株式会社TIMEWELLの濱本 隆太です。
「うちのSaaSをアメリカの製薬大手に売り込んだら、購買部門からCSA STAR Level 2の有無を聞かれて、CTOが固まったんです」。先週、SaaSスタートアップの代表からこんな相談がありました。
このパターンが2026年に入ってから急増しています。SOC 2やISO 27001は揃えていても、CSA STAR Level 2は知らない、あるいは「自己申告のLevel 1で出していました」というケース。海外のエンタープライズ調達では、Level 1とLevel 2の差が「自社申告ですか、第三者が検証しましたか」という決定的な分かれ目になります。
2026年1月にCCM v4.1がリリースされ、5月時点でSTARレジストリの登録件数は2,000を超えました。日本のクラウド・SaaS事業者にとって、Level 2は「いつか取るかもしれない認証」ではなく、「来期の商談で求められたら半年遅れる」リスクに変わっています。今回は実装現場目線で、Attestation/Certificationの選択、CCM v4.1の中身、コスト相場、ベンダーDDで効く理由を一気通貫で整理します。
要約
- CSA STAR Level 2は CSA認定第三者監査人による現地審査。Level 1(自己申告)との差は決定的
- 二択構造:STAR Attestation(SOC 2 Type 2 + CCM) または STAR Certification(ISO/IEC 27001 + CCM)
- 2026年1月リリースの CCM v4.1:17ドメイン207コントロール、AIサプライチェーン・ログ監視に11新規追加
- コスト相場 4万〜12万ユーロ。既存SOC 2/ISO 27001保有なら増分20〜40%
- 日本企業がハマるポイント:「うちはISO 27001取ってるので大丈夫」では足りない。CCMの上乗せが必要
- WARP SECURITY演習でカバー:監査前ハンズオン、CCMギャップ分析、CPA/認証機関との対話シナリオ
Level 1とLevel 2の決定的な違い — 「言った」と「検証された」の境界線
CSA STARを初めて触る方には、Level 1とLevel 2の差を「監査の厳しさ」だと説明されがちですが、それは半分しか正しくありません。実態は 「自社申告か、第三者検証か」という法的・契約的な性質の違い です。
Level 1は、CSAが公開する CAIQ(Consensus Assessments Initiative Questionnaire) という140問以上の質問票に自社で回答し、STARレジストリに登録するだけ。費用は実質ゼロで、所要期間は2〜4週間。一方Level 2は、CSAが認定した第三者監査人(Attestationは公認会計士=CPA、CertificationはISO認証機関)が現地審査を実施し、証跡を1件ずつ確認します。
この差が決定的に効くのが、エンタープライズ調達の ベンダーデューデリジェンス(DD:購買前の身元・能力確認) の場面です。米国の大手金融・製薬・連邦政府向けに販売する場合、調達ガイドラインで「Level 1のみは認めない、Level 2以上を求める」と明文化されているケースがあります。
私の手元の事例では、ある日本のSaaS事業者が「Level 1で十分でしょう」と判断して海外展開を始めたところ、商談の途中で「Level 2の証明書または同等のSOC 2 Type 2 + CCM対応を見せてください」と要求され、結果的に商談が半年遅れました。半年遅れというのは、認証取得に最低6か月かかるからです。後から取ろうとしても間に合わない。これがCSA STARの怖いところで、 「必要になってから取る」では遅すぎる認証 だと私は考えています。
ちなみにLevel 3(継続監査)はさらに上の層ですが、これは別記事で扱います。Level 2を理解せずにLevel 3には進めません。
AIセキュリティ研修を、本気で
OWASP・NIST・ISO 42001・経産省ガイドライン全準拠の2日間集中講座。経営層と現場で分けて受講できます。
STAR AttestationとSTAR Certification — どちらを選ぶかは「顧客がどこにいるか」で決まる
Level 2を取ると決めたら、次の分かれ道がAttestation vs Certificationの二択です。両者の違いは「監査のベース基準」と「監査人の資格」で、よく混同されますが性質は別物です。
| 項目 | STAR Attestation | STAR Certification |
|---|---|---|
| ベース基準 | SOC 2 Type 2(AICPA Trust Service Criteria) | ISO/IEC 27001 |
| CCMの位置づけ | 追加subject matter(補足対象) | 統合管理システム要求事項 |
| 監査人 | 米国公認会計士(CPA)事務所 | ISO認証機関(JIPDEC、BSI、DNV等) |
| 有効期間 | 12か月(毎年再取得) | 3年(毎年サーベイランス、3年目に再認証) |
| 主な顧客圏 | 米国・SaaS事業者 | 欧州・日本・APAC・グローバル |
| 既存資産との親和性 | SOC 2を持っている事業者 | ISO 27001を持っている事業者 |
私は日本企業に対しては Certification(ISO 27001 + CCM)を推奨 することが多いです。理由は3つあります。1つ目はISO 27001がすでに国内で広く取得されており、社内体制やドキュメント整備の流用が利く。2つ目は3年有効でランニングコストが安定する(Attestationの毎年取得は監査疲れを生む)。3つ目は日本のJIPDEC(一般財団法人日本情報経済社会推進協会)など国内認証機関がCSA STAR Certificationを発行できるため、コミュニケーションのストレスが少ない。
逆に米国市場をメインターゲットにする場合、Attestationを推奨します。米国のCFOやリスク管理担当者は SOC 2レポート(CPAが作成する詳細レポート)の読み方に慣れており、それにCCM Mapping Appendixを添付するスタイルが自然に受け入れられる。ISO証明書1枚を渡しても「これだけ?」となりがちです。
ただしどちらを選んでも、両方持つ事業者は確実に有利です。AWS、Microsoft Azure、Google Cloudのようなハイパースケーラーは両方保有しています。中堅以下のSaaSが両方取るのは現実的でないので、まず顧客のDD質問に合わせて片方から始めるのが私のおすすめです。
CCM v4.1の17ドメイン207コントロール — 「ISO 27001で足りないところ」を可視化する
CSA STAR Level 2の中核にあるのが CCM(Cloud Controls Matrix) です。2026年1月28日にリリースされたCCM v4.1は、17ドメインを維持しつつコントロール数を207に拡張、AIサプライチェーン・ログ監視関連で11個の新コントロールを追加しました。
主要17ドメインを目的別にまとめると次のとおりです。
| ドメインコード | ドメイン名 | 内容 |
|---|---|---|
| A&A | Audit & Assurance | 監査・保証プログラム |
| AIS | Application & Interface Security | アプリ・API保護 |
| BCR | Business Continuity & Operational Resilience | BCP・運用レジリエンス |
| CCC | Change Control & Configuration Management | 変更管理 |
| CEK | Cryptography, Encryption & Key Management | 暗号・鍵管理 |
| DCS | Datacenter Security | データセンター物理セキュリティ |
| DSP | Data Security & Privacy Lifecycle Management | データライフサイクル管理 |
| GRC | Governance, Risk Management & Compliance | ガバナンス全般 |
| HRS | Human Resources Security | 人事・退職管理 |
| IAM | Identity & Access Management | ID・アクセス管理 |
| IPY | Interoperability & Portability | 相互運用性 |
| IVS | Infrastructure & Virtualization Security | 仮想化基盤 |
| LOG | Logging and Monitoring | ログ・監視 |
| SEF | Security Incident Management, E-Discovery & Cloud Forensics | インシデント対応 |
| STA | Supply Chain Management, Transparency & Accountability | サプライチェーン |
| TVM | Threat & Vulnerability Management | 脆弱性管理 |
| UEM | Universal Endpoint Management | エンドポイント |
ISO 27001の附属書A(93コントロール)と並べると、CCMはおおよそ2倍の粒度です。「ISO 27001を持っているから大丈夫」と思っていた日本企業が、Level 2監査で詰まる場所は決まっています。 DCS(データセンター物理)、CEK(暗号・鍵管理)、IPY(相互運用性)、STA(サプライチェーン) の4つです。
特にSTA(サプライチェーン管理・透明性・アカウンタビリティ)は、CCM v4.1で強化された領域です。クラウドサービスが他社のクラウド(AWS、GCP等)の上で動いていることを前提に、 「あなたの下流の依存先のセキュリティをどう把握しているか」 を厳しく問われます。ISO 27001ではここまで具体的に問われない場合があり、初めての監査で必ず指摘ポイントになります。
私自身の見解として、CCM v4.1を「ISO 27001の拡張版」と捉えるとうまくいきません。 「クラウド事業者として実務的に何をしているかを語る言語」 だと思って読むと、すんなり腹落ちします。
取得プロセスとコスト相場 — 6か月準備、2週間本番、4〜12万ユーロ
Level 2取得の標準的な工程は、初取得で約6〜12か月、既存SOC 2/ISO 27001保有事業者で3〜6か月です。
| フェーズ | 期間 | 主な作業 |
|---|---|---|
| ギャップ分析 | 4〜8週間 | CCM 207コントロールに対する現状ギャップ洗い出し |
| 改善実装 | 2〜6か月 | ポリシー策定、技術コントロール導入、証跡準備 |
| 内部監査 | 2〜4週間 | リハーサル監査、最終証跡確認 |
| 監査本番 | 1〜2週間 | 第三者監査人の現地審査・インタビュー・証跡レビュー |
| レポート発行 | 4〜8週間 | Attestationレポートまたは認証書の発行 |
| レジストリ登録 | 2週間 | CSA STARレジストリへの掲載手続き |
コスト相場は2026年5月時点で 4万〜12万ユーロ(約700万〜2,000万円) 。内訳の大まかな目安は次のとおりです。
- 監査ファーム費用(CPA or 認証機関):3万〜8万ユーロ
- 内部準備のコンサル委託:1万〜3万ユーロ
- ツール・自動化整備:5,000〜1万ユーロ
- 社内人件費(直接・間接):別途3〜6人月
すでにSOC 2 Type 2を保有しているSaaS事業者なら、CCMをsubject matterとして既存監査に追加する 増分コストは20〜40% 程度に抑えられます。ISO 27001保有事業者がCertificationに進む場合も同様で、ゼロから取るより遥かに効率的です。
私の経験では、 「先にSOC 2かISO 27001を取り、後からCCMを乗せる二段ロケット戦略」 がコスト効率では最強です。逆に「いきなりLevel 2をフルスクラッチで取りに行く」のは、内部準備の負荷で組織が消耗するのでお勧めしません。ただし、後者を選ぶしかない事業者もいます。海外の大型商談が動き出していて、SOC 2と並行してCCMも整備せざるを得ないケースです。この場合は監査ファームに「同時並行プラン」を依頼すると、6〜8か月で同時取得が可能です。
日本企業がハマる5つの落とし穴 — 私が現場で見てきたパターン
ここは認証の解説書には書かれない、私の現場経験ベースの実装現場の話です。日本のクラウド・SaaS事業者がCSA STAR Level 2を取る過程で詰まる場所は、おおむね5パターンに集約されます。
1つ目は 「ISO 27001取ってるから3か月で取れる」と過小評価する こと。先に書いたとおり、CCMはISO 27001の2倍の粒度。DCS・CEK・IPY・STAは別途整備が必要です。経営層に「3か月で取れます」と言ってしまったCTOが、6か月目にスケジュール再延期を報告する場面を何度も見ました。
2つ目は 証跡の英語化を後回しにする こと。Attestationの場合、CPA監査人は英語ベースで証跡を読みます。Certificationも国際認証機関の場合は同様。日本語ポリシーしかない状態で監査に入ると、翻訳作業だけで2週間遅れます。私は「監査3か月前までに主要ポリシー20本を英訳しておく」を必ずクライアントに伝えます。
3つ目は 下請けクラウド事業者(AWS、Azure、GCP)の証跡を借りる発想がない こと。STA(サプライチェーン)ドメインでは、自社のクラウド基盤がAWS等の上で動いている場合、AWSのコンプライアンスレポート(SOC 2、ISO 27001、PCI DSS等)を引用して「下層は親会社が担保している」と説明できます。これを知らずに「うちはAWSの上で動いてるからDCS(データセンター物理)は答えられない」と詰まる事業者が後を絶ちません。
4つ目は 「STARレジストリに載っても客は見にこない」と思っている こと。実際は、米国の大手企業の購買・セキュリティ担当者は STARレジストリを能動的に検索しています 。レジストリに名前があるだけでDDの初期スクリーニングを通過できる、という効果は侮れません。
5つ目は 再認証の時期を忘れる こと。Attestationは12か月、Certificationは3年。期限切れの状態でDDを受けると「現在有効な認証はありますか?」という質問に答えられなくなります。私は「認証取得と同時に、次回再認証の予定をカレンダーに6か月前から仕込んでおく」のを習慣にすべきだと考えています。
日本でCSA STAR Level 2を持っている事業者の傾向 — 「数」より「層」を見る
2026年5月時点で、STARレジストリに登録された日本拠点のLevel 2取得事業者は十数社規模。欧米と比べると圧倒的に少数派です。代表例として NTT-CI(NTTコミュニケーションズ系) や 富士通クラウドサービス などの大手通信・SIerが目立ちます。
これだけ見ると「日本市場ではまだ早い」と判断してしまいそうですが、私の見方は逆です。 少数派だからこそ取った時の差別化効果が大きい 。海外SaaSや国内テックスタートアップにとって、エンタープライズ顧客への訴求材料として「Level 2取得済」は明確な競争優位になります。
特に2026年に入ってから、 TIMEWELLが支援している企業の中でも「海外大手企業からのRFP(提案依頼書)でCSA STAR Level 2の有無を聞かれた」事例が3件発生しています 。1年前まではゼロだった質問です。グローバルなクラウド調達ガイドラインがCSA STARを参照基準に組み込み始めた結果だと見ています。
私は日本のSaaS事業者に対して、 「2027年中にLevel 2を取得するロードマップを今すぐ引け」 とアドバイスしています。理由は単純で、6〜12か月の準備期間が必要だから。2027年の商談で要求された時に準備ゼロでは間に合いません。
ベンダーDDで「効く」理由 — 質問票を「黙らせる」効果
CSA STAR Level 2が最も力を発揮するのは、エンタープライズ顧客が送ってくる セキュリティ質問票(VSAQ:Vendor Security Assessment Questionnaire) の対応場面です。米国の大手企業は、自社独自の質問票を100〜300問規模で送ってくるのが標準。1社対応するのに営業エンジニアが2週間かかる、というのはざらにあります。
ここでCSA STAR Level 2を取得していると、 「弊社のCAIQ v4.0.3回答(CCM 207コントロール対応済)とSTAR Attestationレポートをご参照ください」と1枚送るだけで質問票の70〜80%が事実上クリアされます 。残りの20〜30%が顧客固有の追加質問になりますが、ベースラインが揃っている状態で議論できるので、対応時間は1/5以下に短縮されます。
私の手元の数字では、CSA STAR Level 2取得後の事業者は、ベンダーDD対応工数が 平均で年間300〜500時間削減 されています。これは営業エンジニア1〜2名分の工数に相当します。認証取得コスト4〜12万ユーロを2〜3年で回収できる計算です。
加えて、Level 2の証明書を持っていると、 取引先のセキュリティリスクスコアリングで上位ランクに分類される 副次効果もあります。BitSight、SecurityScorecardなどの外部スコアリングサービスは、保有認証を加点要素として扱っています。
要は、Level 2は「セキュリティ部門のためのもの」ではなく 「営業・カスタマーサクセス部門のためのインフラ」 だと私は捉えています。これを理解せずに「セキュリティ予算」だけで議論すると、ROIが見えなくなって取得が後回しになる。営業ROIの議論に持ち込むのが、社内合意形成の近道です。
WARP SECURITYで「監査前ハンズオン」を回せる
CSA STAR Level 2に挑む現場で最大の壁は、 「監査人が見ているのは現場のオペレーション証跡であって、ポリシー文書ではない」 という事実です。ところが多くのSaaS事業者は、社内研修で「ポリシー文書の読み合わせ」を行って終わりにしてしまう。これでは監査本番で監査人の質問に答えられません。
TIMEWELLが提供する WARP SECURITY では、CSA STAR Level 2に向けた「監査前ハンズオン」ワークショップを用意しています。具体的には次の3つのモジュールで構成します。
1つ目は CCMギャップ分析の実習 。207コントロールに対して自社が「実装済・部分・未実装」のどこにあるかを、参加者自身が証跡を引っ張り出して分類する2日間ワークショップ。コンサルが代わりにやってくれるのではなく、参加者が手を動かすことで、監査本番での質問に即答できる体得スキルが身につきます。
2つ目は CPA・認証機関対応の対話演習 。実際の監査人インタビューを想定したロールプレイで、「ログ保管期間を聞かれたら何と答えるか」「インシデント対応の証跡を3分以内に出せるか」を訓練します。NTT-CIや富士通クラウドサービスの監査経験者をメンターとして招くことも可能です。
3つ目は STA(サプライチェーン)ドメインの図解化演習 。自社サービスがAWS/Azure/GCPのどのコンポーネントを使っているか、ホワイトボードに描き起こし、各層の責任分界点を明確化します。ここが言語化できていないと、監査人に「下層はどう担保していますか?」と聞かれて固まる現場が多発します。
「監査ファームに頼んだのに通らなかった」という相談がたまに来ますが、原因の8割は社内オペレーションが言語化されていないこと。Level 2は買うものではなく、内部で育てるものだと私は考えています。WARPはその「育てる」プロセスを伴走する役割を担っています。
まとめ — 「2027年に間に合わせる」ロードマップを今引く
CSA STAR Level 2は、2026年5月時点で日本のクラウド・SaaS事業者にとって「いつか必要になる認証」から「来期の商談で問われる認証」に変わりました。取得には6〜12か月、コスト4〜12万ユーロ。準備を始めるべきタイミングは、 「商談で要求されてから」では確実に遅い 。
今すぐ着手すべき3つの行動を提案します。1つ目、自社の既存資産(SOC 2 or ISO 27001)を棚卸しして、AttestationかCertificationかを決める。2つ目、CCM v4.1の17ドメインに対してギャップ分析を1か月で完了させる。3つ目、認証取得を「セキュリティ部門のKPI」ではなく「営業ROIのKPI」として経営会議のアジェンダに乗せる。
このシリーズの他の認証記事(ISO/IEC 27001完全ガイド、ISO/IEC 42001入門、ISMAP解説、CSA STAR Level 1セルフアセスメント、CSA STAR Level 3継続監査)も合わせて読むと、認証ポートフォリオ全体の設計が見えてきます。日本企業の対応優先順位はマスターガイドで整理しました。
私はCSA STAR Level 2を「クラウド事業者の英語パスポート」だと考えています。海外との商談テーブルで、これがあるかないかで席に着けるかどうかが決まる。準備期間を逆算するなら、今日から動き出すのが正解です。
参考文献
[^1]: Cloud Security Alliance, "STAR Level 2: All About STAR Attestations and Certifications," 2024年3月23日, https://cloudsecurityalliance.org/blog/2024/03/23/csa-star-level-2-all-about-star-attestations-and-certifications [^2]: Cloud Security Alliance, "Cloud Controls Matrix v4.1," 2026年1月28日リリース, https://cloudsecurityalliance.org/research/cloud-controls-matrix [^3]: Atlant Security, "CSA STAR Level 1 vs Level 2: Which Do You Need? (2026 Comparison)," https://atlantsecurity.com/blog/csa-star-level-1-vs-level-2-key-differences [^4]: Schellman, "CSA STAR Certification vs. CSA STAR Attestation," https://www.schellman.com/blog/star-certification-vs-attestation [^5]: Linford & Company LLP, "Guide to the CSA STAR Program - Attestation & Certification," https://linfordco.com/blog/csa-star-program-guide/ [^6]: A-LIGN, "Understanding the Transition to CSA STAR Cloud Controls Matrix v4," https://www.a-lign.com/articles/blog-transition-to-csa-star-version-4 [^7]: CSA STAR Registry, NTT-CI登録情報, https://cloudsecurityalliance.org/star/registry/ntt-ci