「GMOサイン」が国際認証「SOC2 Type2保証報告書」を取得【GMOグローバルサイン・HD】

• 【「SOC保証報告書」と「SOC2 Type2」について】

■「SOC保証報告書」について

　「SOC保証報告書」は、業務を受託する事業者やITサービス提供者の内部統制の整備状況やシステム運用状況などを、監査法人や公認会計士などの独立した第三者機関が検証し、その評価を示すものです。評価対象や基準によって「SOC1」「SOC2」および「SOC3」に分かれており、さらに対象期間によって「Type1」（1日を対象）と「Type2」（一定期間を対象）があります。

　「SOC2」は、米国公認会計士協会（AICPA）とカナダ勅許会計士協会（CICA）によって制定された国際的なトラストサービス原則と基準（Trust Services Principles and Criteria）に基づいて評価されます。システムの「１.セキュリティ」、「2.可用性」、「3.処理の整合性（インテグリティ）」、個人情報の取り扱いにおける「4.機密性」、「5.プライバシー」の5つの構成から選択された項目のうち「GMOサイン」は、セキュリティに関して「SOC2 Type2」を取得し、保証報告書を受領いたしました。

■「SOC2 Type2」について

　従来、「GMOサイン」が取得していた「Type1」は、期間1日を対象として「方針」「コミュニケーション」「手順」「モニタリング」に基づき評価されるものでした。それに対し「Type2」は、その統制の有効性が少なくとも6ヶ月以上、通常1年間にわたって監査された組織にのみ発行されます。保証報告書では、「GMOサイン」の運用における業務プロセスおよび内部統制環境が、継続的に一定の基準を満たしていることが表明されており、当サービスのセキュリティが第三者機関の観点から信頼できるものであると評価されています。

• 【「SOC2 Type2保証報告書」受領の背景】

　働き方改革の推進に伴い、企業におけるクラウドサービスの利用が拡大しています。総務省によると、2022年のクラウドサービス導入企業は全体の7割を超え、割合は年々増加傾向にあります。（※1）

自社がシステムを所有する必要がなく、初期コストをかけずに運用も容易にできることから導入が進むクラウドサービスですが、近年、その脆弱性を狙ったサイバー攻撃が巧妙化・高度化しています。中でも、組織が注意すべき情報セキュリティ10大脅威のうち、2021年から4年連続で1位の「ランサムウェア攻撃」（※2）への対応が急がれ、SaaS事業者においても、適切なセキュリティ対策を自社サービスに講じる処置が求められています。しかし、2023年に行われた実態調査では、半数以上のクラウドサービスで脆弱性の診断が行われておらず、不正アクセス制御、バックアップ対策等のシステムリスクへの未然防止・減策も十分に行われていない状況が明らかとなりました。（※3）

　クラウドサービスは、働き方改革推進、ビジネススピードの向上、事業拡大など多様なメリットをもたらすソリューションです。一方で、セキュリティ面での対策不足、そしてSaaS事業者の不正や障害など顕在化するシステムリスクは、運営するSaaS事業者のみならず、利用する企業の信頼低下やビジネス損失へも繋がりかねません。安全性が確保された適切なサービスを選定することは、ユーザーにとって極めて重要な課題です。

　以上のような社会的背景から、SaaS事業者は自社サービスのセキュリティ強度・内部統制について公的機関等を介し可視化する姿勢が求められており、その中でも「SOC保証報告書」は、ユーザーがサービスを選定する際の重要な判断材料の一つとして扱われています。

（※1）総務省｜「令和4年通信利用動向調査の結果」（https://www.soumu.go.jp/johotsusintokei/statistics/data/230529_1.pdf）

（※2）情報処理推進機構（IPA）｜「情報セキュリティ10大脅威2024」（https://www.ipa.go.jp/security/10threats/10threats2024.html）

（※3）アシェード｜「【2023年セキュリティレポート Vol.1】SaaS事業者のランサムウェア対策実態」（https://assured.jp/column/2023securityreport-vol1）

• 【「電子印鑑GMOサイン」におけるセキュリティ対策】

　「GMOサイン」においては、クラウドセキュリティの安全性を示す第三者評価を継続的に取得し、より安心してお客様にサービスを利用していただけるよう監査・運用改善に取り組んでいます。2022年はクラウドサービスに関する情報セキュリティの国際規格「ISO/IEC 27017:2015」の認証を取得し、2023年には「SOC2 Type1」を取得、そして今回、新たに「SOC2 Type2」保証報告書を受領いたしました。

■「SOC2 Type2保証報告書」の概要・対象サービス：クラウド型の電子契約サービス「電子印鑑GMOサイン」

・適用基準　　：セキュリティ

 ・報告書発行日：2024年6月24日

• 【「電子印鑑GMOサイン」について】（URL：https://www.gmosign.com/）

　契約の締結から管理までをワンストップで行えるクラウド型の電子契約サービスです。印紙税や郵送費の削減、契約締結にかかる手間の軽減や時間の大幅な短縮により、業務の効率化を実現することができます。

                                      
　署名タイプは、一般的な「メールアドレス等により認証を行う立会人型（契約印タイプ）」と、「電子認証局による厳格な本人認証を行う当事者型（実印タイプ）」に加え、ハイブリッド契約（送信元は当事者型・相手方は立会人型）にも対応できるため、契約内容に応じて署名タイプを使い分けることで、利便性と安全性のバランスを取りやすいことが特長です。

• 【「GMOグローバルサイン・ホールディングス株式会社」について】

　GMOグローバルサイン・HDは、電子認証事業および創業以来提供しているホスティング事業から、AI・IoTのテクノロジーを活用したサービスの提供までおこなっているIT企業です。

　グローバルでシェアを持つ世界トップ5社（※4）の中で唯一の国産認証局「GlobalSign」を保有しており、国内外の主要な電子契約・署名ベンダーへ認証技術を提供しています。また自社開発で導入企業数350万社以上（※5）の「電子印鑑GMOサイン」との連携により、コストパフォーマンスの高いセキュアなサービスを多くの自治体・企業様等にご利用いただいております。

（※4）有償SSL認証局。英Netcraft社「Netcraft SSL Survey」調べ

（※5）2023年11月末時点。自社調べ

以上

【サービスに関するお問い合わせ先】

●GMOグローバルサイン・ホールディングス株式会社

　「電子印鑑GMOサイン」運営事務局

　TEL：03-6415-7444

　お問い合わせフォーム：https://www.gmosign.com/form/

【GMOグローバルサイン・ホールディングス株式会社】（URL：https://www.gmogshd.com/）

 会社名　　GMOグローバルサイン・ホールディングス株式会社 （東証プライム市場 証券コード：3788）

 所在地　　東京都渋谷区桜丘町26番1号　セルリアンタワー

 代表者　　代表取締役社長　青山　満

 事業内容　■電子認証・印鑑事業

　　　 　　■クラウドインフラ事業　

　　　 　　■DX事業

 資本金　　9億1,690万円

【GMOインターネットグループ株式会社】（URL：https://www.gmo.jp/）

 会社名　　GMOインターネットグループ株式会社（東証プライム市場　証券コード：9449）

 所在地　　東京都渋谷区桜丘町26番1号　セルリアンタワー

 代表者　　代表取締役グループ代表　熊谷  正寿

 事業内容　■インターネットインフラ事業

　　　 　　■インターネット広告・メディア事業 

　　　 　　■インターネット金融事業　   

　　　 　　■暗号資産事業

 資本金　　50億円

※記載されている会社名、製品名は、各社の商標、もしくは登録商標です。
Copyright (C) 2024 GMO GlobalSign Holdings K.K. All Rights Reserved.