SOC(Security Operation CenterではなくService Organization Controlのほう)についてまとめてみました。本記事で対象とするSOCとは、監査法人がクラウドベンダーなどにだすお墨付きのようなものです。
SOCはもともと財務諸表監査の延長として取り入れられた制度です。例えば、情報システムの内部統制の監査をする場合に、クラウド等の利用により外部委託のようになっている部分については、自社(監査を受けている企業)ではわからないとなった場合、監査人が都度、ベンダ(上記の場合はクラウドを提供している外部委託先)に、監査をしに行くとなるとベンダ側の負担が大きくなるため、SOCという報告書を作成して監査に対応する目的で作成されました。
SOCにはいくつかの種類があり、公開範囲は利用シーンが異なります。例えばSOC2であればユーザ企業。SOC3は外部に広く公開されます。
SOC報告書別の概要と適用場面
| SOC1 | SOC2 | SOC3 | |
| 概要 | ユーザと監査人に向けた詳細なレポート | ユーザと監査人、特定の関係者(利用予定のユーザ等)に向けた詳細なレポート | 一般に公開されるレポート (SOC2と評価基準は同じだが、広く公開する目的で作成されているため、内容は簡潔なもの) |
| 利用場面 | 財務報告にかかわる内部統制 財務取引に関するシステムを提供している場合に有用 |
以下の項目を評価
幅広いシステムに適用している。 ※サービスの監査では特に、上記のセキュリティの項目が報告書に含まれていることが重要となる。 |
|
| 国際基準 | ISAE3402 | ||
| USA基準 |
SSAE18 |
AT101 / SOC2 GUIDE | AT101 / SOC3 |
| 日本基準 | 86号(18号)監査 | 情報セキュリティ検証業務 | 各種TRUSTサービス |
SOC報告書のタイプ
SOC1および2には報告書タイプがあります。
基準日時点での内部統制の適切性を保証する報告書はタイプ1、一定期間を通じて適切性と運用状況の有効性を保証するのがタイプ2となります。タイプ1は組織独自の立証であるのに対して、タイプ2には監査人の意見も含まれています。
特定のシステムの運用の有効性評価を確認する場合はタイプ2が必要になります。なお、SOC2レポートはNDAの下で顧客等に公開されます。
AmazonのSOCレポート
AmazonではSOC3のレポートを公開しています。
SSAEについて
SSAE(Statement on Standards for Attestation Engagements)は、米国公認会計士協会が定めた、受託業務(各種アウトソーシングサービス等)を行う会社の、内部統制の有効性を評価する保証基準です。
SOC1保証報告書は、SSAEに基づいて作成されます。
なお、SSAEはAICPA(米国公認会計士協会)によって2016年4月にSSAE-18が出されており、2017年5月1日以降に発行するSOC1報告書からSSAE-18が適用されます。
※SSAE16の前身はSAS70
- 2017年4月末まで(SSAE16)
- 2017年5月以降(SSAE18)
参考にさせていただいたサイト
https://enterprisezine.jp/article/detail/8923
https://assets.kpmg/content/dam/kpmg/pdf/2016/03/jp-effectively-using-soc-reports.pdf
https://ent.iij.ad.jp/articles/11/
https://www2.deloitte.com/content/dam/Deloitte/jp/Documents/risk/or/jp-or-soc1.pdf
