SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

監査法人がクラウドベンダーにつけるお墨付き、SOC1、2、3をご存じですか(前編)


 みなさんは、SOCなるものの存在をご存じでしょうか。SOCはSOCでも、脅威を監視したりするSecurity Operation Centerのほうではありません。Service Organization Control、のほうです。こちらのSOCとは、監査法人がクラウドベンダーなどにつけるお墨付きのようなもの。クラウドの普及により、監査の現場でも変化が起きつつあります。クラウドで業務システムを動かすことがあたりまえになったら、監査はどう変わるのでしょうか? SOCには、1、2、3があります。それぞれどのようなものなのか、今日の監査の現場ではどのように使われているのか、今後はどうなっていくのか等々、有限責任監査法人トーマツ パートナーの長谷友春さんにお話をうかがいました。

SOC1、2、3、それぞれの違い

 SOC1というのは、もともと財務諸表監査の延長として取り入れられた制度です。たとえば、「会計監査をするにあたって、情報システムの内部統制の監査もしましょう」といった場合に、「その情報システムのところは委託しているので自社ではわかりません」と監査クライアントに言われ、「では、そのアウトソース先に直接監査に行かせてください」などということになってしまったらどうなるのか?

 受託しているIT企業としては、お客さんの数だけ監査人がバラバラについているので、何社も何社も監査に来られると監査対応が大変になります。そこで、SOC1という報告書を取って、それをお客さんに渡す。お客さんは報告書を自分の監査人に渡す。このように、企業が監査を受ける負荷を減らしたいというところから入っている制度がSOCなのです。

 もともと「財務諸表監査で使う」というところから入ってきているという背景があるということで、委託するサービス内容も財務諸表関連のシステムについてのみなのでしょうか?

長谷「必ずしも販売、会計等のシステムが載っているわけではなくて、財務諸表に関係しないシステムが載っていたとしても何か保証は得られないかという要望がありました。財務報告だけですと、いわゆるIT全般統制といって、J-SOXで見ているところが中心になるのですが、それだけではなくて、セキュリティや、機密保持、アベイラビリティといった部分に重点を置いた保証の報告書として生まれたのがSOC2という制度です」。

 はい、ここでSOC2が出てきました。財務諸表に直接関連しない、セキュリティや機密保持、アベイラビリティに重点を置いた保証がSOC2です。具体的に考えてみましょう。たとえば、個人情報が漏れたとします。この「漏れた」という事実だけでは財務諸表上の数字は、その時点では影響は受けません。漏洩後、損害賠償請求を受けて、そこで引当金を積むなり、損害賠償金を払うなりといったことが起きた後で、はじめて財務諸表に影響が起きるわけです。そうなると、プライバシーやセキュリティの問題は、喫緊には財務報告目的とは直接的には関係しないが、看過できないところもある、という位置付けになります。こうしたプライバシーや、機密情報の漏洩などに関して何かの保証報告書がほしいといったケースのために、財務報告目的以外のことについて、お墨付きを与えるのがSOC2なのであります。

 では、SOC2とSOC3の違いはどこにあるのでしょうか?

長谷「SOC2は、ある程度閉じられたところでしか閲覧しないものです。SOC3は、ホームページ等に掲載できる。つまり『マル適マークをホームページに載せていいですよ』というようなものです。報告書としては、非常に短く、あっさりとしているのですが、『それを万人に見せることができる』というのがSOC3です」。

次のページ
オンプレミスとクラウド、監査では何が変わるのか。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

小泉 真由子(編集部)(コイズミ マユコ)

情報セキュリティ専門誌編集を経て、2006年翔泳社に入社。エンタープライズITをテーマにイベント・ウェブコンテンツなどの企画制作を担当。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8923 2017/02/08 10:52

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング