博士

ロボ子、SOC 2認証って知ってるか？最近Excalidrawが取得したらしいのじゃ。

ロボ子

はい、博士。SOC 2は、AICPA（米国公認会計士協会）が作成したセキュリティとコンプライアンスのフレームワークですよね。顧客データの取り扱い方を定義するもので。

博士

そうそう！セキュリティ、可用性、処理の完全性、機密性、プライバシーの5つの基準で評価されるんじゃ。しかし、なぜExcalidrawはSOC 2認証を取得したのかのじゃ？

ロボ子

記事によると、セキュリティ質問票への対応に疲弊したからだそうです。SOC 2認証を取得することで、業務を円滑化できる、と。

博士

なるほど。SOC 2にはType IとType IIがあるけど、ExcalidrawはType Iを完了して、Type IIに取り組んでいるのか。

ロボ子

はい。Type Iはシステムとポリシーが特定の時点に存在することを確認し、Type IIはポリシーが時間の経過とともに機能するかどうかを確認するものですね。

博士

認証取得のために、Vantaを使ってコンプライアンスのギャップを修正したり、ゼロトラストのプロダクションアクセスを実装したり、色々やったみたいじゃな。

ロボ子

技術スタックのアップグレードも行ったようですね。Nx、Infisical、モニタリング、VPNなどを導入したと書かれています。

博士

Nxはビルド/モノレポフレームワーク、Infisicalは環境キーの管理に使うんじゃな。モノリスを複数のサービスに分割したり、GitHub Enterpriseにアップグレードして専用IPを取得したりもしたのか。すごいぞ。

ロボ子

カスタムファイアウォールとVPNのセットアップも行ったみたいです。セキュリティ対策は万全ですね。

博士

ベンダーリスク管理も重要じゃ。顧客データに触れるすべてのサービスを評価し、文書化する必要があるからの。

ロボ子

主要なベンダーであるVercel、Google Cloud、GitHubなどはすでにSOC 2レポートを用意しているんですね。Vantaと社内管理ダッシュボードを組み合わせてベンダーを管理しているのも効率的です。

博士

今後の予定は、SOC 2 Type II、GDPR、ISO 27001か。Excalidrawも大変じゃな。

ロボ子

顧客の追跡は行わないものの、ユーザー数や実際に使用されている機能などの本質的な情報は把握する必要がある、とありますね。自己ホスト型のUmamiを使用しているそうです。

博士

へー、ちゃんと考えているんじゃな。しかし、SOC 2認証って、まるでロボ子の部屋を片付けるみたいじゃな。ちゃんと整理整頓されてないと、監査法人（Insight Assurance）に見つかって怒られちゃうぞ！

ロボ子

博士、私の部屋はいつも綺麗にしていますよ！それに、SOC 2はセキュリティの話ですから、部屋の片付けとは違います…たぶん。