「クラウド」という業務委託のガバナンス最前線--後編:SOC報告書が持つ意味

吉澤亨史 2017年09月26日 06時00分

  • このエントリーをはてなブックマークに追加

 現在、大部分の企業が業務委託を行っている。例えば、SaaS、IaaSなどクラウドサービスの業務活用も業務委託である。こうした委託先の判断基準として「SOCR:Service Organization Controls Reporting」(受託業務に係る内部統制の保証報告書)が利用されている。

 米国では一般的な報告書だが、日本でも浸透してきているという。対象リスクやユーザーにより「SOC1」「SOC2」「SOC3」があるSOCRについて、新日本有限責任監査法人のシニアパートナー 遊馬正美氏、シニアマネージャー 冨樫健氏の2人に話を聞いた。

IaaSとPaaSはSOC2、SaaSはSOC1

前編はこちら

ZDNet: 基本的にSOCを発行した方がいいのは、IaaS、PaaSのクラウドサービスを事業で展開しているクラウドインテグレーターが中心ですか。自分たちのサービスがいかにセキュリティを担保できるのかというところを証明して、他との比較で選んでもらいやすくするという。

遊馬氏: はい。クラウドに関していえばそういうケースが多いです。多くの企業で何かしらクラウドサービスを使っていると思います。情報システム部が一元管理してクラウドサービスを利用しているのなら、きちんとクラウドベンダーのことをこと細かに調べるのかもしれませんが、ユーザー部門が勝手にクラウドサービスを使ってしまえる環境の中で、本当に安全なクラウドサービスを使っているのかという問題はあります。そういうときにきちんとSOC2やSOC3を発行しているクラウドベンダーを使うというようなルールを作っておくのが有効な方法です。

 実際に私たちはSOC2の業務を行っているのですが、SOC2の報告書を発行するまでは、あまりきちんとしたセキュリティに関する内部統制が確立・運用されていないケースも多くあります。そういうところに注意してクラウドサービスを利用しないと、危険なのかなと思います。

ZDNet: SOC2を発行したクラウドインテグレーターが、監査を受けるのに当たり、自分たちのシステムを見直し、可視化されても困らないような組み直しというケースを聞いたことがあります。

冨樫氏: はい。先ほどSOC2にはType1、Type2があるという話をしましたが、Type1を出すに当たっては、事前に現状分析をするのが一般的です。例えば、SOC2の規準にはセキュリティや可用性があるのですが、そこに照らして今、その会社にある統制がどうなっているのかを評価するのですね。突き合わせをしてここが足りませんという、「膿出し」をするわけです。そして、統制上の課題が明確になってきたところで、その解決策として、組織体制を変えるのか、手続手順などの決まりごとを変えるのか、もしかしたらシステムに手を加えた方がいいのか、短期的な解決策と長期的な解決策、その双方に配慮のうえ、会社にとって何が望ましいのか検討する、そういう話が出てくるわけです。

 そういうことをして初めて見るに値する、システム記述書ができ上がる。業務やサービスの棚卸とその課題解決を通じて、絵に描いた餅とならない会社に即した効果的・効率的な統制のデザインができるということが、サービスを受ける側のメリットとしてあると思います。また、いったんデザインができ上がれば、その運用はType2で定期評価され、その結果が全て報告書に記載されるわけですから、会社のPDCA推進の後押しにもなるかと思います。そういうメリットもあります。

遊馬氏: 大手以外のクラウドベンダーは、サービスを提供している部門などの組織がまだ成熟していませんから、運用ルールのない中で事業を行っているケースもあります。そういう意味で体制を再構築するために利用するというのも一つの手です。大手もさまざまな地域・国に進出していますから、十分なコントロールができない拠点での運用が始まっているわけですね。

 そのような場合、最初からSOC2でがっちり縛っておけばグローバルで統一された運用が実現できます。日本のベンダーが海外に進出していく際に、最初から現地に作っていけばいいのですが、海外にある既存の現地ベンダーを買収して進出するケースが多々あります。その場合には、なかなかルールで統制することが難しい。そういう時にSOC2での運用ルールを用いた平準化は、非常に有効に機能します。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

SpecialPR

連載

CIO
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
展望2017
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算