みなさんは、SOCなるものの存在をご存じでしょうか。SOCはSOCでも、脅威を監視したりするSecurity Operation Centerのほうではありません。Service Organization Control、のほうです。こちらのSOCとは、監査法人がクラウドベンダーなどにつけるお墨付きのようなもの。クラウドの普及により、監査の現場でも変化が起きつつあります。クラウドで業務システムを動かすことがあたりまえになったら、監査はどう変わるのでしょうか? SOCには、1、2、3があります。それぞれどのようなものなのか、今日の監査の現場ではどのように使われているのか、今後はどうなっていくのか等々、有限責任監査法人トーマツ パートナーの長谷友春さんにお話をうかがいました。
SOC1、2、3、それぞれの違い
SOC1というのは、もともと財務諸表監査の延長として取り入れられた制度です。たとえば、「会計監査をするにあたって、情報システムの内部統制の監査もしましょう」といった場合に、「その情報システムのところは委託しているので自社ではわかりません」と監査クライアントに言われ、「では、そのアウトソース先に直接監査に行かせてください」などということになってしまったらどうなるのか?
受託しているIT企業としては、お客さんの数だけ監査人がバラバラについているので、何社も何社も監査に来られると監査対応が大変になります。そこで、SOC1という報告書を取って、それをお客さんに渡す。お客さんは報告書を自分の監査人に渡す。このように、企業が監査を受ける負荷を減らしたいというところから入っている制度がSOCなのです。
もともと「財務諸表監査で使う」というところから入ってきているという背景があるということで、委託するサービス内容も財務諸表関連のシステムについてのみなのでしょうか?
長谷「必ずしも販売、会計等のシステムが載っているわけではなくて、財務諸表に関係しないシステムが載っていたとしても何か保証は得られないかという要望がありました。財務報告だけですと、いわゆるIT全般統制といって、J-SOXで見ているところが中心になるのですが、それだけではなくて、セキュリティや、機密保持、アベイラビリティといった部分に重点を置いた保証の報告書として生まれたのがSOC2という制度です」。
はい、ここでSOC2が出てきました。財務諸表に直接関連しない、セキュリティや機密保持、アベイラビリティに重点を置いた保証がSOC2です。具体的に考えてみましょう。たとえば、個人情報が漏れたとします。この「漏れた」という事実だけでは財務諸表上の数字は、その時点では影響は受けません。漏洩後、損害賠償請求を受けて、そこで引当金を積むなり、損害賠償金を払うなりといったことが起きた後で、はじめて財務諸表に影響が起きるわけです。そうなると、プライバシーやセキュリティの問題は、喫緊には財務報告目的とは直接的には関係しないが、看過できないところもある、という位置付けになります。こうしたプライバシーや、機密情報の漏洩などに関して何かの保証報告書がほしいといったケースのために、財務報告目的以外のことについて、お墨付きを与えるのがSOC2なのであります。
では、SOC2とSOC3の違いはどこにあるのでしょうか?
長谷「SOC2は、ある程度閉じられたところでしか閲覧しないものです。SOC3は、ホームページ等に掲載できる。つまり『マル適マークをホームページに載せていいですよ』というようなものです。報告書としては、非常に短く、あっさりとしているのですが、『それを万人に見せることができる』というのがSOC3です」。
この記事は参考になりましたか?
- この記事の著者
-
小泉 真由子(編集部)(コイズミ マユコ)
情報セキュリティ専門誌編集を経て、2006年翔泳社に入社。エンタープライズITをテーマにイベント・ウェブコンテンツなどの企画制作を担当。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア