SOC 2レポートとは?それを開示する意義は?
発行日:2021年11月12日
セキュリティに携わっている方で、“SOC 2 レポート”という単語を聞いたことがない方はいらっしゃらないと思いますが、このブログでは改めて、“SOC 2 レポート”について説明し、その開示の必要性について言及します。
▼SOCレポートとは
SOC(Service Organization Controls)レポートとは、「対象組織が標準化された基準に照らし合わせ、内部統制が遵守されているかについて、第三者が評価したレポート」です。
SOCレポートですが、誕生した当初から、セキュリティに関連する項目への言及があったわけではありません。
SOC レポートとは、外部監査人が、対象組織の財務諸表に影響を与える情報に関する内部会計統制を文書化して提供する文書で、米国公認会計士協会 (以下、AICPAと略す) によって定められた要件に従って記載されます。
当初は、財務的な項目で構成されており、組織がSarbanes-Oxley Act法(いわゆる、SOX法) に準拠できているか否かを検証するために使用されていました。その後、SEC(米証券取引委員会)が「Commission Statement and Guidance on Public Company Cybersecurity Disclosures」を発表し、サイバーセキュリティに関する項目が含まれるようになりました。
AICPAが定めた要件によって記載されているため、財務的な観点での記載が中心にあることは納得できます。
SOCレポートには、次の3つの種類があります。
SOC 1 レポート:
財務報告に関連する内部統制の状況を評価したレポートSOC 2 レポート:
情報セキュリティ、可用性、プロセスの完全性、機密性、プライバシーの管理状況に関するレポート
SOC 3 レポート:
SOC 2レポートに含まれる情報の外部公開向けレポート。SOC 2 レポートよりも簡潔な内容になることが多い。
このブログでは、サイバーセキュリティに関する言及がある “SOC 2 レポート” に焦点を絞って、記載を進めます。
▼SOC 2レポートの目的
上述の通り、SOC 2 レポートは、データのセキュリティやプライバシーに関連する内部統制の遵守の状況について言及したレポートです。組織は、SOC 2レポートを使用して、ベストプラクティスに従ってデータを保護していることを内部および外部の利害関係者に証明することが可能です。
SOC 2レポートには、次の2つのタイプがあります。
- SOC 2 Type 1 :特定の一時点でのシステム、及び、その制御設計に関する記述
- SOC 2 Type 2 :運用管理システム、制御設計、および、その6 カ月間の運用効率に関する記述
▼SOC 2 レポートが準拠するクライテリアについて
SOC 2 レポートの監査行為自体および報告書の記載は、AICPAによって概説されているトラストサービス規準(以下、TSCと略す)と呼ばれるクライテリアに則っています。AICPAは、TSCを次の5つのカテゴリに分類しています。
1. セキュリティ
2. 可用性
3. 完全性
4. 機密性
5. プライバシーの保護
上記カテゴリは、日本公認会計士協会の以下の文書にも詳述されていますので、こちらのサイトを参照してください。
尚、参考情報にはなりますが、上記TSCの5つのクライテリアは、以下のフレームワークにも適用されています。
- ISO 27001
- NISTサイバーセキュリティフレームワーク(CSF)
- COBIT 5
- NIST 800-53
- GDPR
▼SOC 2レポートの内容
SOC 2レポートの標準化されたフォーマットでは、以下の内容が含まれます。
1. 対象となる組織のシステムの説明
2. 管理者による記述
- 監査対象期間のシステムの説明が記述基準と一致しているという記載
- TSCを達成するために設計された統制内容
- TSCを達成するために効果的に機能している統制内容
3. 審査員の意見を含む審査員報告書
- 説明が記述基準に一致しているという記載
- TSCを達成するために適切に設計された統制内容
- TSCを達成するための統制内容
4. 審査員の統制機構のテストとテスト結果の記述
また、SOC 2レポートに、物理的なセキュリティ統制と履歴データを含めるなど追加の事項を記載する場合は、その記述の証拠となる文書を提供する必要があります。SecurityScorecard のSOC 2 レポートのアジェンダを見ると、上述の1.~4.が網羅されているのが確認いただけます。
▼ SecurityScorecard, Inc. Type 1 SOC 2 2020 レポートのアジェンダ
I. ASSERTION OF SECURITYSCORECARD, INC. MANAGEMENT
II. INDEPENDENT SERVICE AUDITOR’S REPORT
III. SECURITYSCORECARD, INC.’S DESCRIPTION OF ITS SECURITY MONITORING AND RATING SERVICES OF OCTOBER 15, 2020
IV. INFORMATION PROVIDED BY THE SERVICE AUDITOR
▼SOC 2 レポートが必要な組織
現在、ビジネスを行う上で、パブリッククラウドサービス、ITのアウトソーシングサービス、セキュリティのManagedサービスなど外部の組織が提供するサービスを利用している組織が急増しています。
外部の組織が提供するサービスを利用する場合、その組織のガバナンスやセキュリティに関する事項を確認する必要があります。その時、その外部の組織が取得しているSOC 2レポートを参照することができれば、一定の基準でその組織のガバナンス、セキュリティへの取り組みを把握することが可能です。
同様に、サービスを提供する組織は、SOC 2 レポートを用意しておくことで、顧客に提供を求められた際に、迅速に対応を行うことができますし、自組織のセキュリティ態勢を広くアピールすることも可能です。
▼SOC 2 レポートを開示する意義について
ビジネスを行う上で、外部組織のサービスの利用や外部組織とのやり取りが発生することは必然と言えます。
その中で、組織はどの外部組織とビジネスを行うのか、いわゆる、企業間サプライチェーンを構成するのかの選択に迫られます。
従って、これからの時代、組織はSOC 2レポートなど自組織のセキュリティの取り組みについて、積極的に外部に発信することが求められるようになります。この流れが定着すれば、取引元組織が取引先を選定する際の判断基準にもなり、認証を取得していない組織は、その認証取得のために、セキュリティを成熟化させていくはずです。
その結果、企業間サプライチェーン全体のセキュリティ態勢も向上し、サイバー攻撃への耐性が自然と高まる未来が実現できます。
▼SecurityScorecardを活用したSOC 2 レポートの開示
SecurityScorecard は、組織のセキュリティの態勢を点数化し、顧客に提供するセキュリティ リスク レイティングのプラットフォームです。
SecurityScorecardが目指す先は、ただ単に、セキュリティ態勢の点数を提供するプラットフォームではありません。ユーザが、SecurityScorecardを通じて、その組織のセキュリティに対する取り組みをより包括的に確認できるプラットフォームです。
現在、その一機能として存在するのが、“当該組織が自社で取得しているセキュリティ認証を開示できる機能”です。
例えば、SecurityScorecardのスコアカードを確認いただくと、下図の通り、SOC 2 Type 1 の認証を取得していることを確認いただけます。
SecurityScorecardの顧客組織の方は、取得しているSOC 2 レポートがありましたら、以下の様に、該当するアイコンをクリックし、その証拠となる文章をアップロードできます。
このようにユーザ企業自ら、取得しているセキュリティ認証をSecurityScorecardにアップロードすることで、その組織のスコアカードが確認される場合、レイティング スコア 以外に、組織のセキュリティに対する取り組みを伝えることが可能です。