現在多くの企業では、クラウドから提供されるサービスを利用して業務を行っています。 有名なものでは、「Office 365」「G Suite」「Amazon Web Services (AWS)」などがあります。 そして、こうした有名サービス以外にも、多くのクラウドサービスが生まれては消えていっているのが実情です。

では、貴社で利用しているそのクラウドサービスは「本当に安心して使い続けられるサービス」なのでしょうか。 今回は、クラウドサービスの信頼性を示す認証である「SOC報告書」についてご紹介します。

SOCとは何か

かつて、IT業界において広く利用されていたものに「CMMI (Capacity Maturity Model Integration)」があります。 日本語では「能力成熟度モデル統合」と訳され、主にシステム・ソフトウェア開発会社において、開発プロジェクトが正しくプロセス管理され、 最適化されていることを示すものでした。 このため、CMMIで最も高いレベルである「レベル5」を取得することは、IT企業の開発の信頼性を示す一つの指標となっており、 多くの日本企業がCMMIの取得を行っていました。

しかし、業務システムの多くがクラウドサービスに移行し、自社独自のソフトウェアを開発することが激減した現在では、CMMIは適切な指標ではなくなりつつあります。 単にソフトウェア開発のプロセスを最適化するだけではなく、開発後の運用体制や情報保護体制がどのように維持されているかという点の方が、 むしろ重要となっているためです。

そこで注目が集まっているのが SOC (Service Organizagtion Control) 報告書 です。 SOC報告書は、会計の世界で用いられている「内部統制」という概念を、クラウドサービスの評価として利用したもので、 アメリカとカナダの公認会計士協会によって策定されました。

クラウドサービスの評価を会計士協会が行っている背景には、内部統制というプロセス管理の概念が最も進んでいるのが会計業界であるためです。 会計業界で幅広く用いられているフレームワークならび評価手法を、クラウドサービスの評価に適用させたのがSOCであると考えると分かりやすいかと思います。 このため、実際にSOC報告書取得を支援する外部監査機関は、デロイトトーマツ、KMPGあずさ、EY新日本といった大手監査法人が中心となっています。

SOCのレベルと5要素について理解する

SOCでは、内部統制の取り組みレベルごとに、「SOC1」「SOC2」「SOC3」の三つに分かれています。

SOC1は、クラウドサービスの内部統制とは関係ない、財務報告における内部統制であるため、クラウドサービス事業者が留意すべきは「SOC2」「SOC3」の二つとなります。

この二つの中で、「どのようにクラウドサービスが運用されているか」を記述するだけでなく、「テストの実施」までを含めての報告書となるのが「SOC2 タイプ2」となります。 このため、多くのクラウド事業者は「SOC2 タイプ2」の認証取得を重視しています。既に国内でも多くの事業者が取得しています。

例:

• KDDI株式会社　KDDIクラウドプラットフォーム
• GMOグローバルサイン株式会社　SKUID

次に、SOC2ならびSOC3報告書で必要となる5つの要素について確認してみましょう。

1. セキュリティ
   システムは、物理的・論理的な不正アクセスから保護されている
2. 可用性
   システムは、保証または合意した通りに運用・利用可能である
3. 処理のインテグリティ
   システム処理は、完全、正確、時間通りで承認されている
4. 機密保持
   機密扱いとされた情報が、保証または合意した通りに保護されている
5. プライバシー
   組織における個人情報規定、またはGAPP (Generally Accepted Privacy Principle: 一般に公正妥当と認められた個人情報原則) に基づき、個人情報が収集、利用、保持、開示そして破棄されている

クラウドサービスの評価において、最も重要となるSOC2 タイプ2を取得している企業は、この5要素に基づいたシステム・サービス設計ならび運用がなされており、 テスト実施済、さらには外部監査を受けていることを示します。

かつてクラウドサービスにおいては、クラウドサービス提供会社の主張、例えば「可用性の高いデータセンターで運用」「個人情報保護を最大限に考慮」 といった宣伝文句を信じるしかありませんでした。 しかし、SOCによりクラウドサービスの品質を外部監査という形で保証（認証）されるため、 より安心してクラウドサービスを比較検討することができます。

また、SOCは国際的に通用する認証であるため、日本国内で開発したクラウドサービスを海外に展開したい企業は、 日本国内で取得したSOCをそのまま利用することができます。 SOC報告書の取得には、従業員の作業工数、審査にかかる時間、そしてお金（外部監査費用）が必要になりますが、これらを節約することができます。

また、SOC報告書を取得したサービスを国内だけでなく海外でも利用したい日本企業にとっても、 現地の事情に沿った別な認証取得済みサービスを新たに探す必要もありません。

SOCの枠組みは、クラウドサービス提供者側にも、クラウドサービス利用者側にもメリットがあります。

クラウド導入前はSOCを確認

お伝えいたしました通り、SOCはクラウドサービスを評価する枠組みとしては最も幅広く利用されており、国際的にも通用するものです。

新たにクラウドサービスの導入を検討したい、また複数のクラウドサービスから何を導入すべきか比較検討したい企業は、 検討しているクラウドサービスが最も重要な認証である「SOC2 タイプ2」を取得（報告書を受領）しているかどうかを、 判断材料の一つに加えてみてはいかがでしょうか。