リスクアドバイザリー

クラウドサービスの利用とSOC報告書(後編)

2013.05.30
堀口 和巳
堀口 和巳
新日本有限責任監査法人
ITリスクアドバイザリー部 シニアマネージャー
公認会計士、公認情報システム監査人(CISA)
財務諸表監査の主査等を通じて種々の業種に関与した後、ITを利用した内部統制の評価の専門部署へ異動。製造業、建設業、その他サービス業のIT統制の評価に従事してきた他、製薬業やメガバンク等に対し、US SOX、J-SOX対応としてIT統制の構築・評価や監査対応等の支援を提供。また、金融機関向けシステムの開発・運用業務、投資運用業等の委託業務に係る保証業務(米国基準(SSAE16)、監査・保証実務委員会実務指針第86号)にも関与。日本公認会計士協会 IT教育専門委員会専門委員。


前回は、SOC報告書の種類や用途、クラウドサービスプロバイダにおいて作成されているSOC報告書の経緯や現状について解説しました。今回は、クラウドサービスの利用企業が報告書の内容を理解する上で留意すべき点について解説します。

3.SOC報告書を利用する上での留意点

SOC報告書には、提供されているサービスに関する内部統制の情報がすべて記載されるわけではありません。従って、SOC報告書を利用する際には記載されている内容を理解し、自社にとって重要なサービスに関する記載の網羅性を確認することが重要です。具体的には以下のような点です。

(1)SOC1とSOC2の報告書の特徴

SOC1報告書は、財務報告の信頼性の観点に基づいて重要な内部統制が選択され、これらの内部統制のデザインおよび運用状況の有効性が検証されます。一方、SOC2報告書はセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーの5原則のうち一つ以上を対象に、受託会社の内部統制があらかじめ定められた規準を満たすかどうかの検証が行われます。このような報告書の作成目的や規準の違いから、記載される内部統制の範囲に関して以下のような特徴があります。

報告書の分類と内部統制の記載範囲の特徴
報告書 内部統制の記載範囲の特徴
SOC1 財務報告の信頼性の観点に基づく重要な内部統制が報告書の対象となるため、記載される内部統制は、セキュリティ、可用性、処理のインテグリティ、機密保持などといった特定の領域に限定されない。
一方、たとえば下記のような点で内部統制の記載範囲が限定的となる。
  • 可用性はクラウドサービスプロバイダが提供するサービスの品質として重要だが、SOC1報告書では財務報告数値の完全性が最終的に担保されていればよいため、重視されないことが多い。
  • 機密保持の視点で、SOC1の観点では不正なデータが本番システムに入力不可能であればよいため、データ等の入力権限について配慮されるものの、参照権限については取り扱われないことが多い。
SOC2 ガイダンスにおいて5原則(セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシー)それぞれに対する規準の内容が特定されており、原則ごとに見れば財務報告の信頼性に関する観点よりも幅広い範囲で内部統制の記載が行われる。
一方で、5原則のいずれか一つ、もしくは複数を対象にした報告書であるため、クラウドサービスとして重要な要素のすべてが含まれていない可能性がある。たとえば、セキュリティを対象としたSOC2報告書では、クラウドサービスとして重要な他の要素である可用性や機密保持などに関連する内部統制の状況は開示されない。

(2)報告書の対象サービスの範囲

SOC報告書は、多くの利用者に共通して提供されるサービスの内部統制に関する有効性の情報を開示するために作成されることが多く、利用企業がクラウドサービスプロバイダから提供されるすべてのサービスが含まれているとは限りません。
たとえば、下記(例1)のように、標準的なサービスとしてIaaSを提供しているクラウドサービスプロバイダからIaaSに加えてオプションサービスを利用している場合、SOC報告書はそのオプションサービスをカバーしていないことがあり得ます。
また、下記(例2)のように、クラウドサービスプロバイダのIaaSまたはPaaS上で稼働するアプリケーションシステムを利用するSaaSサービスのような場合、SOC報告書の対象が、特定少数の利用企業に提供されているアプリケーションシステムをカバーしていないこともあり得ます。

SOC報告書に含まれるサービス提供範囲の例

SOC報告書に含まれるサービス提供範囲の例

クラウドサービスの利用企業は、上記(例1)や(例2)のような点に留意しながら、自社が提供されているサービスについて報告書に記載されているか、さらに自社が必要とする情報が報告書ではどの範囲で記載されているかを確認することが重要となります。もし自社にとって重要な範囲が含まれていなければ、追加の確認作業を検討することも必要です。

【関連リンク】



情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?