ZDNet: 普通に考えて、SOC2を公開するようなところは、ある程度健全な運用ができているという理解でいいでしょうか。
遊馬氏: 可視化だけではなくて、きちんと運用できているかということがType2です。ISOとこのSOC報告書の大きな違いは、ISOは「認証取得」という言い方をしますが、SOC報告書については「SOC報告書を受領しています」という表現をプレスリリースではしています。それは、SOC報告書の場合、監査人の意見の部分を見るまでは、監査人が適正である旨の意見を述べているか否かが分からないからです。
大きな欠陥があっても、そのことについて記載されているのがSOC1であったりSOC2だったりするわけです。報告書をもらったから大丈夫かといえば、そんなことはありません。よく読んでみればこんな酷いところがあるのだということも出ている報告書ですから。そういう意味では「誠実に報告するもの」がSOC報告書になります。
ZDNet: 最近のマーケットの動向はいかがでしょうか。
遊馬氏: 海外でも日本でも大きなクラウドを運営しているところは、SOC1、SOC2、SOC3が大体一巡したのではないかという状況です。
ZDNet: 自社のサービスの信頼を得る、取り組みとして、運用体制を可視化しているのは有効であるということですね。クラウドも、ずっと危険だと言われてきました。
冨樫氏: クラウドがいかに信頼性を勝ち取ったか、グローバル展開している大手クラウドベンダーがどのように動いて来たかということを知るのが、やはり一番勉強になるのではないかと思います。ユーザーの持つ漠然とした不安を、どのように払拭(ふっしょく)して、ユーザーの信頼を勝ち取っていったか。そういうことですね。
グローバル展開している大手クラウドベンダーのサイトを見ると、ホームページには、コンプライアンスに対して、これだけの取り組みを実施していますよということが書いてあります。ここにはSOC1、SOC2、SOC3、それからマイナンバーやHIPAA、NISTなどの話もあります。保証報告書の受領や認証の取得などをどんどん進めていって、それでユーザーに安心を語りかけているわけですね。つまり、クラウドは心配だという声に対して真正面から言い返すのではなく、第三者からの声をたくさん集めて、それで進めていったのです。
ZDNet: SOC報告書など、の第3者の監査が必要な取り組みは他にも発展していくのでしょうか。
遊馬氏: 例えば、最近のサイバーセキュリティに対するニーズを踏まえて今年になって登場したSOC for Cybersecurityがあります。これはユーザー向けというよりも、企業が自社のサイバーセキュリティについての対応がきちんとできているのかというものです。これからは、外部委託先に係る第三者評価だけではなく、取引先のセキュリティ対策に対する関心に応えたこのような報告書が一般的に流通していくのではないでしょうか。
今、財務報告に係る内部統制という観点では、外部からの攻撃に対するリスクはあまり考慮されていませんが、米国を中心にそこが意識されつつあるようです。
外部からの不正アクセスで財務数値が改ざんされるリスクです。そこで外部からの攻撃に対して然るべき対策を行っているということを、企業の側から発信していくという流れになりつつあるわけです。やや未来を先取りした話ではありますが、現実的には決して先取り感が強過ぎるということもないと思います。
