クラウド利用時の留意点と保証報告書

EY Advisory
クラウド利用時の留意点と保証報告書
アドバイザリー事業部 公認会計士 遊馬正美
• Masami Asuma
アドバイザリー事業部に所属。会計監査におけるIT統制評価に携わるとともに、クラウドサービス事業者、データセンター事業者および
金融機関向け共同センターの受託業務に係る内部統制の保証業務(SOC 1・SOC 2・SOC 3)に従事。
Ⅰ はじめに
2. クラウドサービスにおけるリスク領域
(1)クラウドの標準と操作性
クラウド利用はあらゆる業種の企業・組織の注目を
急成長しているクラウドサービスでは業界標準が追
集めていますが、狙いはIT戦略の効果拡大、社内IT運
いついていない状況です。また、クラウド利用者である
用コストの削減、経営の柔軟性向上、競争優位の確立
企業・組織での既存のITシステムとの円滑な連携も保
等、多岐にわたっています。クラウド利用は、運用思
証されておらず、効率性を損なう可能性も存在します。
考から戦略思考へと転換したIT活用により、優れた戦
略さえあれば、企業・組織に多くの可能性をもたらし
(2)クラウドのコンプライアンスと法規制
ます。クラウドサービスの高い機動力と柔軟性を生か
クラウド利用者である企業・組織は、データの所在
した、激変するマーケット環境への順応が、顧客ニー
場所に関係なく、法規制およびコンプライアンスに関
ズや競合企業への対応力向上につながるからです。
する責任を有することに変わりありません。企業・組
織やクラウドサービス提供者は、事業を営む管轄区域
の法規制の要件を十分に理解しておく必要があります。
Ⅱ クラウド利用におけるリスク管理
(3)情報セキュリティとプライバシーのリスク
1. クラウドサービスの定義
クラウド環境での情報セキュリティに係る重大なリ
米 国 国 立 標 準 技 術 研 究 所(NIST) に よ る ク ラ ウ
スクは、ネットワークにおける論理的および物理的領
ドサービスの定義は、IaaS(Infrastructure as a
service:インフラ)、PssS(Platform as a service:
プラットホーム)、Saas(Software as a service:ア
域に対する不正アクセス、システムまたはデータの改
プリ)の三つになっており、クラウドインフラの設置
ティ管理手続きの透明性は低い状況にあります。
ざん、データの不正な削除です。通常、クラウド利用
者にとって、クラウドサービス提供者側のセキュリ
形態により、プライベートクラウド、パブリッククラ
ウド、コミュニティクラウド、ハイブリッドクラウド
(4)クラウドサービス提供者の管理とガバナンス
が存在します。これら四つの設置形態のうち、プライ
コモディティ化されたクラウドサービスを利用する
ベートクラウドの管理を企業・組織が自ら行う場合以
場合等コスト意識の高い環境下では、サービスレベル
外は、いずれのクラウド設置形態でも企業・組織にお
合意書(SLA)または使用許諾契約書における条項は、
けるクラウド利用には、しかるべき外部委託先管理が
交渉余地のないケースがほとんどであり、管理とガバ
必要となります。
ナンスの有効性に関する評価が困難な状況にあります。
20 情報センサー Vol.102 March 2015
Ⅲ 外部委託先監査
業務のサービス利用者としているため、報告書上の内
部統制に係る記載はSOC 2と比較して、非常に簡潔
外部委託先に係る留意点には、適切な外部委託先の
なものになっています※3。
選定、適切な外部委託に関する契約の管理、外部委託
先に係る内部統制の整備・運用状況に関する整備など
があります。外部委託先に係る内部統制の整備・運用
Ⅴ 金融機関におけるクラウド利用
状況に関する整備には、外部委託先を直接監査、外部
委託先が実施した監査結果を利用、第三者による外部
委託先の直接監査の三つ評価方法があります。
2014年11月、公益財団法人金融情報システムセン
ター(FISC)から、「金融機関におけるクラウド利用
クラウド利用では、外部委託先を直接監査という手
に関する有識者検討会報告書」がウェブサイト上に掲
法は通常の利用者では困難であり、また、外部委託先
載されました。この報告書では、学識経験者、金融関
が実施した監査結果を利用の場合は、当該結果の信頼
係者、クラウドサービス提供者など※4における、クラ
性が問題になります。クラウドサービスで一般的にな
ウド活用上のネックは何か、どのように当該ネックを
りつつある第三者による外部委託先の直接監査の場
克服すればよいのかなどの議論を取りまとめています。
合、代表的なものとして「SOC 1・SOC 2保証報告
クラウド活用上のネックはクラウドサービスの信頼
性にあるため、信頼性を担保する一法としての監査の
書」があります。
重要性に鑑み、当該報告書では「Ⅲ 具体的なリスク
管理策」の「2. クラウド事業者に対する監査等」で、
Ⅳ SOC保証報告書
クラウドサービス提供者に対する監査が論じられてお
りSOC 2にも触れられています。
Service Organization Controls(SOC)保証報告書
とは、受託業務に係る内部統制の保証報告書であり、
米国公認会計士協会(AICPA)では、
「SOC 1」「SOC
2」「SOC 3」の三つの保証報告書に分類しています。
SOC 1保証報告書は、財務報告に係る内部統制に
関するものであり、「AT 801(旧SSAE 16)」に準拠
して作成されます
。
※1
15年の夏ごろに予定されている「FISC安全対策基
準」の改訂(第9版)に向けて、JICPAもIT7号の改
訂を検討しています。これは米国のSOC 2保証報告書
では、五つのTrustサービスの原則と規準以外の「原
則と規準」を追加できるのに対し、日本の現状のIT7
号では追加できない仕組みとなっているためです。
「FISC安全対策基準」改訂、IT7号改訂を皮切りに、
SOC 2保証報告書は、「Trustサービスの原則と規
今後は、一般事業会社も含めたクラウド利用における
準」に係る内部統制に関するものであり、Trustサー
SOC 2保証報告書などの第三者による監査が、広く
ビスの原則と規準には「セキュリティ」「可用性」「処
認識されていくと思われます。
理のインテグリティ」「機密保持」「プライバシー」の
五つがあります※2。
このSOC 2保証報告書は、前記のクラウドサービ
スにおけるリスク領域に関するクラウドサービス提供
者の対応を評価するために役立っています。
SOC 3保証報告書は、SOC 2保証報告書と同様、
Trustサービスの原則と規準に係る内部統制に関する
お問い合わせ先
アドバイザリー事業部
Tel:03 3503 3500
E-mail:[email protected]
ものですが、報告書の想定利用者を不特定多数の受託
※1 日本基準では、監査・保証実務委員会実務指針第86号「受託業務に係る内部統制の保証報告書」
(旧18号)
、国際基準で
は、ISAE3402
※2 日本では、IT委員会実務指針第7号「受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持に係る内部統
制の保証報告書」がある。なお、現状のIT7号ではTrustサービスの原則と規準の「プライバシー」は対象としていない。
※3 日本では、IT委員会報告第2号「Trustサービスに係る実務指針(中間報告)」
※4 日本公認会計士協会(JICPA)からも参加
情報センサー Vol.102 March 2015 21