強固な管理体制とセキュリティ対策がなければ、カーボンアカウンティングソフトウェアがあなたを危険にさらす可能性があります。データ侵害は、戦略を露呈させ、競合他社に優位性を与え、評判を損なう可能性があります。また、データ損失は、費用がかかり、損害をもたらす可能性があります。いくつかの重要な質問をすることで、カーボンアカウンティングベンダーがデータを保護するための適切な措置を講じていることを確認できます。
カーボンアカウンティングソフトウェアは、サプライチェーンの支出から調達契約、従業員の出張記録まで、あらゆる大量のデータを取り込みます。このデータを安全に保つことは極めて重要ですが、ベンダーによってセキュリティの成熟度は大きく異なり、中にはまだ基本的なフレームワークを開発中のところもあります。企業が情報セキュリティをどのように管理しているかを理解することで、データ侵害やデータ損失のリスクを回避できます。
以下では、カーボンアカウンティングプロバイダーを選ぶ際に注目すべき主要なセキュリティおよびデータ管理機能について詳しく説明します。これにより、信頼できる基盤の上にサステナビリティ報告と戦略を構築できます。
カーボンアカウンティングにおいてセキュリティとデータ管理が重要な理由
データ侵害とデータ損失は、評判、コンプライアンス、市場のリスクをもたらします。
ソフトウェアベンダーが強固な管理体制とセキュリティ対策を提供できない場合、あなたを危険にさらします。データ侵害は、戦略を露呈させ、競合他社に優位性を与え、評判を損なう可能性があります。
排出量を計算するために、カーボンアカウンティングソフトウェアは、サプライヤーの価格設定、契約条件、調達、製造、物流、人事関連活動などの詳細を含む機密データを扱います。この情報は、コスト構造、ベンダーとの関係、運用戦略を明らかにする可能性があり、これらはすべて、ほとんどの企業が競争上機密と見なしている情報です。
元国防総省でデータとシステムを保護していたPersefoniの最高情報責任者マイク・フリンは、顧客のカーボンデータは、機密情報の漏洩を防ぐだけでなく、損失を防ぐためにも細心の注意を払って取り扱うべきだと強調しています。「ベンダーは最悪のシナリオからデータを保護すべきです」と彼は言います。「データセンターや重要なベンダーで障害が発生した場合でも、データは安全かつアクセス可能であるべきです。」
組織は、カーボンデータの収集、フォーマット、アップロードに多大な時間を費やすことがよくあります。この情報は、前年比の傾向を評価し、報告義務を遵守するために役立ち、それを失うことは壊滅的な結果を招く可能性があります。報告期限が迫っているときにサーバーがダウンした場合、ソフトウェアができるだけ多くのデータを保持することを確実にしたいものです。
カーボンアカウンティングソフトウェアに不可欠な5つのセキュリティ機能
管理、アクセス、暗号化、インフラ、テストが鍵となります。
1. 内部統制の認証
ベンダーは、セキュリティおよびプライバシー管理について年次で第三者監査を実施すべきです。顧客データが正確で、保護され、利用可能であることを保証するための適切な内部統制が整備されていることを確認するため、SOC(System and Organization Controls)認証を取得しているべきです。
企業はSOC 2 Type II認証を提供すべきです。これは、プロバイダーがデータを保護し、再現性のあるセキュリティプラクティスを使用し、運用上の成熟度を示していることを保証します。Type IIの指定は、統制が一度文書化されただけでなく、時間の経過とともに実際にテストされたことを意味します。カーボンデータが監査されるか、財務報告に関連付けられる場合、排出量計算と財務データフローが信頼でき、追跡可能であることを保証するSOC 1 Type II認証も必要になります。
2. データアクセス制限
データを保護するため、アクセスは厳しく制限され、監視されるべきです。最小権限の原則が、すべてのシステムにおけるアクセスを管理すべきです。本番環境へのアクセスは、社内での役割に基づいて付与され、VPNと多要素認証(MFA)を必要とすべきです。すべての活動はログに記録され、異常がないか継続的に監視されるべきです。
3. 高度な暗号化とデータ保護
不正なデータアクセス、盗聴、傍受を防ぐため、カーボンアカウンティングベンダーは高度な暗号化を提供すべきです。求めるべきは、 AES-256 保存時の暗号化です。これは政府、銀行、医療システムで採用されている、業界で最も強力な方法の一つです。また、ソフトウェアは TLS 1.2+ Perfect Forward Secrecy (PFS) を転送中のデータに対して提供すべきです。これにより、将来の攻撃者が過去のデータ送信を解読することを防ぎます。本番データは、テストや開発に決して使用すべきではありません。
4. 信頼性の高いインフラストラクチャとアーキテクチャ
企業のソフトウェアアーキテクチャは、階層型ファイアウォールとティア間のネットワークセグメンテーションを採用すべきです。これにより、たとえ1つの層が侵害されても、攻撃者が機密データに容易に到達できないようにします。設定は四半期ごとにレビューと強化を受け、安全性が確保されていることを確認すべきです。
5. 定期的なテスト、監視、ガバナンス
ソフトウェアベンダーは、ネットワーク、API、アプリケーション層全体で四半期ごとに第三者による侵入テストを実施すべきです。また、データベース、コンテナ、ロードバランサーを継続的に監視すべきです。正式なリスク管理およびインシデント対応プログラムを導入すべきであり、さらに検出、封じ込め、修復を統括する委員会も設置すべきです。全従業員は、毎年および継続的なプライバシーとセキュリティに関するトレーニングを完了すべきです。
「私たちは顧客のデータを国防総省のデータのように扱っています。」マイク・フリン、Persefoni 最高情報責任者
SOC 2 Type II認証が重要な理由
認証は、企業のセキュリティと管理の質を示します。
SOC 2 Type IIは、セキュリティ認証の最高レベルであり、ゴールドスタンダードです。これは、ベンダーがどのようにデータを保護しているか、再現性のあるセキュリティ対策を講じているか、そして運用上の成熟度を示しているかを示します。
企業がSOC 2 Type II認証を取得していることを確認するだけでは不十分です。認証をレビューし、何らかの懸念点がないか、そしてベンダーがどの基準を満たしているかを確認する必要があります。例えば、PersefoniはSOC 2の5つの基準すべて(セキュリティ、可用性、機密性、処理の完全性、プライバシー)を満たしています。
企業のSOC 2レポートをレビューするには、以下の手順に従ってください。
- まず監査人の意見書を読みます。「無限定適正意見」という言葉を探してください(これは合格を意味します)。「限定付適正意見」は不備があったことを意味し、危険信号です。
- 監査期間を確認します (例:2025年1月1日~12月31日)
- 例外事項を確認する。指摘された管理上の不備については、ベンダーと協議すべきです。
- 信頼原則を確認する。 自社にとって重要な項目が網羅されているか確認してください(例:稼働率が重要なSaaSにおける可用性)。
- レポートが6ヶ月以上前の場合は、ブリッジレターを要求してください。それ以降、重要な変更がないことを確認するものです。
- 「SOC 2-ready」や「SOC 2 in progress」を同等と見なして決して受け入れないでください。これらは マーケティング用語であり、コンプライアンスではありません。
炭素会計セキュリティチートシート:ベンダーに尋ねるべき質問
1. 貴社のセキュリティプログラムはどのように検証されていますか?
その企業が第三者機関によるセキュリティ認証や証明を取得しているか尋ねてください。具体的には、以下を確認すべきです:
- ISO 27001: 企業がセキュリティポリシーと管理体制を導入し、それらのシステムを継続的に改善していることを示します。
- ISO 27017: ISO 27001認証を仮想/クラウドSaaSシステムにも拡張するものです。
- SOC 1 Type II: 金融システムの整合性を確保します。
- SOC 2 Type II: 最高水準の認証です。これは最も厳格な認証であり、企業が長期にわたり一貫して安全に運用されていることを証明します。
- ISO 42001: AIの開発と利用に関する基準。
2. 環境をどのように検証していますか?
企業がネットワークスキャンをどのくらいの頻度で実施しているか尋ねてください。ソフトウェアの変更をどのようにレビューしているか、また第三者による侵入テストを実施しているか説明できるはずです。独立したスキャンとテストの結果は公開されるべきであり、発見された問題がすべて解決されていることを確認する必要があります。次の点を確認してください。
- SAST (コードスキャン)
- SCA (オープンソーススキャン)
- コンテナスキャン
- DAST (ネットワーク脆弱性、API、ウェブアプリケーションスキャン)
- 第三者によるテスト 外部ネットワーク、アプリケーション、APIの
3. データアクセスをどのように管理していますか?
企業は、誰があなたのデータにアクセスできるかを説明できるべきです。自社のスタッフを含め、アクセスを厳しく制限しているベンダーを探しましょう。例えば、Persefoniでは、開発者、アーキテクト、カスタマーサクセスチームを含む従業員による顧客データへのアクセスは厳しく管理されています。
4. 自分のデータをどの程度管理できますか?
会社の情報に対して、可能な限り多くの管理権限を保持すべきです。つまり、 あなたは 誰がデータにアクセスできるかを決定し、ベンダーの介入なしに、いつでもデータを削除またはエクスポートできます。ソフトウェアプロバイダーは、一括データ読み込みやAPIライブラリのための様々なオプションも提供すべきです。
5. 転送中のデータはどのように保護されますか?
確認すべきは、 TLS 1.2 暗号化、またはそれ以上(理想的にはTLS 1.3)です。TLS 1.1以下は許容できず、貴社を危険にさらします。また、ベンダーが提供していることを確認したいのは、 PFS (Perfect Forward Secrecy)です。これは、セキュリティキーが盗まれたとしても、過去の通信が解読されることはないことを意味します。
6. 保存されているデータはどのように保護されますか?
データベースやサーバーに保存されている情報は、安全に保護されている必要があります。ベンダーは、 AES 256 暗号化を提供すべきです。共有キーやハードコードされたキーは望ましくなく、バックアップも暗号化されている必要があります。
7. ディザスタリカバリ計画はどのようなものですか(そして、どのくらいの頻度でテストしていますか)?
システムが故障や地震などの災害によって停止した場合に備え、バックアップ計画が整備されている必要があります。考慮すべき指標:
- RTO (目標復旧時間):サービスが復旧するまでの時間(1時間が理想)
- RPO (目標復旧時点):許容されるデータ損失量(5時間未満であるべき)
- テストの頻度:企業は少なくとも年に一度、復旧テストを実施すべきです。
8. ソフトウェアベンダーや請負業者をどのように管理していますか?
炭素会計SaaSプロバイダーは通常、複数のベンダーに依存してプラットフォームを構築しています。プロバイダーが自社のベンダーや請負業者に対し、自社と同じ基準を適用していることを確認すべきです。
質問すべきこと:
- 開発作業やセキュリティの一部は外部委託または下請け業者によって管理されていますか?これらのチームのメンバーをどのように検証し、どのようなアクセス権限を与えていますか?
- ベンダーのレビューはどのくらいの頻度で行っていますか?データ侵害はベンダーのセキュリティ問題から発生することがよくあります。
9. AIをどのように管理していますか?
企業は使用しているすべてのAIツールとその目的をリストアップできるべきです。
質問すべきこと:
- 私のデータはトレーニングに使用されますか?
- AIが何をしているかをどのように監視できますか?
- AI専用のセキュリティプログラムにはどのようなものがありますか?
ベンダー選びはセキュリティ上の決定事項です
炭素会計パートナーを選ぶことは、排出量算定方法や報告機能だけの問題ではありません。それはセキュリティとガバナンスに関する決定でもあります。サービスプロバイダーと、何千もの重要で、時には機密性の高いデータポイントを共有することになります。彼らを信頼できるかどうかを知る必要があります。事前にいくつかの重要な質問をすることで、データ損失や侵害が引き起こす評判、セキュリティ、競争上のリスクから会社を守ることができます。
.png)
