クラウドサービスの信頼の証、SOCとは?
クラウドサービスが急速に普及している現在、わが国でも多くの企業が導入を進めています。「便利で低コスト、信頼性も高い」と言われるクラウドですが、こと信頼性に関しては、検討段階で比較するケースはあまり多くないというのが実情です。
今回はクラウドの信頼性を客観的に評価する国際基準として広く用いられているSOC(Service Organization Control)について、制定までの経緯や評価の意義、報告書の種類による違いなどについて解説していきます。
内部統制を保証するために生まれたSOC
まず、SOCという基準が誕生した経緯について紹介しましょう。実は、SOCはITに関する基準ではなく、組織が各種の規則を守り、業務を正しく行う「内部統制」の取り組みを第三者である公認会計士が保証する枠組みとして制定されました。2001年、米国で発生したエンロン事件(大手エネルギー企業エンロン社で発覚した不正会計。同社の破たんに伴い深刻な経済危機に見舞われました。)を機に米国、カナダの公認会計士協会が制定したSOCは、厳しい内部統制によって不正を防ぐ目的で決められた国際的なトラストサービスの原則、基準に基づいて企業を評価し、その結果を報告書にまとめたものです。その後、ITの進歩でコンピューターシステムが内部統制と深く関わるようになり、財務報告以外の要素であるシステムのセキュリティや可用性、機密保持なども対象に加えた幅広い評価が行われるようになりました。
なおIT分野で、SOCという言葉はICチップ上にシステムを組み込んだ製品(System on a chip)や、システムの監視や分析を行う施設(Security Operation Center)の意味でも使われていますが、本記事で取り上げるSOC報告書は「クラウドの信頼性を保証するための仕組み」と位置付けられます。
クラウドサービスの信頼性を客観的に評価するSOC
従来、企業の情報システムは社内に機器・ソフトウェアを設置して管理するオンプレミスと呼ばれる手法が一般的でした。その後、外部の事業者に管理を委ねるクラウドサービスが登場し、現在に至っています。オンプレミスは、主にセキュリティの観点から「大切なデータは社内で管理する」という考えに基づくものでしたが、技術進歩とサービス提供事業者の努力によってクラウドの信頼性が急速に高まる一方、人材不足でシステム管理者を確保できない企業が増え、最近では「社外にデータを置くクラウドの方が安全」と判断されるケースも多くなっています。
クラウドサービスは、その名の通りユーザー企業から「見えない」環境で管理が行われるため、導入に際してはより信頼性の高いサービスを選択する必要があります。しかし、信頼性を示す具体的な数値やセキュリティの強度など、事業者の説明だけでは不十分な点もあるため、客観的な評価が重要になります。その役割を果たしているのがSOCです。
現在、世界各国で使われているSOC報告書は、その利用目的によって数種に分類されます。
- SOC1:委託会社の財務報告に係る受託会社の内部統制
- SOC2:受託業務における受託会社の以下の項目(トラストサービス基準)に係る内部統制(セキュリティ・可用性・処理のインテグリティ・機密保持・プライバシー)
- SOC3:報告書主題はSOC2と同様。不特定の利用者に公開可能
このうち、SOC1は財務報告に限った内部統制のため、クラウドサービスの信頼性を評価するニーズを満たすものはSOC2、3となります。SOC2には、ある特定の日に対する評価を行うType1と、最低半年以上の期間にわたる評価を行うType2の2種類があり、クラウドサービスの評価には、より信頼性が高いとされるType2の取得が望ましいと言えます。なお、クラウドサービスに関する概要報告書を広く外部に公開できるSOC3は、サービス提供事業者が自社サイトに掲載して信頼性をアピールする手段としても活用されており、SOC2と合わせて取得するケースが増えています。
SOC活用の広がり
では、SOC認定を受けたクラウドサービスは、具体的にどのような部分をユーザーに保証しているのでしょうか。本記事ではSOC1 とSOC2の認定を取得しているドキュサインの電子署名を例に紹介しましょう。
- セキュリティ
厳格なポリシーとプロセスの遵守、および社内トレーニングの実施に加え、認証に必要なプライバシーの保護やセキュリティ要件を満たし、厳重なリスク管理のもとで運用。
- 可用性
グローバルなサービスを継続的に提供するために性能や拡張性を高め、さまざまな用途で活用できるプラットフォームを構築。ユーザーは場所を問わず、ほぼすべてのデバイスで運用可能。過去数年の実績稼働率は99.99%以上。
- コンプライアンス
米国の電子署名法(ESIGN Act)や統一電子取引法(UETA)、EUのeIDAS規則をはじめ、世界各国の規制や法律に基づいた安全なサービスを提供。
- 第三者機関の認定
電子署名サービスの仕組みや運用について第三者機関による定期的な外部監査を実施。各種の認証・証明を取得して高い信頼性を維持。
- SOC1 Type2およびSOC2 Type2
SOC1、2の認定組織として毎年試験を実施。外部監査レポートによりセキュリティ、可用性、処理の整合性など、ビジネス全体の内部統制と運用の有効性を証明。
近年普及が進む電子署名サービスは、ユーザーが増えるとともに信頼性の要求も高まります。ドキュサインは機密性が高く、タイムクリティカルなトランザクションに対応するサービスを提供するため、これらの項目をコミットメントとして掲げています。詳しくは「ドキュサインの信頼へのコミットメント ~セキュリティ、可用性、コンプライアンスについて~」をご覧ください。
まとめ
クラウドサービスは国内・海外の事業者が多数参入していますが、提供されるサービスは多種多様なため、詳細な資料を取り寄せて熟読しても委託先が絞りきれないという事態になりかねません。SOCの認証には国や地域による違いはなく、ISOなどと同様に国際標準として通用します。とくに海外にも拠点を置く企業の場合、グローバルに信頼性を担保できるSOCの価値はさらに高まります。
セキュリティやコーポレートガバナンスに対する意識が世界的に高まる中、SOCはクラウドサービスを提供する事業者と、サービスを利用する企業双方にとって、信頼関係を築くための基礎となる重要な国際基準です。新規でクラウド導入を検討する際には、まずSOC取得の有無を確認し、安心して活用できるかどうか判断する必要があると言えるでしょう。