クラウドアレルギーの処方箋

クラウドベンダーの開示情報をどのように解釈するか - (page 2)

酒井慎

2015-07-29 07:00

第三者による評価レポートの公表

 クラウドベンダーにおける内部統制状況などを外部監査法人が評価し、レポートとしてまとめたものにSOCレポート(SOC報告書レポート:Reporting on Controls at a Service Organization)がある。

 これは、ベンダーのセキュリティ管理の実態について、ユーザーに代わって監査人がベンダー環境を評価した結果をSOCレポートしてまとめたものであり、ユーザーはSOCレポート内容を通じてベンダーのセキュリティ状況を把握できる。

 SOCレポートは3種類定義されており、簡単に整理すると以下のようになる。

  • SOC1:財務諸表の虚偽表示に関するリスクの評価
  • SOC2:情報セキュリティ管理などに関するリスクの評価
  • SOC3:SOC2情報の不特定多数への公開用情報

 今回はレポートの定義や内容の詳細は割愛するが、SOCレポートは、公認会計士や監査法人が米国会計士協会の定めた基準やガイダンスに基づく合理的な保証(絶対的ではない)を表明するものであり、正式文書と位置づけられる。

 海外の主要クラウドベンダーの多くは、SOC1、2、3の何れかもしくは全てのレポートを各社の判断で選択し、監査法人などによる第三者監査を受けたうえで、その結果をユーザーに公表している。当該情報は米国基準に則り実施されるものであり、公表されるSOC文書は英語である。

 なお、日本の会計士協会も同様な基準やガイダンスを公表している。

  • 監査・保証実務委員会実務指針第86号「受託業務に係る内部統制の保証報告書」
  • IT委員会実務指針第7号「受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持に係る内部統制の保証報告書」

 今後は、海外主要ベンダーのSOCレポート公表のみならず、国内のベンダーでも、同様な取り組みや情報開示が期待される。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  2. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  3. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]