SOC 2 Type II ロードマップ
SOC 2 Type II までのロードマップを公開し、お客様が調達計画に組み込めるようにしています。誠実なマイルストーンで「コンプライアンス・シアター」は行いません — Type II には 1 日だけの監査ではなく、6 か月の観察期間が必要です。
マイルストーン
2026-Q1
アーキテクチャ整備
AWS マルチ AZ + 保管時 AES-256 + 通信時 TLS 1.2 以上 + Secrets Manager + IAM 最小権限。基盤コントロールはすべて本番稼働中。
2026-Q2
GDPR 対応アーキテクチャ
プライバシー監査 Wave 1 〜 4 完了:データ最小化、削除権フロー、同意ゲート、第 9 条(2)(a) に基づく生体認証データの取り扱い。
2026-Q3
監査ログとインシデント対応の整備
プラン別 1 〜 3 年保持の集中監査ログ、インシデント対応ランブック、オンコール輪番、データ侵害通知プロトコルを整備。
2026-Q4
監査人選定 — Vanta + A-LIGN
コンプライアンス自動化に Vanta(AWS、Stripe、Okta、GitHub、SES から継続的に証跡収集)、監査会社に A-LIGN を選定。SVDY は Linear、Ramp、ClickUp、Loom と同じツールチェーンを採用します。
2026-Q4
レディネス評価
Vanta によるギャップ分析と A-LIGN による人による事前レビュー。ポリシー、アクセス制御、変更管理、ベンダー管理、暗号化を点検し、6 か月の観察期間が始まる前に残課題を解消します。
2027-Q1
監査期間の開始
6 か月の観察期間がスタート。継続的に証跡を収集し、特定時点ではなく一定期間にわたるコントロールの運用有効性を評価します。
2027-Q2
監査期間の終了
監査人による証跡レビューが完了。エグジットインタビューと経営側のコメントを経て、レポート作成へ移行します。
2027-Q3
SOC 2 Type II レポート発行
最終レポートは NDA 締結のうえお客様にご提供します。以降は年次の再監査サイクルとなり、Type II 観察期間ごとにレポートが更新されます。
ベンダー選定
独自のコンプライアンスパイプラインを構築するのではなく、業界標準のツールを採用しました。プレカスタマー段階では、年間およそ 25,000 USD を支払うかわりに、エンジニアの時間をプロダクト開発に振り向けています。
Vanta — コンプライアンス自動化プラットフォーム
AWS、Stripe、Okta、GitHub、SES から継続的に証跡を収集。Linear、Ramp、ClickUp、Loom を含む 1500 社以上が利用しています。SOC 2 + GDPR + ISO 27001 + HIPAA のモジュールを 1 つのプラットフォームで提供します。
A-LIGN — 監査会社
Vanta 最大の監査パートナーで、Vanta 経由の SOC 2 Type II レポートのおよそ 40% を A-LIGN が担当。SMB SaaS に強く、価格帯はミドル、監査期間終了からおよそ 3 週間でレポートが発行されます。
Type I ではなく Type II を選ぶ理由
SOC 2 Type I は特定時点でコントロールが存在していたことを示すものであり、Type II は一定期間(通常 6 か月)にわたってコントロールが有効に機能していたことを示します。エンタープライズの IT 部門は Type I の評価を低く見ており、要するにスナップショットに過ぎないと考えています。実際に求められるのは Type II のレポートです。
「役に立たないマイルストーン」という落とし穴を避けるため、Type I をスキップして Type II に直行します。スケジュールはおよそ 6 か月延びますが、その分、お客様が実際に使えるレポートが手に入ります。
今すぐセキュリティ調査票への回答が必要ですか?
SOC 2 Type II が 2027 年 Q3 にリリースされるまでの間、以下を提供しています:
• CSA Cloud Controls Matrix に対応した CAIQ-Lite の回答
• ベンダー固有の調査票へのカスタム回答(Vanta、Drata、SecurityScorecard 取り込み — 通常 3 営業日)
• エンジニアリング責任者による署名付きのアーキテクチャ図とデータフロー説明
