第三者による評価レポートの公表
クラウドベンダーにおける内部統制状況などを外部監査法人が評価し、レポートとしてまとめたものにSOCレポート(SOC報告書レポート:Reporting on Controls at a Service Organization)がある。
これは、ベンダーのセキュリティ管理の実態について、ユーザーに代わって監査人がベンダー環境を評価した結果をSOCレポートしてまとめたものであり、ユーザーはSOCレポート内容を通じてベンダーのセキュリティ状況を把握できる。
SOCレポートは3種類定義されており、簡単に整理すると以下のようになる。
- SOC1:財務諸表の虚偽表示に関するリスクの評価
- SOC2:情報セキュリティ管理などに関するリスクの評価
- SOC3:SOC2情報の不特定多数への公開用情報
今回はレポートの定義や内容の詳細は割愛するが、SOCレポートは、公認会計士や監査法人が米国会計士協会の定めた基準やガイダンスに基づく合理的な保証(絶対的ではない)を表明するものであり、正式文書と位置づけられる。
海外の主要クラウドベンダーの多くは、SOC1、2、3の何れかもしくは全てのレポートを各社の判断で選択し、監査法人などによる第三者監査を受けたうえで、その結果をユーザーに公表している。当該情報は米国基準に則り実施されるものであり、公表されるSOC文書は英語である。
なお、日本の会計士協会も同様な基準やガイダンスを公表している。
- 監査・保証実務委員会実務指針第86号「受託業務に係る内部統制の保証報告書」
- IT委員会実務指針第7号「受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持に係る内部統制の保証報告書」
今後は、海外主要ベンダーのSOCレポート公表のみならず、国内のベンダーでも、同様な取り組みや情報開示が期待される。