何のためにSOCを取るのか
SOCそのものは、委託会社が安心するための枠組みと言えます。委託会社がアウトソース先を選定するときに、「このクラウドベンダーはSOC、何を取っているの?」というようなことが選定を左右するというわけです。SOCを取っていないところは、最初から検討の俎上に上げないという会社もあるかもしれません。
長谷「特に外資系の企業は、厳しい会社が多いと思います。お客さんに対して提案をしたときに、『SOC持っているの?と聞かれたのですが、SOCって何ですか?』と我々のところに問い合わせが来たり、『ここのお客さんをどうしてもとりたいから、SOCを取ろうと思うのですけど、いくらかかりますか?』という話が来たりといったケースは増えてきています」。
前編でちらりとJ-SOXのIT全般統制の話が出てきましたが、J-SOX監査との関連はあるのでしょうか?
長谷「SOC1は、J-SOX初期の頃においては、SAS70と呼ばれていました。その時は、J-SOXで委託先の内部統制についても監査を受けるため、委託元が委託先にSAS70を取っていてほしいと依頼するようなケースがあり、ITベンダーがSAS70を取った時期がありました。ただ、その時はまだ「クラウド」という言葉が今ほど普及していない時代でしたので通常のホストの運用を請け負っているだとか、データセンターでホスティングをやっていたようなところがSAS70を取るというような状況でした」。
SAS70、聞いた覚えがあるような気がします。しかし、確かにJ-SOXだ内部統制だと騒いでいた頃はまだクラウドが出てくるちょっと前、直前というあたりでしょうか。
