家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

SOC(Service Organization Control)について

セキュリティ ガイドライン

概要

SOC(Security Operation CenterではなくService Organization Controlのほう)についてまとめてみました。本記事で対象とするSOCとは、監査法人がクラウドベンダーなどにだすお墨付きのような報告書(SOCレポート)です。

SOCレポートは、SaaS等のサービス利用者側にとって、サプライチェーンリスクを把握する方法の1つとして有効です。

 

 

 

SOCレポートとは

SOCレポートとは、業務受託会社(SaaSベンダ等)が自身の提供するサービスに関する内部統制を対象として監査人が評価を行い、 SaaSサービスの利用者はサービスの利用の際して、サービスの運用体制が適正かどうか参照できるような報告書です。

SOCはもともと財務諸表監査の延長として取り入れられた制度です。例えば、情報システムの内部統制の監査をする場合に、クラウド等の利用により外部委託のようになっている部分については、自社(監査を受けている企業)ではわからないとなった場合、監査人が都度、ベンダ(上記の場合はクラウドを提供している外部委託先)に、監査をしに行くとなるとベンダ側の負担が大きくなるため、SOCという報告書を作成して監査に対応する目的で作成されました。

SOCにはいくつかの種類があり、公開範囲は利用シーンが異なります。例えばSOC2であればユーザ企業。SOC3は外部に広く公開されます。

f:id:iestudy:20190914224837p:plain

SOCのイメージ

 

SOC報告書別の概要と適用場面

SOCには以下のような3つの種類があります。

SOC1ではベンダの財務報告等、内部統制にかかわる内容が含まれ、JSOX法への対応等の確認に用いられます。

SOC2およびSOC3はサービス利用時に、対象となるサービスが適切かどうか、判断する際に用いられます。

SOC2は数百ページにも及ぶに記載があり、ISO認証と比較すると、より詳細にベンダの運用手順や業務フローを確認することができます。
また、監査人による評価コメント(SOCの認証を取得している場合であっても、監査人が確認した瑕疵等の問題が記載されている場合があります。)も記載されている為、内容によってはSOC2を取得しているサービスであっても、自組織の基準と照らしわせると問題となる部分がある、といった場合もあります。

SOC2は取得していれば、問題なくサービスを使えるというわけではなく、内容を読み解いたうえで判断する必要があります。

ISOの認証と比較すると、ベンダの運用手順やフローなどを詳細に確認することができますが、読み解くためには時間と知識が必要になります。

SOC3については、SOC2のサマリ版のようなものであり、秘密情報を用いない場合、重要度の低い業務で利用する場合等に活用することができます。

また、SOCレポートでは監査の適用範囲にサービスが利用する基盤(IaaS等)を含める(Inclusive:一体方式)か、含めない(Carve-out:除外方式)か選択することができるため、SOCレポートを参照する際には確認が必要な点となります。

SOCの種類

  SOC1 SOC2 SOC3
概要 ユーザと監査人に向けた詳細なレポート ユーザと監査人、特定の関係者(利用予定のユーザ等)に向けた詳細なレポート 一般に公開されるレポート
(SOC2と評価基準は同じだが、広く公開する目的で作成されているため、内容は簡潔なもの)
利用場面 財務報告にかかわる内部統制
財務取引に関するシステムを提供している場合に有用		 米国公認会計士協会(AICPA)が定めたトラストサービス規準(Trust Service Criteria)に従って以下の項目を評価
  • セキュリティ
  • 可用性
  • 機密性
  • 完全性
  • プライバシー

上記のセキュリティの項目は必須項目であり、それらの項目はベンダが適宜、対象とするかどうか決めることができます。

SOC2+では業界独自の規制を追加して監査することができます。

例として、金融業界であればFISC等を加味した監査が可能であるなど。
国際基準 ISAE3402    
USA基準

SSAE18

 AT101 / SOC2 GUIDE AT101 / SOC3
日本基準 86号(18号)監査 情報セキュリティ検証業務 各種TRUSTサービス

 

SOC報告書のタイプ

SOC1および2には報告書タイプがあります。
基準日時点での内部統制の適切性を保証する報告書はタイプ1一定期間を通じて適切性と運用状況の有効性を保証するのがタイプ2となります。タイプ1は組織独自の立証であるのに対して、タイプ2には監査人の意見も含まれています。

 

特定のシステムの運用の有効性評価を確認する場合はタイプ2が必要になります。なお、SOC2レポートはNDAの下で顧客等に公開されます。 

 

その他参考情報

レポートの例(Amazon)

AmazonではSOC3のレポートを公開しています。

aws.amazon.com

 

SSAEについて

SSAE(Statement on Standards for Attestation Engagements)は、米国公認会計士協会が定めた、受託業務(各種アウトソーシングサービス等)を行う会社の、内部統制の有効性を評価する保証基準です。
SOC1保証報告書は、SSAEに基づいて作成されます。
なお、SSAEはAICPA(米国公認会計士協会)によって2016年4月にSSAE-18が出されており、2017年5月1日以降に発行するSOC1報告書からSSAE-18が適用されます。

※SSAE16の前身はSAS70

  • 2017年4月末まで(SSAE16)
  • 2017年5月以降(SSAE18)

 

参考にさせていただいたサイト

貴重な情報をありがとうございます。

https://enterprisezine.jp/article/detail/8923

https://assets.kpmg/content/dam/kpmg/pdf/2016/03/jp-effectively-using-soc-reports.pdf

https://ent.iij.ad.jp/articles/11/

https://www2.deloitte.com/content/dam/Deloitte/jp/Documents/risk/or/jp-or-soc1.pdf