本記事ではタイトルの通りMerakiが取得している各種認証についてまとめたいとおもいます。
認証と言っても802.1x認証の話であったり、RADIUS認証の話をしたいのではなく、ISOやSOC等のMerakiがクラウド上でサービスを提供するにあたって、各認証機関から正しく運用プロセス等が守られているのかを認証として取得しているものになります。
Merakiが取得している認証
Merakiが取得している認証は下記の物になります。
- ISO 27001(米国以外)
- SOC1および2(米国のみ)
- PIC DSS
Merakiの下記サイトにてISO 27001、SSAE18 Type2の認証を取得していることが記載されています。
PCI DSSに関しては下記サイトにて記載されています。
Merakiはアウトオブバンド構成のアーキテクチャとなっているため、Merakiの利用者にとってMerakiのクラウドはPCI監査の対象外になります。
しかし、Merakiの各機器を利用するにあたってMerakiのこのアーキテクチャがPCIの要件を満たしていることによって、より安心して利用が可能になることからMerakiはPCI DSS認証を取得しているようです。
SOC1および2について
MerakiのHPにおいては直接SOCに関する記述を見つけることができませんでした。
そもそも私はSOC(Service Organization Controls)に関して詳しくありませんでしたので、ググって下記サイトがためになったので参考として掲載しておきます。
細かな事はサイト内を見ていただくことにしてざっくりとまとめると、
- SOC1:財務報告に関連する内部統制の評価
- SOC2:サービスやシステムを対象に、セキュリテイや可用性などの統制の評価
- SOC3:SOC2をより簡潔に評価した物
と言うことのようです(個人的にはこう書かれてもイマイチ理解できていませんが)。
また、SOC1とSOC2にはTypeがあり、
- Type1:特定の1日についての評価
- Type2:半年以上の一定期間についての評価
とあります。Type1に関してはあまり意味のある物とは思えず、Merakiのようにサービスをお客様に提供する事業者にとってはType2の取得は必須ですね。
で、Merakiに関してはどうなのか?と言うと、上記にも記述したSSAE18 Type2がSOC1 Type2に該当するようです。
こちらも、下記サイトが参考になります。
SSAE18の取得とSOC1の取得は同意語のようです。
SOC2に関しては明確な記載がされたPublicなサイトを見つけることができませんでした。
しかし、Cisco社HPで検索を行ってみるとSOC2のレポートが取得できるようなのでMerakiはSOC2の認証も取得していると言っても良いでしょう。
残念ながら下記リンクへのアクセスはCisco社CCOへのアクセス権のあるアカウントが必要となります。
まとめ
Merakiはクラウド上にてダッシュボードを提供する事業者となりますので、様々な認証を取得していることがわかりました。
RFP等への対応のため取得している認証に関して列記する必要がある場合等に参考になれば幸いです。
