「GMOサイン」が国際認証「SOC2 Type2保証報告書」を取得

「GMOサイン」が国際認証「SOC2 Type2保証報告書」を取得
〜国際規格に準拠するセキュリティ対策により、安全な電子契約を提供〜

GMOグローバルサイン・ホールディングス株式会社（代表取締役：青山 満　以下、GMOグローバルサイン・HD）は、2024年6月24日（月）、電子契約サービス「電子印鑑GMOサイン」（以下、「GMOサイン」）が内部統制の国際セキュリティ認証である「SOC2（Service Organization Control 2）」において、「Type2保証報告書」を受領したことをお知らせいたします。
「SOC2 Type2保証報告書」は、少なくとも6ヶ月以上、通常1年間にわたり、受託会社のセキュリティおよび可用性の内部統制などを、独立した第三者監査人が評価するものです。これにより「GMOサイン」は、電子契約システムの「セキュリティ」に関する国際基準を満たすサービスであることが認められました。

「SOC保証報告書」と「SOC2 Type2」について

■「SOC保証報告書」について

「SOC保証報告書」は、業務を受託する事業者やITサービス提供者の内部統制の整備状況やシステム運用状況などを、監査法人や公認会計士などの独立した第三者機関が検証し、その評価を示すものです。評価対象や基準によって「SOC1」「SOC2」および「SOC3」に分かれており、さらに対象期間によって「Type1」（1日を対象）と「Type2」（一定期間を対象）があります。
「SOC2」は、米国公認会計士協会（AICPA）とカナダ勅許会計士協会（CICA）によって制定された国際的なトラストサービス原則と基準（Trust Services Principles and Criteria）に基づいて評価されます。システムの「１.セキュリティ」、「2.可用性」、「3.処理の整合性（インテグリティ）」、個人情報の取り扱いにおける「4.機密性」、「5.プライバシー」の5つの構成から選択された項目のうち「GMOサイン」は、セキュリティに関して「SOC2 Type2」を取得し、保証報告書を受領いたしました。

■「SOC2 Type2」について

従来、「GMOサイン」が取得していた「Type1」は、期間1日を対象として「方針」「コミュニケーション」「手順」「モニタリング」に基づき評価されるものでした。それに対し「Type2」は、その統制の有効性が少なくとも6ヶ月以上、通常1年間にわたって監査された組織にのみ発行されます。保証報告書では、「GMOサイン」の運用における業務プロセスおよび内部統制環境が、継続的に一定の基準を満たしていることが表明されており、当サービスのセキュリティが第三者機関の観点から信頼できるものであると評価されています。

「SOC2 Type2保証報告書」受領の背景

働き方改革の推進に伴い、企業におけるクラウドサービスの利用が拡大しています。総務省によると、2022年のクラウドサービス導入企業は全体の7割を超え、割合は年々増加傾向にあります。（※1）

自社がシステムを所有する必要がなく、初期コストをかけずに運用も容易にできることから導入が進むクラウドサービスですが、近年、その脆弱性を狙ったサイバー攻撃が巧妙化・高度化しています。中でも、組織が注意すべき情報セキュリティ10大脅威のうち、2021年から4年連続で1位の「ランサムウェア攻撃」（※2）への対応が急がれ、SaaS事業者においても、適切なセキュリティ対策を自社サービスに講じる処置が求められています。しかし、2023年に行われた実態調査では、半数以上のクラウドサービスで脆弱性の診断が行われておらず、不正アクセス制御、バックアップ対策等のシステムリスクへの未然防止・減策も十分に行われていない状況が明らかとなりました。（※3）

クラウドサービスは、働き方改革推進、ビジネススピードの向上、事業拡大など多様なメリットをもたらすソリューションです。一方で、セキュリティ面での対策不足、そしてSaaS事業者の不正や障害など顕在化するシステムリスクは、運営するSaaS事業者のみならず、利用する企業の信頼低下やビジネス損失へも繋がりかねません。安全性が確保された適切なサービスを選定することは、ユーザーにとって極めて重要な課題です。

以上のような社会的背景から、SaaS事業者は自社サービスのセキュリティ強度・内部統制について公的機関等を介し可視化する姿勢が求められており、その中でも「SOC保証報告書」は、ユーザーがサービスを選定する際の重要な判断材料の一つとして扱われています。

（※1）総務省｜「令和4年通信利用動向調査の結果」（https://www.soumu.go.jp/johotsusintokei/statistics/data/230529_1.pdf）
（※2）情報処理推進機構（IPA）｜「情報セキュリティ10大脅威2024」（https://www.ipa.go.jp/security/10threats/10threats2024.html）
（※3）アシェード｜「【2023年セキュリティレポート Vol.1】SaaS事業者のランサムウェア対策実態」（https://assured.jp/column/2023securityreport-vol1）

「電子印鑑GMOサイン」におけるセキュリティ対策

「GMOサイン」においては、クラウドセキュリティの安全性を示す第三者評価を継続的に取得し、より安心してお客様にサービスを利用していただけるよう監査・運用改善に取り組んでいます。2022年はクラウドサービスに関する情報セキュリティの国際規格「ISO/IEC 27017:2015」の認証を取得し、2023年には「SOC2 Type1」を取得、そして今回、新たに「SOC2 Type2」保証報告書を受領いたしました。

■「SOC2 Type2保証報告書」の概要

• 対象サービス：クラウド型の電子契約サービス「電子印鑑GMOサイン」
• 適用基準　　：セキュリティ
• 報告書発行日：2024年6月24日

「電子印鑑GMOサイン」について

（URL：https://www.gmosign.com/）

契約の締結から管理までをワンストップで行えるクラウド型の電子契約サービスです。印紙税や郵送費の削減、契約締結にかかる手間の軽減や時間の大幅な短縮により、業務の効率化を実現することができます。
署名タイプは、一般的な「メールアドレス等により認証を行う立会人型（契約印タイプ）」と、「電子認証局による厳格な本人認証を行う当事者型（実印タイプ）」に加え、ハイブリッド契約（送信元は当事者型・相手方は立会人型）にも対応できるため、契約内容に応じて署名タイプを使い分けることで、利便性と安全性のバランスを取りやすいことが特長です。

「GMOグローバルサイン・ホールディングス株式会社」について

GMOグローバルサイン・HDは、電子認証事業および創業以来提供しているホスティング事業から、AI・IoTのテクノロジーを活用したサービスの提供までおこなっているIT企業です。
グローバルでシェアを持つ世界トップ5社（※4）の中で唯一の国産認証局「GlobalSign」を保有しており、国内外の主要な電子契約・署名ベンダーへ認証技術を提供しています。また自社開発で導入企業数350万社以上（※5）の「電子印鑑GMOサイン」との連携により、コストパフォーマンスの高いセキュアなサービスを多くの自治体・企業様等にご利用いただいております。
（※4）有償SSL電子認証局。英Netcraft社「Netcraft SSL Survey」調べ
（※5）2023年11月末時点。自社調べ

【サービスに関するお問い合わせ先】

●GMOグローバルサイン・ホールディングス株式会社 「電子印鑑GMOサイン」運営事務局
TEL:03-6415-7444　お問い合わせフォーム：https://www.gmosign.com/form/

【報道関係お問い合わせ先】

●GMOグローバルサイン・ホールディングス株式会社 社長室 広報担当 大月・遠藤
TEL：03-6415-6100　問い合わせフォーム：https://form.gmogshd.com/contact/pr/

●GMOインターネットグループ株式会社 グループ広報部PRチーム 田部井
TEL：03-5456-2695　問い合わせフォーム：https://www.gmo.jp/contact/press-inquiries/