現在、大部分の企業が業務委託を行っている。例えば、SaaS、IaaSなどクラウドサービスの業務活用も業務委託である。こうした委託先の判断基準として「SOCR:Service Organization Controls Reporting」(受託業務に係る内部統制の保証報告書)が利用されている。
米国では一般的な報告書だが、日本でも浸透してきているという。対象リスクやユーザーにより「SOC1」「SOC2」「SOC3」があるSOCRについて、新日本有限責任監査法人のシニアパートナー 遊馬正美氏、シニアマネージャー 冨樫健氏の2人に話を聞いた。
IaaSとPaaSはSOC2、SaaSはSOC1
(前編はこちら)
ZDNet: 基本的にSOCを発行した方がいいのは、IaaS、PaaSのクラウドサービスを事業で展開しているクラウドインテグレーターが中心ですか。自分たちのサービスがいかにセキュリティを担保できるのかというところを証明して、他との比較で選んでもらいやすくするという。
遊馬氏: はい。クラウドに関していえばそういうケースが多いです。多くの企業で何かしらクラウドサービスを使っていると思います。情報システム部が一元管理してクラウドサービスを利用しているのなら、きちんとクラウドベンダーのことをこと細かに調べるのかもしれませんが、ユーザー部門が勝手にクラウドサービスを使ってしまえる環境の中で、本当に安全なクラウドサービスを使っているのかという問題はあります。そういうときにきちんとSOC2やSOC3を発行しているクラウドベンダーを使うというようなルールを作っておくのが有効な方法です。
実際に私たちはSOC2の業務を行っているのですが、SOC2の報告書を発行するまでは、あまりきちんとしたセキュリティに関する内部統制が確立・運用されていないケースも多くあります。そういうところに注意してクラウドサービスを利用しないと、危険なのかなと思います。
ZDNet: SOC2を発行したクラウドインテグレーターが、監査を受けるのに当たり、自分たちのシステムを見直し、可視化されても困らないような組み直しというケースを聞いたことがあります。
冨樫氏: はい。先ほどSOC2にはType1、Type2があるという話をしましたが、Type1を出すに当たっては、事前に現状分析をするのが一般的です。例えば、SOC2の規準にはセキュリティや可用性があるのですが、そこに照らして今、その会社にある統制がどうなっているのかを評価するのですね。突き合わせをしてここが足りませんという、「膿出し」をするわけです。そして、統制上の課題が明確になってきたところで、その解決策として、組織体制を変えるのか、手続手順などの決まりごとを変えるのか、もしかしたらシステムに手を加えた方がいいのか、短期的な解決策と長期的な解決策、その双方に配慮のうえ、会社にとって何が望ましいのか検討する、そういう話が出てくるわけです。
そういうことをして初めて見るに値する、システム記述書ができ上がる。業務やサービスの棚卸とその課題解決を通じて、絵に描いた餅とならない会社に即した効果的・効率的な統制のデザインができるということが、サービスを受ける側のメリットとしてあると思います。また、いったんデザインができ上がれば、その運用はType2で定期評価され、その結果が全て報告書に記載されるわけですから、会社のPDCA推進の後押しにもなるかと思います。そういうメリットもあります。
遊馬氏: 大手以外のクラウドベンダーは、サービスを提供している部門などの組織がまだ成熟していませんから、運用ルールのない中で事業を行っているケースもあります。そういう意味で体制を再構築するために利用するというのも一つの手です。大手もさまざまな地域・国に進出していますから、十分なコントロールができない拠点での運用が始まっているわけですね。
そのような場合、最初からSOC2でがっちり縛っておけばグローバルで統一された運用が実現できます。日本のベンダーが海外に進出していく際に、最初から現地に作っていけばいいのですが、海外にある既存の現地ベンダーを買収して進出するケースが多々あります。その場合には、なかなかルールで統制することが難しい。そういう時にSOC2での運用ルールを用いた平準化は、非常に有効に機能します。