CRITERION · CC1.4
能力へのコミットメント
開発者が役割に応じたセキュリティトレーニングを受けている証拠 — 役割にマッピングされたカリキュラム、修了記録、単なる出席ではなく能力を実証する評価結果。
コンプライアンス・SOC 2・TRUST SERVICES CRITERIA
セキュアコーディングトレーニング、
SOC 2 Trust Services Criteriaに対応
言語別、役割マッピング済み、実践的なトレーニングと、CC1.4、CC2.3、CC7.1、CC8.1に明確に紐づく開発者ごとの証拠 — 初日から監査人に対応可能。
15+言語
TSCごとマッピング
監査人対応レポート
・TSCへのマッピング方法・
あらゆる基準を、設計段階からカバー
SOC 2監査人は、複数のTrust Services Criteria — 能力、コミュニケーション、異常検知、変更管理 — にわたって開発者セキュリティトレーニングを評価します。当プラットフォームは、ビデオライブラリに後付けされたものではなく、それぞれを満たすよう設計されています。
CRITERION · CC2.3
情報とコミュニケーション
トレーニングは、エンジニアが実際に使用する言語で、貴社のセキュアコーディングポリシーと標準を強化します。学習者は、監査人が貴社のポリシー文書で目にするのと同じコントロール、用語、コードパスに触れます。
CRITERION · CC7.1
システム運用と異常検知
カリキュラムは、開発者が本番コードに組み込まなければならないロギング、モニタリング、インシデント対応のパターンをカバー — 検知能力は事後に追加されるのではなく、設計段階で組み込まれます。
CRITERION · CC8.1
変更管理
トレーニングは、すべてのコード変更がセキュリティを考慮することを強化します。開発者ごとのレビュー証拠がトレーニング記録に紐づき、ポリシーから能力、実際の変更規律まで、監査人に明確な流れを提供します。
・証拠パッケージ・
監査人がすぐに受け取れるもの
開発者トレーニングをレビューするSOC 2監査人は、能力と変更規律をTrust Services Criteriaに結びつける特定の成果物を求めます。当プラットフォームは、そのすべてを自動的に、継続的に、監査人が読む形式で生成します。
01
開発者ごとのトレーニング履歴
役割と主要言語を付与した学習者ごとの完全な記録。バージョン管理され、監査人や監査管理プラットフォームが受け入れる形式にエクスポート可能。
02
監査範囲内の言語とフレームワークにマッピングされたカリキュラム
監査境界内のシステムを対象とした、言語とスタックごとの自動生成されたカリキュラム記述。「原則は転用可能」といった注意書きはなく、プラットフォームが実際に実行するすべての言語に対応したネイティブコンテンツ。
03
モジュールごとの評価結果
スコア、試行回数、修正結果 — 単なる受講時間ではなく、実証された能力の証拠。CC1.4のレビュアーが求め、ほとんどのLMSエクスポートでは生成できない成果物。
04
コード変更時のセキュリティレビュー証拠
各開発者に紐づくコードレビューチャレンジの結果 — CC8.1のフックで、監査人が変更管理の規律が現実であり、プロセス文書だけでなく個人に帰属することを確認するために使用します。
05
四半期ごとの更新サイクル
新しい攻撃クラス、社内インシデントデータ、開発者フィードバックに紐づいた変更履歴付きの、バージョン管理されたカリキュラム更新。監査人は、コンテンツが移動した時期と理由を確認できます。
06
監査人対応のエクスポート可能なレポート
改ざん不可能なタイムスタンプ付きのCSVおよびJSONエクスポート。監査管理ツールに直接取り込むか、監査人に渡すことができます。学習者ごとの監査証跡で、SOC 2レポートの作業文書に添付可能。
07
NDA下でのベンダーSOC 2レポート共有
当社自身のSOC 2レポートをNDA下で共有することで、貴社のベンダーリスクチームが当社に対するサードパーティレビューを完了できます。(注:Type IIレポートの提供はロードマップ上にあり、現在の顧客は最新のステータスをリクエストできます。)
・2026年監査サイクル・
開発者トレーニングをSOC 2の指摘事項にしないでください。
通常、30分間の通話で、貴社の2026年監査に当社が適しているかどうかが分かります。担当チームに関連するTSCの基準を説明し、貴社のスタックにプログラムをマッピングし、監査人が受け入れる証拠パッケージをお見せします。
・よくある質問・
SOC 2トレーニング — よくある質問
サービスプロバイダー向けのSOC 2監査プロセスとは?
SOC 2監査は2段階で実施されます。Type Iは、コントロールが特定の時点で適切に設計されていることを証明し、Type IIは、6か月から12か月の期間にわたって効果的に運用されていることを証明します。サービスプロバイダーは、対象とするTrust Services Criteriaを選択し、各コントロールに対する証拠を収集し、AICPA登録のCPA事務所にレポートの発行を依頼します — 開発者トレーニングの証拠は、ほとんどのサイクルでCC1.4(能力)とCC2.3(コミュニケーション)に該当します。
SOC 2コンプライアンスを継続的に維持するには?
Type IIレポートは観察期間をカバーするため、証拠は期間全体にわたって蓄積される必要があり、最後にまとめて作成することはできません。継続的なSOC 2コンプライアンスとは、自動化されたコントロールモニタリング(Vanta、Drata、Secureframe)、期間内での更新サイクルを伴う開発者ごとのトレーニング頻度、そしてリアルタイムで取得されるレビュー証拠を意味します。レポートを毎年再発行することが標準的な頻度です。
SOC 2レディネスアセスメントのチェックリストには何がありますか?
レディネスアセスメントは、監査人が開始する前にコントロールが整備されているかを確認します。通常レビューされるSOC 2セキュリティコントロールリストには、アクセスのプロビジョニングとデプロビジョニングの証拠、変更管理記録(CC8.1)、リスクアセスメント結果、ベンダー管理ドキュメント、インシデント対応ランブックの実行、モニタリングとアラートのカバレッジ(CC7.1)、対象範囲内のエンジニアリング役割に紐づいた開発者トレーニング履歴が含まれます。
SOC 1とSOC 2の違いは何ですか?
SOC 1は財務報告に関するコントロールを報告します — サービスプロバイダーが顧客の財務記録に触れる場合に関連します。SOC 1 Type IIはその運用効果性版です。SOC 2は1つ以上のTrust Services Criteria(セキュリティ、可用性、処理の整合性、機密性、プライバシー)に沿ったコントロールを報告します — 顧客データを扱うあらゆるサービスに関連します。ほとんどのSaaSプロバイダーはSOC 1ではなくSOC 2 Type IIを発行します。
SOC 2認証の費用はいくらですか?
SOC 2認証の費用は、Type I対Type II、範囲、事務所によって異なりますが、通常監査自体で20,000ドル〜80,000ドルかかります。これに加えて、社内の準備コスト — 通常3〜6か月のエンジニアリングとセキュリティチームの時間 — と、継続的なコンプライアンスツール(年間10,000ドル〜50,000ドル)が必要です。すでに監査可能な証拠を生成する開発者トレーニングは、当社の導入実績において準備のオーバーヘッドを測定可能なほど削減します。