編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ
クラウドアレルギーの処方箋

クラウドベンダーの開示情報をどのように解釈するか - (page 2)

酒井慎

2015-07-29 07:00

第三者による評価レポートの公表

 クラウドベンダーにおける内部統制状況などを外部監査法人が評価し、レポートとしてまとめたものにSOCレポート(SOC報告書レポート:Reporting on Controls at a Service Organization)がある。

 これは、ベンダーのセキュリティ管理の実態について、ユーザーに代わって監査人がベンダー環境を評価した結果をSOCレポートしてまとめたものであり、ユーザーはSOCレポート内容を通じてベンダーのセキュリティ状況を把握できる。

 SOCレポートは3種類定義されており、簡単に整理すると以下のようになる。

  • SOC1:財務諸表の虚偽表示に関するリスクの評価
  • SOC2:情報セキュリティ管理などに関するリスクの評価
  • SOC3:SOC2情報の不特定多数への公開用情報

 今回はレポートの定義や内容の詳細は割愛するが、SOCレポートは、公認会計士や監査法人が米国会計士協会の定めた基準やガイダンスに基づく合理的な保証(絶対的ではない)を表明するものであり、正式文書と位置づけられる。

 海外の主要クラウドベンダーの多くは、SOC1、2、3の何れかもしくは全てのレポートを各社の判断で選択し、監査法人などによる第三者監査を受けたうえで、その結果をユーザーに公表している。当該情報は米国基準に則り実施されるものであり、公表されるSOC文書は英語である。

 なお、日本の会計士協会も同様な基準やガイダンスを公表している。

  • 監査・保証実務委員会実務指針第86号「受託業務に係る内部統制の保証報告書」
  • IT委員会実務指針第7号「受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持に係る内部統制の保証報告書」

 今後は、海外主要ベンダーのSOCレポート公表のみならず、国内のベンダーでも、同様な取り組みや情報開示が期待される。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]