SOC2レポートとは?評価基準やISMSとの違いを解説します
目次[非表示]
SOC2レポートとは
SOCとはSystem & Organization Controlの略です。一般にSOCレポートもしくはSOC保証報告書とは、企業が業務を受託したりサービスを提供したりする場合に、その業務に関わる内部統制の有効性について、監査法人や公認会計士が独立した第三者の立場から客観的に検証した結果を記載したものです。
SOCレポートにはSOC1,2,3の3種類がありますが、中でもSOC2レポートでは一般的にクラウドサービスプロバイダーやデータセンターの事業者を対象に、米国公認会計士協会(AICPA)が定めたトラストサービス規準(Trust Service Criteria)に従って、事業者の扱うシステムとデータに対する信頼性やセキュリティが評価されるものです。
SOCレポートの種類(SOC1, SOC2, SOC3)
前述の通り、SOCレポートにはSOC1、SOC2、およびSOC3の3つが存在します。
SOC 1(Service & Organization Control 1)
業務を提供する企業の内部統制に関する報告を提供します。特に、評価対象の企業が委託元企業の財務報告に影響を及ぼす業務(金融サービス、資産運用等)を提供する場合、その内部統制について評価し報告するものです。
SOC 2(Service & Organization Control 2)
サービスを提供する企業の信頼性とデータセキュリティに関する報告を提供します。トラストサービス基準(セキュリティ、可用性、処理のインテグリティ(完全性)、機密保持、プライバシー)について評価し報告するものです。
SOC 3(Service & Organization Control 3)
SOC2レポートと同様に、5つのトラストサービス基準について評価し報告するものです。ただし、SOC3レポートは一般の顧客に向けた簡潔な報告書となっており、オンライン上で公開されることも多いです。
Type1報告書とType2報告書の違い
加えて、SOC1,SOC2レポートについては評価期間の違いによってType1,Type2があります。
Type 1
Type1認証は、サービス組織が自社の情報セキュリティに対して設計された管理策が、特定の日時で存在し、適切に実装されていることを示す評価です。
Type 2
Type 2認証は、サービス組織が一定の期間(通常は6ヶ月以上)にわたって、自社の情報セキュリティに対する管理策が持続的に適切に実装されていることを示す評価です。評価期間は少なくとも6ヶ月以上で、通常1年間の範囲内で行われます。
SOC2レポートの規格
SOC2レポートの基準となる規格は以下の通りです。
- SSAE No.18(AT-C sec.105,205)
- トラストサービス基準/Trust Services Criteria
- その他の追加基準
SSAE No.18とは、米国公認会計士協会(AICPA)が定める監査業務を実施する際の基準です。日本では、日本公認会計士協会がこれに対応する国内の基準として、保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」を公開しています。
トラストサービス基準も同様に、米国公認会計士協会(AICPA)が定める基準です。トラストサービス基準では、セキュリティ・可用性・処理のインテグリティ(完全性)・機密保持・プライバシーの5つのカテゴリを対象範囲として評価します。ただし、SOC2レポートにおいて必須とされるのは「セキュリティ」カテゴリのみであり、その他の対象範囲は事業者の判断で追加されます。
事業者によってはSOC2レポートの範囲を拡張し、評価基準にその他の情報セキュリティに関するフレームワークに基づく評価を追加することがあります。追加されるフレームワークには、Cloud Security Allianceのクラウドコントロールマトリクス(CCM)やFISC安全対策基準などが考えられます。こうした報告書は、SOC2+レポートと呼ばれたりもします。
トラストサービス基準の対象範囲
SOC2の評価に求められるトラストサービス基準には5つのカテゴリがあり、以下のような要求事項を持ちます。
セキュリティ(Security)
組織は、情報やそれを格納するシステムを保護するために、不正アクセスや情報漏洩を防止するための適切なセキュリティ対策を実施する必要があります。具体的には、認証・認可によるアクセス制御の実装、保存・転送するデータの暗号化、物理アクセスの制御やネットワークセキュリティの実装などが求められます。
可用性(Availability)
組織は、顧客に提供する製品・サービスが合意した通りに操作・使用できるよう、その運用・モニタリングのための対策を実施する必要があります。具体的には、システムの冗長性の確保、システムの監視とアラート、データバックアップの実施、災害復旧プランの策定・実施、サービスレベルアグリーメント(SLA)の設定などが求められます。
処理のインテグリティ(Processing Integrity)
組織が行うシステム処理は、完全・正当・正確・適時に実施され、かつ承認されている必要があります。そのために、データの検証や整合性チェック、データの改ざん防止対策、データの履歴とトレーサビリティの確保、データ処理の監視とエラーハンドリングなどを実装する必要があります。
機密保持(Confidentiality)
組織は、営業秘密や知的財産などの情報を収集・生成されてから廃棄されるまで保護する必要があります。そのために、適切なアクセス制御の実装、データの分類とラベリング、データ転送時の保護、安全なデータの破棄、データアクセスのモニタリングなどの対策を実施する必要があります。
プライバシー(Privacy)
組織が扱う個人情報が、適切に収集、利用、保持、開示及び廃棄される必要があります。そのために、プライバシーポリシーの策定と公開、個人情報を収集する際の同意の取得、適切な範囲での情報の共有と第三者提供、権利に基づく削除要求への対応などの対策を実施し、個人情報の保護に努める必要があります。
SOC2レポートの取得
SOC2レポートの閲覧には、秘密保持契約が必要となります。以下のように、多くの企業がサービスの利用者に対して自社サイトなどで報告書の閲覧方法を案内しています。
- Microsoft (Microsoft Azure, Office 365)
- Google (Google Cloud, Google Workspace)
- Amazon Web Services
- Salesforce
SOC2認証とISMS認証の違い
日本で取得されることの多いISMS認証とSOC2認証を比較しました。
SOC2認証
対象:主にクラウドサービスプロバイダーやデータセンターの事業者が対象です。
評価基準:トラストサービス基準に従い、情報セキュリティに加えて可用性、処理の整合性、信頼性、プライバシーに関する評価が行われます。
観点:組織のシステムとデータに対する信頼性やセキュリティが評価されます。
ISMS認証
対象:あらゆる組織が対象となります。情報セキュリティを適切に管理する組織であれば、サービス提供を行っているか否かに関わらず認証を取得できます。
評価基準:ISO/IEC 27001という国際規格に基づいた情報セキュリティマネジメントシステム(ISMS)の要件を満たしているかどうかが評価されます。
観点:情報セキュリティマネジメントシステムが組織内で適切に確立・運用されているかが評価されます。
(編集:Assured編集部)
