取得の総費用は、企業規模・スコープ・既存統制の成熟度・コンプラ自動化ツールの有無で大きく変動する。本稿では中堅 SaaS / 受託開発の典型ケースを 3 段階で整理する。

費用の主要構成要素

総費用は概ね以下の 4 要素で構成される。

  • コンプラ自動化ツール:年額 200-800 万円(規模・連携 SaaS 数・ユーザー数による)
  • 監査人費用(CPA 法人):Type 1 が 200-400 万円、Type 2 が 400-1,200 万円(スコープ・サンプル数・追加 TSC 領域数による)
  • 内部工数:プロジェクトマネージャー 0.5-1 人月 ×12-18 ヶ月、セキュリティ担当 1-2 人月 ×6-12 ヶ月、技術リード 0.3 人月 ×6 ヶ月
  • 外部コンサル / 弁護士:Gap 分析支援 100-300 万円、ポリシー文書レビュー 50-200 万円

3 段階の費用レンジ

規模想定企業期間ツール費監査人費内部工数換算コンサル / 法務総額レンジ
PoC 規模50-150 名 / 単一プロダクト / Security のみ12-15 ヶ月200-400 万円400-700 万円400-700 万円100-200 万円1,200-2,000 万円
中規模150-300 名 / 複数プロダクト / Security + Availability + Confidentiality14-18 ヶ月400-700 万円700-1,100 万円600-1,000 万円200-400 万円1,900-3,200 万円
大規模300-500 名 / マルチプロダクト / TSC 5 領域 + Privacy16-20 ヶ月600-900 万円1,000-1,500 万円800-1,400 万円300-600 万円2,700-4,400 万円
費用レンジは 2025-2026 年の SaaS 業界公開ベンチマーク、Drata / Vanta 公式の試算ガイド、複数の中堅 SaaS 公開事例から算出した参考値である。実際の見積は企業特性により ±30% 程度の振れ幅がある。

コスト圧縮の主要レバー

中堅企業が総費用を圧縮するための主要なレバーは以下の通り。

  1. 既存 ISO 27001 取得済みの場合:統制整備の重複が大きく、Phase 2 工数を 30-50% 削減できる
  2. コンプラ自動化ツールの早期導入:内部工数を 20-40% 削減(証跡収集・棚卸しの自動化)
  3. 監査人を 2 年以上継続採用:2 年目以降の監査人費用が 25-40% 圧縮
  4. TSC スコープを段階的に拡張:初年度 Security のみ→翌年 Availability 追加とすると、初年度コストを抑えつつ顧客要求に応えられる

コンプラ自動化ツール比較

コンプラ自動化ツールは、各種 SaaS(GitHub、AWS、Azure、GCP、Okta、Jira、Slack 等)と API 連携し、SOC2 / ISO 27001 / HIPAA / PCI-DSS 等の各統制について、証跡を自動収集・継続監視するプラットフォームである。

中堅 SaaS / 受託開発で導入実績の多い 6 製品を比較する。

ツール本社強み中堅向け価格目安(年額)日本語対応国内サポート
Drata米国統合数 100+ / SOC2 / ISO 27001 / HIPAA / PCI / GDPR 包括 / Trust Center250-700 万円UI 部分対応パートナー経由
Vanta米国SaaS 連携最多級 / Trust Report / 中小〜中堅で最大シェア250-700 万円UI 部分対応パートナー経由
Tugboat LogicOneTrust 傘下OneTrust エコシステム / Privacy 強い300-800 万円UI 部分対応パートナー経由
Sprintoインド価格競争力 / 中堅向けに人気上昇200-500 万円UI 部分対応海外サポート中心
Hyperproof米国フレームワーク横断(SOC2 / NIST CSF / FedRAMP 等)300-700 万円UI 限定対応海外サポート中心
OneTrust米国Privacy / GRC 統合 / 大企業向けで強い500-1,200 万円UI 対応国内拠点あり
価格は 2025-2026 年の公開情報・公開事例ベースの参考レンジ。ユーザー数、連携 SaaS 数、カスタマーサクセス契約の有無で変動する。

選定の主要観点

中堅 SaaS / 受託開発がコンプラ自動化ツールを選ぶ際の主要観点は以下の通り。

  • 連携対応 SaaS の網羅率:自社で使っている SaaS(特に AWS / GCP / Okta / GitHub / Jira)が標準連携されているか。手動アップロードが多いとツール導入の意味が薄れる
  • マルチフレームワーク対応:SOC2 単独か、ISO 27001 / HIPAA / PCI-DSS 等を将来的に追加する想定があるか
  • Trust Center 機能の有無:顧客に SOC2 レポートや SIG(Standardized Information Gathering)回答を Self-Service 提供する機能。営業現場の負担を大きく下げる
  • 日本語対応とサポート体制:UI ローカライズ範囲、ドキュメント日本語化の有無、国内パートナー経由のサポート可否
  • 既存セキュリティチーム規模との適合性:1-2 名の小規模チームには Sprinto / Vanta、複数領域横断チームには Hyperproof / OneTrust が適合しやすい

無料診断|SOC2 Type 2 取得 Readiness 診断

>

中堅 SaaS / 受託開発 100-500 名規模で、現状の統制成熟度、TSC 5 領域別 Gap、12-18 ヶ月ロードマップの初期試算を、実績ある外部 CPA 監査人ネットワークと連携してご提供します。

>

SOC2 Readiness 診断を受ける

監査人選定の 6 基準

SOC2 監査人(CPA 法人)の選定は、レポートの信頼性と顧客から見た価値を直接左右する重要な意思決定である。中堅 SaaS / 受託開発が監査人を選ぶ際に確認すべき 6 基準を整理する。

1. SaaS / クラウド業界の SOC2 監査実績

過去に同業界の SOC2 Type 2 監査を何件実施しているか。SaaS / クラウド事業者・受託開発会社の監査経験が豊富なファームほど、技術統制(IAM、ログ、変更管理、暗号化)の評価が現実的で、過剰要求になりにくい。

2. 監査人の業界知識(特に CI/CD・クラウド・SaaS アーキテクチャ)

CI/CD パイプライン、クラウドネイティブな IAM 設計、コンテナ・サーバーレス、SaaS の共通統制(マルチテナント、テナント分離)への理解。これが弱い監査人だと、事業実態に合わない統制を要求してしまい、現場の生産性を著しく落とす。

3. 価格透明性

Type 1 / Type 2 / 年次更新の費用レンジが事前に提示されるか。サンプリング数・追加 TSC 領域・是正対応のスコープ外費用について明文化された価格表があるか。

4. 期間(運用期間 + 監査期間)

運用期間の最短設定(最低 3 ヶ月か 6 ヶ月か)、監査期間(フィールドワーク + レポートドラフト + ファイナル発行)の標準スケジュール、ピーク時期(年度末・四半期末)の余裕度。

5. 言語対応

ヒアリング・レポートの言語対応。日本国内のみで完結する場合は日本語対応で十分だが、北米・欧州顧客への提示が前提なら英語版レポート発行が必須となる。日英バイリンガル監査人の有無は要確認。

6. フォローアップ・継続関係

監査後の質問対応、年次更新時の窓口継続、スコープ拡張時の柔軟性。「監査だけして終わり」のファームより、年次更新を見据えて継続的に伴走できるファームを選ぶ方が長期コストは安い。

主要監査人カテゴリ

中堅 SaaS / 受託開発が選択肢として検討するカテゴリは以下の 3 つ。

  • Big 4 系(Deloitte、PwC、EY、KPMG):価格は高めだが、エンタープライズ顧客(特に北米上場企業)から見た「ブランド価値」が高い。年額 1,000-1,500 万円超が目安
  • 中堅米系専門ファーム(A-LIGN、Schellman、BARR Advisory 等):SOC2 専門性が高く、SaaS 業界実績が豊富。価格・期間バランスが取りやすい。年額 600-1,200 万円が目安
  • 国内 CPA / 監査法人:日本語完結、国内顧客への提示で十分な場合に選ばれる。価格は中程度だが、グローバル顧客への提示時の認知度は要確認。年額 500-1,000 万円が目安

ISO 27001 / Pマーク との違いと共通整備

中堅 SaaS / 受託開発では、SOC2 Type 2 と並行して ISO 27001(ISMS)、Pマーク(プライバシーマーク)を取得・併用する設計が一般的である。3 つの違いと共通整備のポイントを整理する。

3 制度の比較

項目SOC2 Type 2ISO/IEC 27001Pマーク(JIS Q 15001)
発行元AICPA(米国)ISO / IECJIPDEC(国内)
スコープ内部統制の運用評価情報セキュリティマネジメントシステム個人情報保護マネジメント
対象主にサービス組織(SaaS / クラウド)全業種個人情報を扱う事業者
主な評価軸TSC 5 領域附属書 A コントロール(ISO 27001:2022 で 93 項目)JIS Q 15001 要求事項
取得期間12-18 ヶ月(Type 2)9-15 ヶ月6-9 ヶ月
費用レンジ1,200-3,500 万円600-1,500 万円200-500 万円
顧客の認知北米・欧州・グローバル B2Bグローバル / 日本でも一定の認知国内 B2B 中心
更新頻度年次3 年(毎年サーベイランス)2 年
出典:AICPA TSC、ISO/IEC 27001:2022、JIPDEC Pマーク制度。

共通整備のポイント

3 制度を別々に整備するのは無駄が大きい。中堅 SaaS / 受託開発では「一元化された統制ベースに、各制度のマッピングを乗せる」設計が有効である。共通整備できる主要領域は以下の通り。

  • 情報セキュリティポリシー / 手順書:3 制度ともに必須。1 つの体系で起草し、各制度のマッピング表を維持する
  • IAM(アクセス管理):3 制度ともに必須。MFA 強制、特権アカウント分離、四半期アクセスレビュー
  • ログ・監視:SOC2 / ISO 27001 で必須、Pマーク でも個人情報アクセスログとして要求される
  • インシデント対応:3 制度ともに必須。手順書、訓練、年次レビュー
  • ベンダー / サブプロセッサ管理:3 制度ともに必須。リスク評価、契約レビュー、年次再評価
  • 従業員教育:3 制度ともに必須。年次セキュリティ研修、入社時研修、退職時手続き

ISO 27001 を先に取得済みの場合、SOC2 Type 2 の Phase 2(統制整備)工数は 30-50% 削減できる。逆も同様。3 制度同時並行は工数集中するため、12-18 ヶ月のスコープでは ISO 27001 → SOC2 Type 2 の順、または SOC2 Type 2 → ISO 27001 の順で時期をずらすのが現実的。

中堅向け 12-18 ヶ月段階計画

100-300 名規模の中堅 SaaS / 受託開発が、ゼロベースから SOC2 Type 2 を取得するための 12-18 ヶ月の段階計画を整理する。

Month 1-2: Kickoff / Gap 分析

  • プロジェクト体制構築(CISO or セキュリティリード + PM + エンジニアリング窓口 + HR 窓口 + 法務窓口)
  • スコープ確定(TSC 5 領域のうち何を含めるか)
  • コンプラ自動化ツール選定・導入(Drata / Vanta / Sprinto 等)
  • Gap 分析実施、現状の Pass / Partial / Fail を一覧化

Month 3-7: 統制整備(前半)

  • 情報セキュリティポリシー・手順書の整備(10-20 文書)
  • IAM 整備(MFA 強制、特権アカウント分離、退職者削除自動化)
  • 変更管理プロセス(PR レビュー要件、Production deploy 承認、緊急変更例外プロセス)
  • 脆弱性管理(依存関係スキャン、SAST、四半期ペネトレーションテスト計画)
  • インシデント対応プロセス、訓練計画
  • 監査人候補との初期ミーティング、Type 1 or Type 2 直接の判断

Month 8-10: 統制整備(後半) / 運用開始

  • ベンダー / サブプロセッサ管理(リスク評価、契約レビュー)
  • 人事プロセス(バックグラウンドチェック、年次研修、退職時手続き)
  • 物理セキュリティ(オフィスアクセス、デバイス管理)
  • DR / BCP(年次復旧訓練、バックアップ検証)
  • Type 2 の運用期間開始(最低 3 ヶ月、推奨 6 ヶ月)

Month 11-15: 運用継続 / 証跡蓄積

  • 月次・四半期サイクルの統制実施・記録
  • アクセスレビュー、ログレビュー、変更承認サンプリング
  • インシデント対応訓練、DR テスト
  • 例外事項の都度対応・記録

Month 16-18: 監査 / レポート発行

  • 監査人によるフィールドワーク、エビデンスリクエスト対応
  • ヒアリング、コントロールテスト
  • 監査ドラフトレビュー、是正対応
  • Type 2 レポート受領、顧客への提示開始

並行作業(全期間)

  • 経営レポーティング(月次セキュリティ KPI、四半期ボードレポート)
  • 法務・契約見直し(SOC2 を契約書セキュリティ別紙に組み込み)
  • 営業 enablement(SOC2 取得済バッジ、Trust Center、SIG 回答テンプレート)

よくある質問(FAQ)

Q1. Type 1 を飛ばして直接 Type 2 を取得すべきか

A. 既に ISO 27001 等の認証を取得済みで統制成熟度が高い場合は、Type 1 を飛ばして Type 2 を直接取得する選択肢がある。一方、ゼロベースの中堅企業では、Type 1 を中間マイルストーンとして取得し、社内統制の整備状況を客観評価したうえで Type 2 に進む方がリスクが低い。Type 1 の費用は Type 2 の 30-50% 程度なので、保険として位置付けられる。

Q2. 100 名規模で SOC2 Type 2 は過剰投資ではないか

A. 顧客リスト次第である。北米・欧州のエンタープライズ顧客や上場企業を顧客に持つ、もしくは持ちたい場合、SOC2 Type 2 が無いと商談の足切りラインで落ちる。一方、国内中小顧客のみであれば、Pマーク + ISO 27001 で十分なケースが多い。「失注している案件で SOC2 が要求されているか」を直近 6-12 ヶ月の RFP ログから確認するのが先決。

Q3. コンプラ自動化ツール無しで取得できるか

A. 物理的には可能だが、内部工数が 1.5-2.5 倍に膨らむ。証跡を Excel / Google Sheets で手動収集・棚卸しすると、運用期間中の継続性確保が極めて困難になり、監査時に「証跡欠落」として例外事項計上されるリスクが高い。中堅規模ではコンプラ自動化ツールの導入が事実上の標準と考えてよい。

Q4. 監査人は日本国内のファームと米系のどちらを選ぶべきか

A. 顧客の所在地・業種次第。北米・欧州顧客への提示が前提なら米系専門ファーム(A-LIGN、Schellman、BARR Advisory 等)が認知度・期待されるレポート品質の観点で有利。国内顧客中心なら国内 CPA 法人で十分。日本拠点があるグローバルファーム(Big 4 等)は両立できるが価格が高い。

Q5. 開発委託先・サブプロセッサが SOC2 未取得だと不利か

A. 自社が SOC2 を取得していても、重要なサブプロセッサ(クラウドホスティング、認証基盤、決済等)が SOC2 / ISO 27001 等を取得していないと、ベンダーリスク管理プロセスで例外事項が増える。AWS / GCP / Azure / Okta / Stripe 等のメジャー SaaS は SOC2 を保有しているのが標準。中小ベンダー利用時は契約・SLA・代替手段を文書化して補完する設計が必要。

Q6. 取得後に統制を破った場合のリスクは

A. 監査期間中に統制違反が発覚した場合、軽微なものは「例外事項」として記載され、重要な不備(material weakness)の場合は監査スコープからの除外または再運用期間の設定が必要になる。レポートに material weakness が記載されると、エンタープライズ顧客から見た価値が大きく毀損するため、運用期間中のサイクル抜けは絶対に避ける運用設計が必要。

Q7. SOC2 と SOC1、SOC3 の違いは

A. SOC1 は財務報告に関する内部統制(決算系業務をアウトソースする場合に要求される)。SOC2 はセキュリティ・可用性・機密性等の運用面の内部統制。SOC3 は SOC2 の公開可能版で、詳細統制を伏せた要約レポート。中堅 SaaS / 受託開発が顧客から要求されるのはほぼ SOC2 Type 2。

Q8. 取得後の年次更新は必須か

A. 顧客契約の更新条件として SOC2 Type 2 レポートの最新版提示が組み込まれている場合がほとんどなので、実質的に年次更新が必須。レポートは発行から 1 年経過すると「stale」(陳腐化)扱いとなり、新規商談・既存契約更新時に提示できなくなる。年次更新を続ける前提で継続コスト(年額 600-1,500 万円程度)を予算化しておく必要がある。

関連記事

無料相談|SOC2 Type 2 取得プロジェクト設計

>

中堅 SaaS / 受託開発 100-500 名規模で、SOC2 Type 2 取得の 12-18 ヶ月ロードマップ、費用試算、ツール選定、監査人ネットワーク紹介、ISO 27001 / Pマーク併用設計まで、実績ある外部 CPA 監査人・コンプラ自動化ツールベンダーと連携してご支援します。

>

SOC2 Type 2 取得を相談する

参考資料

  • AICPA "SOC 2 - SOC for Service Organizations: Trust Services Criteria"(aicpa-cima.com)
  • AICPA "Trust Services Criteria(TSC 2017、2022 改訂)"
  • Drata "SOC 2 Compliance Guide / Pricing Overview"(drata.com)
  • Vanta "SOC 2 Compliance Guide / Trust Center"(vanta.com)
  • Sprinto "SOC 2 Compliance Automation Pricing"(sprinto.com)
  • IPA "情報セキュリティ管理基準 / クラウドサービス利用のための情報セキュリティマネジメントガイドライン"(ipa.go.jp)
  • ISO/IEC 27001:2022 "Information security management systems"
  • JIPDEC "プライバシーマーク制度"(privacymark.jp)
  • ISMS-AC "ISMS 適合性評価制度"(isms.jp)