家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

SOC(Service Organization Control)について

SOC(Security Operation CenterではなくService Organization Controlのほう)についてまとめてみました。本記事で対象とするSOCとは、監査法人がクラウドベンダーなどにだすお墨付きのようなものです。

SOCはもともと財務諸表監査の延長として取り入れられた制度です。例えば、情報システムの内部統制の監査をする場合に、クラウド等の利用により外部委託のようになっている部分については、自社(監査を受けている企業)ではわからないとなった場合、監査人が都度、ベンダ(上記の場合はクラウドを提供している外部委託先)に、監査をしに行くとなるとベンダ側の負担が大きくなるため、SOCという報告書を作成して監査に対応する目的で作成されました。

SOCにはいくつかの種類があり、公開範囲は利用シーンが異なります。例えばSOC2であればユーザ企業。SOC3は外部に広く公開されます。

f:id:iestudy:20190914224837p:plain

SOCのイメージ

 

SOC報告書別の概要と適用場面 

  SOC1 SOC2 SOC3
概要 ユーザと監査人に向けた詳細なレポート ユーザと監査人、特定の関係者(利用予定のユーザ等)に向けた詳細なレポート 一般に公開されるレポート
(SOC2と評価基準は同じだが、広く公開する目的で作成されているため、内容は簡潔なもの)
利用場面 財務報告にかかわる内部統制
財務取引に関するシステムを提供している場合に有用
以下の項目を評価
  • セキュリティ
  • 可用性
  • 機密性
  • 完全性
  • プライバシー
幅広いシステムに適用している

 

SOC報告書のタイプ

SOCの報告書にはタイプがあります。
基準日時点での適切性を保証する報告書はタイプ1一定期間を通じて適切性と運用状況の有効性を保証するのがタイプ2となります。
例えば、特定のシステムの運用の有効性評価を確認する場合はタイプ2が必要になる


AmazonのSOCレポート
AmazonではSOC3のレポートを公開しています。

aws.amazon.com

 

参考にさせていただいたサイト

https://enterprisezine.jp/article/detail/8923

https://assets.kpmg/content/dam/kpmg/pdf/2016/03/jp-effectively-using-soc-reports.pdf