SOC 2 - CI/CD 用語集の定義
SOC 2 は、セキュリティ、可用性、完全性、機密性、プライバシーのコントロールを対象とする AICPA の監査 framework です。
SOC 2 とは、AICPA が定義する監査 framework で、サービス組織のコントロールのうち Trust Services Criteria (セキュリティ、可用性、処理の完全性、機密性、プライバシー) に関連するものを報告します。
SOC 2 監査は、コントロールが設計されている (Type I) か、そして時間を通じて効果的に運用されている (Type II) かを評価し、その多くは CI/CD の変更管理に関わります。
CI/CD において
SOC 2 の変更管理コントロールは、pipeline における必須の review、承認、audit logs にマッピングされ、それらが監査人がサンプリングする証拠を提供します。
関連ガイド
Compliance Framework - CI/CD Glossary DefinitionCompliance Framework: A compliance framework is a structured set of controls and requirements (such as SOC 2…
Evidence Collection - CI/CD Glossary DefinitionEvidence Collection: Evidence collection is the gathering and retention of artifacts (logs, approvals, scan r…
Control (Compliance) - CI/CD Glossary DefinitionControl (Compliance): A control is a specific safeguard or countermeasure (technical, administrative, or phys…