EY Advisory クラウド利用時の留意点と保証報告書 アドバイザリー事業部 公認会計士 遊馬正美 • Masami Asuma アドバイザリー事業部に所属。会計監査におけるIT統制評価に携わるとともに、クラウドサービス事業者、データセンター事業者および 金融機関向け共同センターの受託業務に係る内部統制の保証業務(SOC 1・SOC 2・SOC 3)に従事。 Ⅰ はじめに 2. クラウドサービスにおけるリスク領域 (1)クラウドの標準と操作性 クラウド利用はあらゆる業種の企業・組織の注目を 急成長しているクラウドサービスでは業界標準が追 集めていますが、狙いはIT戦略の効果拡大、社内IT運 いついていない状況です。また、クラウド利用者である 用コストの削減、経営の柔軟性向上、競争優位の確立 企業・組織での既存のITシステムとの円滑な連携も保 等、多岐にわたっています。クラウド利用は、運用思 証されておらず、効率性を損なう可能性も存在します。 考から戦略思考へと転換したIT活用により、優れた戦 略さえあれば、企業・組織に多くの可能性をもたらし (2)クラウドのコンプライアンスと法規制 ます。クラウドサービスの高い機動力と柔軟性を生か クラウド利用者である企業・組織は、データの所在 した、激変するマーケット環境への順応が、顧客ニー 場所に関係なく、法規制およびコンプライアンスに関 ズや競合企業への対応力向上につながるからです。 する責任を有することに変わりありません。企業・組 織やクラウドサービス提供者は、事業を営む管轄区域 の法規制の要件を十分に理解しておく必要があります。 Ⅱ クラウド利用におけるリスク管理 (3)情報セキュリティとプライバシーのリスク 1. クラウドサービスの定義 クラウド環境での情報セキュリティに係る重大なリ 米 国 国 立 標 準 技 術 研 究 所(NIST) に よ る ク ラ ウ スクは、ネットワークにおける論理的および物理的領 ドサービスの定義は、IaaS(Infrastructure as a service:インフラ)、PssS(Platform as a service: プラットホーム)、Saas(Software as a service:ア 域に対する不正アクセス、システムまたはデータの改 プリ)の三つになっており、クラウドインフラの設置 ティ管理手続きの透明性は低い状況にあります。 ざん、データの不正な削除です。通常、クラウド利用 者にとって、クラウドサービス提供者側のセキュリ 形態により、プライベートクラウド、パブリッククラ ウド、コミュニティクラウド、ハイブリッドクラウド (4)クラウドサービス提供者の管理とガバナンス が存在します。これら四つの設置形態のうち、プライ コモディティ化されたクラウドサービスを利用する ベートクラウドの管理を企業・組織が自ら行う場合以 場合等コスト意識の高い環境下では、サービスレベル 外は、いずれのクラウド設置形態でも企業・組織にお 合意書(SLA)または使用許諾契約書における条項は、 けるクラウド利用には、しかるべき外部委託先管理が 交渉余地のないケースがほとんどであり、管理とガバ 必要となります。 ナンスの有効性に関する評価が困難な状況にあります。 20 情報センサー Vol.102 March 2015 Ⅲ 外部委託先監査 業務のサービス利用者としているため、報告書上の内 部統制に係る記載はSOC 2と比較して、非常に簡潔 外部委託先に係る留意点には、適切な外部委託先の なものになっています※3。 選定、適切な外部委託に関する契約の管理、外部委託 先に係る内部統制の整備・運用状況に関する整備など があります。外部委託先に係る内部統制の整備・運用 Ⅴ 金融機関におけるクラウド利用 状況に関する整備には、外部委託先を直接監査、外部 委託先が実施した監査結果を利用、第三者による外部 委託先の直接監査の三つ評価方法があります。 2014年11月、公益財団法人金融情報システムセン ター(FISC)から、「金融機関におけるクラウド利用 クラウド利用では、外部委託先を直接監査という手 に関する有識者検討会報告書」がウェブサイト上に掲 法は通常の利用者では困難であり、また、外部委託先 載されました。この報告書では、学識経験者、金融関 が実施した監査結果を利用の場合は、当該結果の信頼 係者、クラウドサービス提供者など※4における、クラ 性が問題になります。クラウドサービスで一般的にな ウド活用上のネックは何か、どのように当該ネックを りつつある第三者による外部委託先の直接監査の場 克服すればよいのかなどの議論を取りまとめています。 合、代表的なものとして「SOC 1・SOC 2保証報告 クラウド活用上のネックはクラウドサービスの信頼 性にあるため、信頼性を担保する一法としての監査の 書」があります。 重要性に鑑み、当該報告書では「Ⅲ 具体的なリスク 管理策」の「2. クラウド事業者に対する監査等」で、 Ⅳ SOC保証報告書 クラウドサービス提供者に対する監査が論じられてお りSOC 2にも触れられています。 Service Organization Controls(SOC)保証報告書 とは、受託業務に係る内部統制の保証報告書であり、 米国公認会計士協会(AICPA)では、 「SOC 1」「SOC 2」「SOC 3」の三つの保証報告書に分類しています。 SOC 1保証報告書は、財務報告に係る内部統制に 関するものであり、「AT 801(旧SSAE 16)」に準拠 して作成されます 。 ※1 15年の夏ごろに予定されている「FISC安全対策基 準」の改訂(第9版)に向けて、JICPAもIT7号の改 訂を検討しています。これは米国のSOC 2保証報告書 では、五つのTrustサービスの原則と規準以外の「原 則と規準」を追加できるのに対し、日本の現状のIT7 号では追加できない仕組みとなっているためです。 「FISC安全対策基準」改訂、IT7号改訂を皮切りに、 SOC 2保証報告書は、「Trustサービスの原則と規 今後は、一般事業会社も含めたクラウド利用における 準」に係る内部統制に関するものであり、Trustサー SOC 2保証報告書などの第三者による監査が、広く ビスの原則と規準には「セキュリティ」「可用性」「処 認識されていくと思われます。 理のインテグリティ」「機密保持」「プライバシー」の 五つがあります※2。 このSOC 2保証報告書は、前記のクラウドサービ スにおけるリスク領域に関するクラウドサービス提供 者の対応を評価するために役立っています。 SOC 3保証報告書は、SOC 2保証報告書と同様、 Trustサービスの原則と規準に係る内部統制に関する お問い合わせ先 アドバイザリー事業部 Tel:03 3503 3500 E-mail:[email protected] ものですが、報告書の想定利用者を不特定多数の受託 ※1 日本基準では、監査・保証実務委員会実務指針第86号「受託業務に係る内部統制の保証報告書」 (旧18号) 、国際基準で は、ISAE3402 ※2 日本では、IT委員会実務指針第7号「受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持に係る内部統 制の保証報告書」がある。なお、現状のIT7号ではTrustサービスの原則と規準の「プライバシー」は対象としていない。 ※3 日本では、IT委員会報告第2号「Trustサービスに係る実務指針(中間報告)」 ※4 日本公認会計士協会(JICPA)からも参加 情報センサー Vol.102 March 2015 21
© Copyright 2024