クラウド利用時の留意点と保証報告書

EY Advisory
クラウド利用時の留意点と保証報告書
アドバイザリー事業部公認会計士遊馬正美
• Masami Asuma
アドバイザリー事業部に所属。会計監査におけるIT統制評価に携わるとともに、クラウドサービス事業者、データセンター事業者および
金融機関向け共同センターの受託業務に係る内部統制の保証業務（SOC 1・SOC 2・SOC 3）に従事。
Ⅰ はじめに
2. クラウドサービスにおけるリスク領域
（1）クラウドの標準と操作性
クラウド利用はあらゆる業種の企業・組織の注目を
急成長しているクラウドサービスでは業界標準が追
集めていますが、狙いはIT戦略の効果拡大、社内IT運
いついていない状況です。また、クラウド利用者である
用コストの削減、経営の柔軟性向上、競争優位の確立
企業・組織での既存のITシステムとの円滑な連携も保
等、多岐にわたっています。クラウド利用は、運用思
証されておらず、効率性を損なう可能性も存在します。
考から戦略思考へと転換したIT活用により、優れた戦
略さえあれば、企業・組織に多くの可能性をもたらし
（2）クラウドのコンプライアンスと法規制
ます。クラウドサービスの高い機動力と柔軟性を生か
クラウド利用者である企業・組織は、データの所在
した、激変するマーケット環境への順応が、顧客ニー
場所に関係なく、法規制およびコンプライアンスに関
ズや競合企業への対応力向上につながるからです。
する責任を有することに変わりありません。企業・組
織やクラウドサービス提供者は、事業を営む管轄区域
の法規制の要件を十分に理解しておく必要があります。
Ⅱ クラウド利用におけるリスク管理
（3）情報セキュリティとプライバシーのリスク
1. クラウドサービスの定義
クラウド環境での情報セキュリティに係る重大なリ
米国国立標準技術研究所（NIST）によるクラウ
スクは、ネットワークにおける論理的および物理的領
ドサービスの定義は、IaaS（Infrastructure as a
service：インフラ）、PssS（Platform as a service：
プラットホーム）、Saas（Software as a service：ア
域に対する不正アクセス、システムまたはデータの改
プリ）の三つになっており、クラウドインフラの設置
ティ管理手続きの透明性は低い状況にあります。
ざん、データの不正な削除です。通常、クラウド利用
者にとって、クラウドサービス提供者側のセキュリ
形態により、プライベートクラウド、パブリッククラ
ウド、コミュニティクラウド、ハイブリッドクラウド
（4）クラウドサービス提供者の管理とガバナンス
が存在します。これら四つの設置形態のうち、プライ
コモディティ化されたクラウドサービスを利用する
ベートクラウドの管理を企業・組織が自ら行う場合以
場合等コスト意識の高い環境下では、サービスレベル
外は、いずれのクラウド設置形態でも企業・組織にお
合意書（SLA）または使用許諾契約書における条項は、
けるクラウド利用には、しかるべき外部委託先管理が
交渉余地のないケースがほとんどであり、管理とガバ
必要となります。
ナンスの有効性に関する評価が困難な状況にあります。
20　情報センサー Vol.102 March 2015
Ⅲ 外部委託先監査
業務のサービス利用者としているため、報告書上の内
部統制に係る記載はSOC 2と比較して、非常に簡潔
外部委託先に係る留意点には、適切な外部委託先の
なものになっています※3。
選定、適切な外部委託に関する契約の管理、外部委託
先に係る内部統制の整備・運用状況に関する整備など
があります。外部委託先に係る内部統制の整備・運用
Ⅴ 金融機関におけるクラウド利用
状況に関する整備には、外部委託先を直接監査、外部
委託先が実施した監査結果を利用、第三者による外部
委託先の直接監査の三つ評価方法があります。
2014年11月、公益財団法人金融情報システムセン
ター（FISC）から、「金融機関におけるクラウド利用
クラウド利用では、外部委託先を直接監査という手
に関する有識者検討会報告書」がウェブサイト上に掲
法は通常の利用者では困難であり、また、外部委託先
載されました。この報告書では、学識経験者、金融関
が実施した監査結果を利用の場合は、当該結果の信頼
係者、クラウドサービス提供者など※4における、クラ
性が問題になります。クラウドサービスで一般的にな
ウド活用上のネックは何か、どのように当該ネックを
りつつある第三者による外部委託先の直接監査の場
克服すればよいのかなどの議論を取りまとめています。
合、代表的なものとして「SOC 1・SOC 2保証報告
クラウド活用上のネックはクラウドサービスの信頼
性にあるため、信頼性を担保する一法としての監査の
書」があります。
重要性に鑑み、当該報告書では「Ⅲ　具体的なリスク
管理策」の「2. クラウド事業者に対する監査等」で、
Ⅳ SOC保証報告書
クラウドサービス提供者に対する監査が論じられてお
りSOC 2にも触れられています。
Service Organization Controls（SOC）保証報告書
とは、受託業務に係る内部統制の保証報告書であり、
米国公認会計士協会（AICPA）では、
「SOC 1」「SOC
2」「SOC 3」の三つの保証報告書に分類しています。
SOC 1保証報告書は、財務報告に係る内部統制に
関するものであり、「AT 801（旧SSAE 16）」に準拠
して作成されます
。
※1
15年の夏ごろに予定されている「FISC安全対策基
準」の改訂（第9版）に向けて、JICPAもIT7号の改
訂を検討しています。これは米国のSOC 2保証報告書
では、五つのTrustサービスの原則と規準以外の「原
則と規準」を追加できるのに対し、日本の現状のIT7
号では追加できない仕組みとなっているためです。
「FISC安全対策基準」改訂、IT7号改訂を皮切りに、
SOC 2保証報告書は、「Trustサービスの原則と規
今後は、一般事業会社も含めたクラウド利用における
準」に係る内部統制に関するものであり、Trustサー
SOC 2保証報告書などの第三者による監査が、広く
ビスの原則と規準には「セキュリティ」「可用性」「処
認識されていくと思われます。
理のインテグリティ」「機密保持」「プライバシー」の
五つがあります※2。
このSOC 2保証報告書は、前記のクラウドサービ
スにおけるリスク領域に関するクラウドサービス提供
者の対応を評価するために役立っています。
SOC 3保証報告書は、SOC 2保証報告書と同様、
Trustサービスの原則と規準に係る内部統制に関する
お問い合わせ先
アドバイザリー事業部
Tel：03 3503 3500
E-mail：[email protected]
ものですが、報告書の想定利用者を不特定多数の受託
※1　日本基準では、監査・保証実務委員会実務指針第86号「受託業務に係る内部統制の保証報告書」
（旧18号）
、国際基準で
は、ISAE3402
※2　日本では、IT委員会実務指針第7号「受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持に係る内部統
制の保証報告書」がある。なお、現状のIT7号ではTrustサービスの原則と規準の「プライバシー」は対象としていない。
※3　日本では、IT委員会報告第2号「Trustサービスに係る実務指針（中間報告）」
※4　日本公認会計士協会（JICPA）からも参加
情報センサー Vol.102 March 2015　21

Download Report