※SKUIDは、2019年3月16日よりTrustLoginに名称変更されました。※
SOC2とは
情報セキュリティ分野の方は、間違えてしまいがちですが、脅威を監視したりする「Security Operation Center」ではなく、監査法人がクラウドベンダーなどに付けるお墨付き「Service Organization Control」を意味しています。
クラウドの普及によって、監査の仕方も多様化してきています。
元々、SOCは、アメリカとカナダの会計士協会が制定したもので、財務諸表監査の延長として取り入れられた制度なんだそうです。
例えば、会計監査をする際に、情報システムの内部統制の監査も行うといった場合に、あなたの使用している情報システムが自社のものでは無く、委託しているものだった場合、監査は、直接委託先に!ということになります。
そうなると、あなたが利用している情報システムにおいて、委託しているシステムがいくつもあると、それだけの監査が入ると言うことになってしまうんです。
そのような手間暇をかけないように、「SOC1という報告書」を用意して、監査人に渡すことで、監査を受ける負荷を低減させる制度がSOCなんだそうです。
もともとは、財務諸表監査のために作られた基準ですが、財務諸表に関係しないシステムにおいても、何かしらの保証を得られるようにしようということから、セキュリティ、機密保持、アベイラビリティといった部分に重点を置いた保証の報告書として制定されたのが、今回SKUIDが取得した「SOC2」なんです。
このSOC2認証を取得したことで、SKUID
は、セキュリティなどの観点からサービスの業務プロセスと統制基準が基準を満たし、外部監査をパスしているため信頼性が高いサービスであるというお墨付きをいただいている製品であると言えるんです。
この認証があることで、「国際的な認証がある製品でないと利用しない」という企業であったり、「認証がある製品を優先的に使う」という企業へはオススメの製品でもあると言えるんです。
SKUIDが取得したSOC2について、SKUIDからアナウンスがありましたので、文章そのまま転記しますので、参考にして、SKUIDの導入に役立てて下さい。
この度「SKUID」は、内部統制の国際認証『SOC2(Service Organization Control 2) Type2』を取得し、『SOC2報告書』を受領いたしました。
これにより「SKUID
」は、システムの「セキュリティ」「可用性」「処理の整合性」や、個人情報の取り扱いにおける「機密性」「プライバシー」に関する国際基準を満たすサービスであることが認められました。
『SOC報告書』とは・・・
業務を受託する事業者やITサービス提供者が、受託業務に係る内部統制の 整備状況やシステム運用状況等を、 監査法人や公認会計士などの独立した第三者機関によって検証し、その評価を示したものです。評価対象や基準によってSOC1、2、3に分かれており、さらに対象期間によってType1(1日が対象)とType2(一定期間が対象)があります。
このうち『SOC2』は、米国公認会計士協会(AICPA)とカナダ勅許会計士協会(CICA)が制定した、国際的なトラストサービス原則と基準(Trust Services Principles and Criteria)に基づいて評価されるものです。システムの「①セキュリティ」、「②可用性」、「③処理の整合性(インテグリティ)」、個人情報の取り扱いにおける「④機密性」、「⑤プライバシー」の5つの構成のうち、1つもしくは複数を選択して評価が行われます。
この度「SKUID」は、この5つの構成すべてにおいて『SOC2 Type2』を取得し、報告書を受領いたしました。報告書では、「SKUID」の運用における業務プロセスおよび内部統制環境が、継続的に一定の基準を満たしていることが表明されています。
なお、この報告書は、「SKUID」をご利用のお客様の請求に応じて提供が可能です。 (別途、機密保持契約の締結が必要となります。) ご希望のお客さまは、お問い合わせください。
コメント