システムと組織の管理

この記事は検証のために追加の引用が必要です。信頼できる情報源からの引用を追加することで、この記事の改善にご協力ください。出典のない資料は異議を唱えられ、削除される場合があります。出典を探す:  「システムと組織の統制」 – ニュース ·新聞 ·書籍 ·学者 · JSTOR ( 2020年3月) (このメッセージを削除する方法とタイミングについては、こちらをご覧ください)

システムおよび組織統制（SOC 、サービス組織統制とも呼ばれる）は、米国公認会計士協会（AICPA）の定義によると、監査中に作成される一連のレポートの名称です。これは、サービス組織（他の組織に情報システムをサービスとして提供する組織）が、そのサービスの利用者に対して、当該情報システムに関する内部統制の検証済みレポートを発行するために使用されます。

これらの報告書は、Trustサービス基準と呼ばれる5つのカテゴリーに分類された統制に焦点を当てています。^[1] Trustサービス基準は、AICPAの保証サービス執行委員会（ASEC）によって2017年に制定されました（2017 TSC）。これらの統制基準は、サービスとして提供される情報システムの統制を評価および報告するために、実務家／検査官（公認会計士、CPA）が証明業務またはコンサルティング業務において使用するものです。これらの業務は、企業全体、子会社、部門、事業単位、製品ライン、または機能領域単位で実施できます。

Trustサービス基準は、トレッドウェイ委員会組織委員会（COSO）の 内部統制統合フレームワーク（COSOフレームワーク）に準拠してモデル化されています。さらに、Trustサービス基準は、NIST SP 800 – 53基準およびEU一般データ保護規則（GDPR）条項にマッピングできます。AICPA監査基準 「証明業務基準に関する声明第18号（SSAE 18）」のセクション320「サービス組織における統制の検査に関する報告（ユーザーエンティティの財務報告に係る内部統制に関連する）」では、タイプ1とタイプ2の2つのレベルの報告を定義しています。AICPAの追加ガイダンス資料では、SOC 1、SOC 2、SOC 3の3種類の報告タイプが規定されています。

Trustサービス基準は、組織が直面する固有のリスクや脅威に対処するために導入する独自の統制に、より適切に適用できるよう、柔軟な適用を可能にするように設計されています。これは、適用可能かどうかに関わらず特定の統制を義務付ける他の統制フレームワークとは対照的です。Trustサービス基準を実際の状況に適用するには、適合性に関する判断が必要です。Trustサービス基準は、「製品またはサービスを提供するために使用される情報およびシステムのセキュリティ、可用性、処理の整合性、機密性、またはプライバシーに関連する統制の設計と運用の有効性の適合性を評価する」際に使用されます（AICPAおよびASEC）。

Trustサービス基準の構成は、COSOフレームワークの17の原則に沿っており、論理的および物理的なアクセス制御、システム運用、変更管理、リスク軽減といった追加の補足基準が設けられています。さらに、これらの補足基準は、Trustサービス基準 - コモンクライテリア（CC）と、可用性、処理の整合性、機密性、プライバシーに関する追加の具体的基準の間で共有されています。

共通基準は、統制環境（CC1.x）、情報とコミュニケーション（CC2.x）、リスク評価（CC3.x）、統制の監視（CC4.x）、および統制の設計と実装に関連する統制活動（CC5.x）として分類されます。共通基準は、セキュリティ基準の評価に適切かつ包括的です。ただし、可用性（Ax）、処理の整合性（PI.x）、機密性（Cx）、プライバシー（Px）については、カテゴリ固有の基準が追加されています。エンゲージメントで対象となる各トラストサービスカテゴリの基準は、そのカテゴリに関連するすべての基準が満たされた時点で完了したとみなされます。

SOC 2レポートは、CIAの情報セキュリティの3要素をサポートする信頼サービス基準と呼ばれる5つの重複するカテゴリで対処される制御に焦点を当てています。 ^[1]

1. セキュリティ – 情報とシステムは、システムの可用性、機密性、整合性、プライバシーを損なう可能性のある不正アクセスや漏洩、およびシステムへの損傷から保護されます。
   • ファイアウォール
   • 侵入検知
   • 多要素認証
2. 可用性 – 情報とシステムは運用に利用できます。
   • パフォーマンス監視
   • 災害復旧
   • インシデント処理
3. 機密性 – 情報は保護され、正当な理由に基づき開示されます。様々な種類の機密情報に適用されます。
   • 暗号化
   • アクセス制御
   • ファイアウォール
4. 処理の整合性 – システム処理は完全、有効、正確、適時かつ承認済みです。
   • 品質保証
   • プロセス監視
   • 原則の遵守
5. プライバシー – 個人情報は、ポリシーに従って収集、使用、保管、開示、廃棄されます。プライバシーは個人情報にのみ適用されます。
   • アクセス制御
   • 多要素認証
   • 暗号化

SOCレポートにはSSAE 18で規定されている2つのレベルがあります。^[2]

• タイプ1は、サービス組織のシステムと、指定された管理策の設計が関連する信頼原則を満たしているかどうかについて説明します。（設計と文書化によって、レポートで定義された目標を達成できる可能性はありますか？）
• タイプ2では、指定された管理策の運用上の有効性についても、一定期間（通常9～12か月）にわたって評価します。（実装は適切ですか？）

SOCレポートには3つの種類があります。^[3]

• SOC 1 – 財務報告に係る内部統制（ICFR）^[4]
• SOC 2 – 信頼サービス基準^{[5] [6]}
• SOC 3 – 一般利用レポートの信頼サービス基準^[7]

さらに、サイバーセキュリティとサプライチェーンに特化したSOCレポートもあります。^[8]

SOC 1およびSOC 2レポートは、対象となるシステムを十分に理解しているユーザーなど、限られた対象者を対象としています。SOC 3レポートには、より限定的な情報が含まれており、一般の人々に配布できます。

SOC 2監査を実施できるのは、SOC評価の実施資格を有する公認会計士事務所または監査法人のみです。これらの監査人は独立性を有し、AICPA基準を遵守している必要があります。

SOC 2監査は、5つのトラストサービス基準に準拠した組織の詳細な内部統制レポートを提供します。このレポートは、組織が顧客データをどの程度適切に保護しているかを示し、安全かつ信頼性の高いサービスを提供していることを顧客に保証します。したがって、SOC 2レポートは、顧客およびその他の関係者のみが利用できるように意図されています。SOC 2準備状況評価は、監査前の重要なステップです。この評価は、統制、文書、または証拠のギャップを早期に特定し、監査中の予期せぬ事態を軽減するのに役立ちます。綿密な準備には、文書の完成、システム構成の検証、部門横断的なチームの関与、継続的な監視の確保などが含まれます。

• ISO/IEC 27001

• 「証明業務基準に関する声明18、証明基準：明確化と再編」、AICPA
• 「専門基準」、セクションAT-C 320、AICPA