トピック概要
サービス組織コントロール(SOC)レポート(セキュリティ オペレーションセンターの略称であるSOCとは異なるので注意が必要です)は、ビジネス機能をある組織にアウトソースする前に、その組織が特定のベストプラクティスに従っているかどうかを検証する方法の1つです。そうしたベストプラクティスは、財務、セキュリティ、処理整合性、プライバシーと可用性に関連しています。サードパーティの監査企業が作成、検証するレポートは、評価対象となった組織と連携する際の潜在的リスクについて顧客やパートナー企業が理解するのに役立ち、第三者保証を提供するよう構築されています。
SOCレポートは、共通で一貫したフレームワークで綿密なビジネス概要を提供し、論理的な方法で組織の対象範囲にあるシステムを網羅します。新しい連携関係の締結または現在持っているビジネス関係の確認のいずれにおいても、この公正なレポートは、ベンダーライフサイクルの多くの段階において関連性の高い価値ある情報を提供します。そうしたレポートは、矛盾点を一掃するために企業が実施している抑制と拮抗のメカニズムを明らかにし、さらに、ポリシーと手順がどのように遵守されているかについて企業が注目していることを強く顧客にアピールします。リスクがまったくない意思決定はあり得ませんが、SOCレポートは伴うリスクの量を判断するのに必要なコンテキストを提供します。
レポートのさまざまな種類について詳しく見る前に、いくつか知っておくべき定義を紹介します。
必要な情報と関連する組織の種類によって、SOCレポートにはいくつかのバージョンがあります。
SOC 1:
ユーザーエンティティの財務諸表に即時またはダウンストリームでの影響を及ぼすコントロールに関するレポートです。SSAE 16報告基準に基づいています。
|
Type I ● 財務取引や財務諸表データに関する誤りを防止するため内部コントロールがどれほど優れた設計になっているかを表します。 ● 検証はある時点に実施されるもので、コントロールセットの運用の有効性については検証されません。 |
Type II ● 内部コントロール(ビジネスプロセスとIT全般のコントロール)の運用の有効性を検証します。ユーザーエンティティの財務の不正確さによるリスクを緩和するように設計されています。 ● 検証は一定の期間にわたって実施され、運用の有効性を正確に表すことができるようサンプリングの手法が利用されます。 |
SOC 2:
セキュリティ、可用性、処理整合性、機密性、プライバシーに関連するコントロールに関するレポートです。セキュリティコントロール検証は必須ですが、他の項目(可用性、処理整合性、機密性とプライバシー)はオプションです。AT 101報告基準に基づいています。
|
Type I ● これらのコントロールの設計を検証します。 ● 検証はある時点に実施されるもので、コントロールセットの運用の有効性については検証されません。 |
Type II ● これらのコントロールの運用の有効性を検証します。顧客データの処理を誤った際のリスクを緩和するように設計されています。 ● 検証は一定の期間にわたって実施され、運用の有効性を正確に表すことができるようサンプリングの手法が利用されます。 |
SOC 3:
|
● 機密情報を含まない、SOC2 Type IIの広報用バージョンです。 ● 内部コントロールを阻害するまたはその詳細を明かすことなく、一般顧客向けにハイレベルの概要を提供します。 ● 通常は、過去に多数のSOCレポートを実施したことがあり、堅固で成熟したコントロール環境を持つ組織のみによって利用されます。 |
あらゆるセキュリティオペレーションコントロールのレポートには監査担当者の意見が含まれ、サービス組織によるコントロールの説明が公正に提示され、効果的に設計されているかについて言及します。レポートが無条件の場合、監査担当者は、企業がその設計と運用有効性について公正に提示したと判断したことを意味し、一方、条件付きの意見の場合は、企業の説明と現実との間に大幅な逸脱が見つかったということになります。複数のコントロールが失敗したために目標全体が達成されなかった場合、意見は不適正として認識されます。
レポートには、監査担当者が検証している間すべてのコントロールが有効だった、というサービス組織による言明、システム自体の説明とシステムが利用されている間に監査担当者が目にしたものも含まれます。つまり、レポートを読むと、システムが実施するとされる事柄およびシステムが実際に実施した事柄に関して全体的な内容が理解できるはずです。レポートには、実施された検証の範囲と目的が提示され、管理ストラクチャー、コミュニケーションポリシー、リスク管理、監視、ドキュメント化手順、システム運用、コントロールの物理アクセスのデータが含まれているはずです。
サービス組織コントロールレポートを別の組織から受け取る場合、批判的な視線からすべての情報を読むべきです。無条件レポートを受け取ったからといって、最終的に組織にとっては危険信号となり得る例外がないとは限りません。無条件レポートとは、目標達成に完全には失敗しなかったということです。失敗したすべてのコントロールに対する管理者の回答を確認して、競合するコントロールが設置されていたのかどうか、また、どのような修復が行われたのか(修復が行われた場合)を確認してください。
監査担当者が発見したあらゆる例外と逸脱について考慮し、関連するリスクをすべて受け入れることができるかどうかを判断します。すべてについて理解し、あらゆるコントロールがどのように動作するかについて十分に理解できていると下院字られる必要があります。懸念については企業と話し合い、レポートが作成されて以来、企業が潜在的な問題を修正するための対策を講じたかどうかを確認してください。ビジネス機能をサービス組織にアウトソースしたために発生する可能性のある潜在的リスクに関して、社内での議論を盛んにするためこの情報を利用できます。
リスクが皆無である意思決定があり得ないのは事実ですが、SOCレポートの存在意義は、重要なビジネスとセキュリティの意思決定にリスクレベルについて組織が理解を深めることにあります。最高の攻撃は、真に最高の防御であり、その際、非常に役立つのが、計画策定と備え、さらにSOCレポートが提供するインサイトです。