「クラウド」という業務委託のガバナンス最前線--後編:SOC報告書が持つ意味

吉澤亨史

2017-09-26 06:00

 現在、大部分の企業が業務委託を行っている。例えば、SaaS、IaaSなどクラウドサービスの業務活用も業務委託である。こうした委託先の判断基準として「SOCR:Service Organization Controls Reporting」(受託業務に係る内部統制の保証報告書)が利用されている。

 米国では一般的な報告書だが、日本でも浸透してきているという。対象リスクやユーザーにより「SOC1」「SOC2」「SOC3」があるSOCRについて、新日本有限責任監査法人のシニアパートナー 遊馬正美氏、シニアマネージャー 冨樫健氏の2人に話を聞いた。

IaaSとPaaSはSOC2、SaaSはSOC1

前編はこちら

ZDNet: 基本的にSOCを発行した方がいいのは、IaaS、PaaSのクラウドサービスを事業で展開しているクラウドインテグレーターが中心ですか。自分たちのサービスがいかにセキュリティを担保できるのかというところを証明して、他との比較で選んでもらいやすくするという。

遊馬氏: はい。クラウドに関していえばそういうケースが多いです。多くの企業で何かしらクラウドサービスを使っていると思います。情報システム部が一元管理してクラウドサービスを利用しているのなら、きちんとクラウドベンダーのことをこと細かに調べるのかもしれませんが、ユーザー部門が勝手にクラウドサービスを使ってしまえる環境の中で、本当に安全なクラウドサービスを使っているのかという問題はあります。そういうときにきちんとSOC2やSOC3を発行しているクラウドベンダーを使うというようなルールを作っておくのが有効な方法です。

 実際に私たちはSOC2の業務を行っているのですが、SOC2の報告書を発行するまでは、あまりきちんとしたセキュリティに関する内部統制が確立・運用されていないケースも多くあります。そういうところに注意してクラウドサービスを利用しないと、危険なのかなと思います。

ZDNet: SOC2を発行したクラウドインテグレーターが、監査を受けるのに当たり、自分たちのシステムを見直し、可視化されても困らないような組み直しというケースを聞いたことがあります。

冨樫氏: はい。先ほどSOC2にはType1、Type2があるという話をしましたが、Type1を出すに当たっては、事前に現状分析をするのが一般的です。例えば、SOC2の規準にはセキュリティや可用性があるのですが、そこに照らして今、その会社にある統制がどうなっているのかを評価するのですね。突き合わせをしてここが足りませんという、「膿出し」をするわけです。そして、統制上の課題が明確になってきたところで、その解決策として、組織体制を変えるのか、手続手順などの決まりごとを変えるのか、もしかしたらシステムに手を加えた方がいいのか、短期的な解決策と長期的な解決策、その双方に配慮のうえ、会社にとって何が望ましいのか検討する、そういう話が出てくるわけです。

 そういうことをして初めて見るに値する、システム記述書ができ上がる。業務やサービスの棚卸とその課題解決を通じて、絵に描いた餅とならない会社に即した効果的・効率的な統制のデザインができるということが、サービスを受ける側のメリットとしてあると思います。また、いったんデザインができ上がれば、その運用はType2で定期評価され、その結果が全て報告書に記載されるわけですから、会社のPDCA推進の後押しにもなるかと思います。そういうメリットもあります。

遊馬氏: 大手以外のクラウドベンダーは、サービスを提供している部門などの組織がまだ成熟していませんから、運用ルールのない中で事業を行っているケースもあります。そういう意味で体制を再構築するために利用するというのも一つの手です。大手もさまざまな地域・国に進出していますから、十分なコントロールができない拠点での運用が始まっているわけですね。

 そのような場合、最初からSOC2でがっちり縛っておけばグローバルで統一された運用が実現できます。日本のベンダーが海外に進出していく際に、最初から現地に作っていけばいいのですが、海外にある既存の現地ベンダーを買収して進出するケースが多々あります。その場合には、なかなかルールで統制することが難しい。そういう時にSOC2での運用ルールを用いた平準化は、非常に有効に機能します。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]