監査法人がクラウドベンダーなどにつけるお墨付き、SOCについて有限責任監査法人 トーマツ パートナーの長谷友春さんにお話をうかがっています。前編では、SOCの種類と、それぞれがどのような目的において利用されているのかを訊きました。後編では、今日の監査の現場ではどのように使われているのか、今後はどうなっていくのかといった話を訊いてゆきます。
何のためにSOCを取るのか
SOCそのものは、委託会社が安心するための枠組みと言えます。委託会社がアウトソース先を選定するときに、「このクラウドベンダーはSOC、何を取っているの?」というようなことが選定を左右するというわけです。SOCを取っていないところは、最初から検討の俎上に上げないという会社もあるかもしれません。
長谷「特に外資系の企業は、厳しい会社が多いと思います。お客さんに対して提案をしたときに、『SOC持っているの?と聞かれたのですが、SOCって何ですか?』と我々のところに問い合わせが来たり、『ここのお客さんをどうしてもとりたいから、SOCを取ろうと思うのですけど、いくらかかりますか?』という話が来たりといったケースは増えてきています」。
前編でちらりとJ-SOXのIT全般統制の話が出てきましたが、J-SOX監査との関連はあるのでしょうか?
長谷「SOC1は、J-SOX初期の頃においては、SAS70と呼ばれていました。その時は、J-SOXで委託先の内部統制についても監査を受けるため、委託元が委託先にSAS70を取っていてほしいと依頼するようなケースがあり、ITベンダーがSAS70を取った時期がありました。ただ、その時はまだ「クラウド」という言葉が今ほど普及していない時代でしたので通常のホストの運用を請け負っているだとか、データセンターでホスティングをやっていたようなところがSAS70を取るというような状況でした」。
SAS70、聞いた覚えがあるような気がします。しかし、確かにJ-SOXだ内部統制だと騒いでいた頃はまだクラウドが出てくるちょっと前、直前というあたりでしょうか。
この記事は参考になりましたか?
- この記事の著者
-
小泉 真由子(編集部)(コイズミ マユコ)
情報セキュリティ専門誌編集を経て、2006年翔泳社に入社。エンタープライズITをテーマにイベント・ウェブコンテンツなどの企画制作を担当。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
