GitHubでは、データの安全性を確保し、開発者の生産性を高め、チームが問題の解決に集中できるよう、セキュリティのベストプラクティスに投資しています。このたび、GitHub Business CloudがAICPA Service Organization Controls（SOC）2タイプ1、および、SOC 1タイプ1コンプライアンスを取得しました。あわせて、国際的な基準であるIAASB内の2つの基準、ISAE 3000およびISAE 3402を取得しました。

現在GitHub Business Cloudを使用しており、これら証明書が必要な場合は、GitHubサポートに依頼することでこれらの監査レポートのコピーを入手できます。

セキュリティを重視した開発

GitHubはこれら基準に準拠していることが証明できたことをうれしく思います。セキュリティ対策には継続的な努力が必要です。GitHubのセキュリティチームは、世界中のエンジニアにとって最高のソフトウェア開発プラットフォームを提供することに常に注力しています。

SOC / ISAEレポートや、最近取得したFedRAMP Tailored LiSaaS ATO、Cloud Security Alliance CAIQは、GitHub.com上で取り扱うデータが安全であることを証明する監査レポートです。

GitHubは継続してセキュリティを強化し、SOC 1およびSOC 2タイプ2準拠の証明も6ヶ月以内に取得する予定です。

SOCとはなにか？

「SOC for Service Organizations」は、企業におけるセキュリティ監査に利用される保証報告書です。これらの報告書は、GitHubのようなクラウドサービスを利用する際、そのサービスのセキュリティレベルを評価するのに役立ちます。

SOC 2は、米国においてSaaS（Software-as-a-Service）に対するセキュリティコンプライアンスの代表的な基準です。 SOC 2に準拠するため、SaaS提供企業は顧客データを安全に保護することを始めとする、厳格な情報セキュリティ方針と手順を確立し、それらを実行する必要があります。

SOC 1は、SaaS提供企業が保有する顧客の財務データに関するシステムやプロセスが、セキュリティコンプライアンスに準拠していることを証明します。

ISAE3402およびISAE3000の内容はそれぞれSOC1、SOC2タイプ1に包含されています。これらコンプライアンスに準拠することで、国際的に認められている監査基準に合致したセキュリティ対策を実施していることを証明できます。

2018年のSOCレポートにはGitHubがAICPAガイドラインの基準に準拠していることが記載されています。

セキュリティはお客様にとって最重要事項であるため、GitHubは必要なセキュリティ対策を行いSOCとISAEに準拠しました。これにより、GitHubにおいて、論理および物理アクセス管理、データの格納と復元、暗号化、変更管理、ベンダー管理、インシデントに対する管理・検出・対応、セキュリティとプライバシーに関するトレーニング、組織管理、社員のシステム権限レベルなどが、ポリシーに従って効果的に運用されていることが証明されました。

GitHubにおけるセキュリティに対しての詳細はこちらのWebサイトhttps://github.com/securityで確認できます。