SOC2レポートとは？概要や取得意義、ISO認証との違いなどについて解説

企業のクラウド利用がますます進み、クラウドセキュリティ（※）が重要なテーマとなってきている昨今。これに伴い、クラウドセキュリティ関連のキーワードとして「SOC2」という言葉をよく耳にするようになったという方も多いと思います。SOC2とは簡単に言うと、クラウドプロバイダ（クラウド事業者）などの組織において、顧客のデータが安全に管理されているかどうかなどのセキュリティ体制（内部統制）を、「Trustサービス原則と規準」という基準に基づいて評価し保証するための枠組みや、評価内容をまとめた保証報告書のことです。本記事では、SOC2の概要や目的、取得意義、評価規準などについて解説し、ISO27001やISO27017などの他のセキュリティ認証との違いについても簡単に紹介します。

※クラウドセキュリティに関しては、以下の記事でも詳しく解説しています：

SOC2とは？

「SOC2」「SOC2レポート」とは？読み方と概要

SOC2とは「System and Organization Controls 2」の略称で、簡単に言うと、クラウドプロバイダなどの組織において、顧客のデータが安全に管理されているかどうかなどのセキュリティ体制を評価し保証するための報告書のことを言い、「SOC2レポート」、「SOC2報告書」、「SOC2保証報告書」などとも呼ばれます。

「SOC2」はそのまま「ソックツー」と読み、日本語での正式名称は「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の保証報告書」です。「受託業務」とあるように、SOC2レポートは特定の業務を受託して他社（委託会社）へと提供する会社（受託会社）についての文書であり、セキュリティをはじめとする5つの分野（※）に関連する受託会社の内部統制の状況について監査法人などが評価し、保証報告書としてまとめたものを指します。この外部監査の際には、AICPA（米国公認会計士協会）が定めた「Trustサービス原則と規準」が評価基準として用いられます。

※SOC2の対象となるのはセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーの5分野で、いずれか1つまたは複数を選択することになります。ただしセキュリティは必須分野なので、「セキュリティのみ」または「セキュリティ＋その他分野」のいずれかのパターンで評価が行われます。各分野の詳細については、「SOC2の評価規準：Trust サービス原則と規準」のセクションで紹介しています。参考：日本公認会計士協会（JICPA）「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」

SOC2とクラウドサービス

では、内部統制についての保証報告書であるSOC2が、なぜクラウドサービスにとって重要なのでしょうか？

まず、クラウドサービスの利点と課題について考えてみましょう。クラウドを利用すれば、利用者（委託会社）は自らコンピューターシステムを管理する必要がなくなり、運用コスト・負荷の軽減を図ることができます。一方で、メンテナンスの時期を自由に選べない、障害が発生しても復旧作業を自らコントロールすることはできない、などの制約も生じます。これに加えて、自社のデータを自らの管理範囲外に置くことに伴うセキュリティ上の懸念や制約も発生します。こうした点を踏まえると、クラウド利用者にとって、クラウドプロバイダの信頼性は非常に重要だと言えます。そしてSOC2は、クラウドプロバイダの信頼性を判定する上で大いに役立ちます。

SOC2レポートは、「受託会社監査人の意見」、「受託会社の経営者の確認書」、「システムの記述」、「監査人が実施した運用評価手続とその結果」の 4 パートで構成されています。特にこのうちの「システムの記述」パートには、受託会社が顧客のデータを安全に管理するために整備・運用する内部統制の仕組みが詳細に記述されるため、クラウドを利用する企業にとって、受託会社の詳しいセキュリティ状況を確認する際に有用です。つまり、SOC2レポートは、クラウドプロバイダの信頼性を客観的に評価するための指標の1つとして利用することができるということです。

また、SOC2レポートはISMS認証やISMSクラウドセキュリティ認証と比べて取得の難易度が高いとされています。そのため、SOC2取得企業のサービスであれば、顧客企業はセキュリティに関してある程度安心感を持って利用することができます。一方でSOC2取得企業の側でも、セキュリティや可用性などに関する統制レベルの高さをサービス利用者に示し、市場での競争力強化を図ることができます。

※なお、SOC2が対象とする委託業務は必ずしもクラウドコンピューティング業務に限られるわけではありません。顧客の証券取引のインターネット経由で処理するなどの顧客口座サービス業務や、オンラインまたは電話で顧客からの苦情や回答への対応を行うカスタマーサービス業務なども、SOC2の対象となり得ます。

SOC2の2つのタイプ

SOC2には「タイプ1」と「タイプ2」の2種類があります。それぞれ、評価対象となる期間が異なります。

タイプ1

ある1日について、内部統制が適切に運用されていることを保証するものです。

タイプ2

一定期間（半年間以上）にわたって内部統制が適切に運用されていることを保証するものです。

SOC2レポートの構成

先ほども少し触れたように、SOC2レポートは「受託会社監査人の意見」、「受託会社の経営者の確認書」、「システムの記述」、「監査人が実施した運用評価手続とその結果」の4 つのパートで構成されています。

SOC2とSOC1、SOC3との違い

SOCにはSOC2以外にSOC1とSOC3が存在していますが、それぞれどう異なるのでしょうか？なお、いずれも受託会社の内部統制に関する保証報告書であるという点は共通しています。

まず、SOC1は財務報告に関する受託会社の内部統制についてまとめた報告書で、セキュリティなどの分野は含みません。そのため、SOC1とSOC2では評価内容が違います。

一方、SOC3はSOC2の簡略版とも言え、その内容はSOC2と同様です。ただ、SOC2が委託会社などの限られた対象にのみ開示されるレポートなのに対し、SOC3はホームページなどで広く一般に公開可能（マーケティング目的で利用可能）である点が大きく異なります。

SOC1、SOC2、SOC3の比較表

SOC2レポート取得の意義やメリット

SOC2の目的

そもそもSOC2レポートの目的は、簡単に言うと受託会社（クラウドプロバイダなど）のセキュリティ対策・体制が信頼できるものであることを保証することです。具体的には、以下の項目に関する受託会社の内部統制についての詳細な情報と保証を提供します。

・ユーザーデータの処理に使用されているシステムのセキュリティ、可用性、処理のインテグリティ

・システムによって処理される情報の機密保持およびプライバシー

クラウドを利用する委託会社は、SOC2レポートをクラウドプロバイダおよびそのサービスに対する評価の際の参考にすることができます。

SOC2レポート取得の意義、メリット

SOC2レポートを取得する企業が期待できるメリットとしては、以下のようなものが挙げられます。

・強固なセキュリティ対策を実施できていることを顧客に対して保証でき、信頼獲得につながる。

・SOC2準拠を目指す上でセキュリティ体制が強化されることになるため、データ漏洩などのインシデントリスクが低減する。また、インシデントが発生したとしても影響を最小限に抑えるための対策も整備されることになるため、長期的にはインシデント後の復旧費用などのコストの削減にもつながる。

・SOC2に準拠することで、PCI DSS（※）やGDPRなどのその他の基準や規制にも準拠しやすくなる。

※PCI DSSについて詳しくは、以下の記事で解説しています：

SOC2レポートを取得すべき企業

以下に挙げるようなサービスを提供しており、他社との差別化を図りたい企業やセキュリティの強化を目指しているような企業はSOC2レポートの取得を検討してみてもいいかもしれません。

・データホスティング

・データ処理

・クラウドストレージ

・コロケーション

・SaaS

SOC2レポートの取得方法

SOC2レポート取得までの道のりは、大きく3つの段階に分けることができます。なおSOC2では、監査法人や公認会計士が独立した第三者として監査・検証を行います。ISMSにおける認定機関（日本の場合は「情報マネジメントシステム認定センター」）のような機関や、専門の認証機関があるわけではありません。

①準備

・現状の統制策の精査、SOC2要件との一致・不一致の確認

・セキュリティポリシーやワークフローの見直し、改修

②予備監査（事前調査）

・本監査前の最終確認

・指摘事項の反映、改善

③本監査

・監査法人による評価

SOC2の評価規準：Trust サービス原則と規準

SOC2では、「Trustサービス原則」（※）と呼ばれる5つの原則が守られているかどうか、そしてそれぞれの原則に付随するさまざまな規準に準拠できているかどうかが評価されることになります。

※AICPAは、Trustサービスを「システムと関連するデータの運用と保護に関する一連の原則と規準を基に提供される職業的保証業務と助言業務」と定義しています。参考：日本公認会計士協会（JICPA）「Trust サービス原則、規準及びその例示」

5つのTrustサービス原則

Trustサービス原則は、セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーの5つの原則で構成されています。SOC2取得を目指す企業は5つの中から1つ以上を選択することができますが、セキュリティは必須原則です。したがって、セキュリティのみで取得するか、セキュリティと別の原則1つ以上で取得することになります。

セキュリティ

システムやデータの保護、およびセキュリティリスクの軽減を目的とする原則です。この原則では、受託企業のシステムが、未承認のアクセス、利用または変更に対して保護されている状態を確保できていることが求められます。

可用性

情報セキュリティにおける「可用性」とは一般的に、システムが安定的に稼働できる状態のことを言います。例えば障害が発生しにくく、たとえ障害が発生しても復旧までにかかる時間が短いようなシステムは「可用性が高い」と表現することができます。Trustサービス原則における可用性原則では、システムの可用性を維持するための適切な内部統制が整備・運用されていることが求められます。

処理のインテグリティ

「インテグリティ」は「完全性」と呼ばれることもあり、情報セキュリティにおいては一般的に、データが改ざんまたは破壊されておらず正確な状態であることを言います。Trustサービス原則における処理のインテグリティ原則では、データが正確かつ信頼のおける形で処理されているかどうかが評価されることになります。

機密保持

機密保持原則では、機密とされる情報（例えば財務関連のデータなど、ごく一部の人にしか開示が許可されない情報）が、作成/取得から利用、廃棄に至るまでの全過程できちんと保護されていることが求められます。

プライバシー

プライバシー原則では、運転免許証番号やクレジットカード番号といった個人を識別できる情報が、侵害や未承認のアクセスから保護された状態で収集、利用、保持、開示、廃棄されていることが求められます。

Trustサービス規準 

Trustサービス規準は、上記の5原則すべてに共通する規準（共通規準）と、各原則（セキュリティを除く）ごとの追加規準で構成されます。セキュリティ原則については共通規準が完全な規準を構成することになるため、追加規準の適用は不要です。

共通規準

共通規準は全部で27規準あり、以下の7つのカテゴリーで構成されています。どの原則を選択するかに関わらず、共通規準はすべて適用する必要があります。

・組織及び管理

・コミュニケーション

・リスク管理及び内部統制のデザインと導入

・内部統制のモニタリング

・論理的及び物理的アクセス管理

・システム運用

・変更管理

追加規準

セキュリティ原則を除く4つの原則にはそれぞれ追加規準が複数用意されています。SOC2取得を目指す企業には、選択した原則に関連する規準についてはすべてを適用することが求められます。

共通規準および追加規準の詳細については、日本公認会計士協会（JICPA）の資料「Trust サービス原則、規準及びその例示」をご覧ください。

SOC2＋とは？

受託会社によっては、Trustサービス原則と規準に準拠するのみでは顧客のニーズを十分に満たせない場合があり得ます。AICPAではこういったケースを想定してSOC2レポートの範囲拡張を認めており、これを「SOC2＋」レポートと位置付けています。SOC2＋レポートには、例えばISMS（ISO27001）など他の認証基準や評価基準を盛り込むことが可能です。

SOC2とその他のセキュリティ認証や評価制度との違い

クラウドのセキュリティに関連するその他の認証や評価制度には、ISO27001（ISMS認証）やISO27017（ISMSクラウドセキュリティ認証）、ISMAPといったものがあります。

いずれも一定の審査プロセスを経てセキュリティ対策の整備・運用状況に関するお墨付きを与えている点では共通していると言えます。ただ、SOC2はもともと職業会計士によって生み出されたIT保証サービスであるという点で他のセキュリティ認証/評価制度とは異なっています。その他にはどのような違いがあるのでしょうか？

SOC2とISO27001（ISMS認証）の違い

ISO27001（ISMS認証）とは、簡単に言うと、企業が情報の機密性、完全性、可用性を守るための体系的な仕組みを適切に運用しているかどうかを審査し、認証するものです。

SOC2が主にクラウドプロバイダを評価するものであるのに対し、ISMS認証はクラウドプロバイダに限らず、あらゆる企業を対象としています。また、両者は難易度も異なり、ISMSよりもSOC2の方が取得が難しいとされています。さらに、審査や評価を受けた後のアウトプットも異なります。SOC2では審査の結果や受託会社の内部統制の詳細がレポートとしてまとめられ、委託会社など限られた対象者へのみ共有されます。一方で、ISMSを取得した企業は認証マークをホームページなどで広く一般に公開することができるようになりますが、このマークはSOC2レポートのような詳細な情報を共有するものではありません。

※ISO27001（ISMS認証）について詳しくは、以下の記事で解説しています：

SOC2とISO27017（ISMSクラウドセキュリティ認証）の違い

ISMSクラウドセキュリティ認証はISO27001（ISMS認証）のアドオン認証で、ISMS認証を取得している／今後取得する組織に対し、国際規格ISO/IEC 27017に規定されるクラウドサービス固有の管理策が追加で実施されていることを認証するものです。

SOC2とISO27017との主な相違点は、上記のSOC2とISO27001との相違点と同様です。その他の点で大きく異なるのは、SOC2が受託会社、つまりクラウドを提供する側の企業によって取得されるものであるのに対し、ISO27017はクラウドプロバイダとクラウド利用者の双方を対象にしているという点です。

※ISO27017（ISMSクラウドセキュリティ認証）について詳しくは、以下の記事をご覧ください：

SOC2とISMAPの違い

ISMAPはクラウドの安全性を評価するための制度であることから、SOC2と比較される場合があります。とはいえSOC2とISMAPについては、そもそもの目的自体が大きく異なっています。SOC2が元々はクラウドサービスなどの委託業務に関する保証を提供するための枠組みとして作られたものであるのに対し、ISMAPは、政府機関等がクラウドサービスを効率的かつ迅速に選定・調達できるようにすることを目指して作られた制度です。ISMAPではこの目的のために審査によって情報セキュリティ上の安全性が認められたクラウドサービスを登録・リスト化しており、政府機関等がリスト内からクラウドを調達できるようにしています。ただし、SOC2もISMAPも、クラウドプロバイダやサービスの安全性や信頼性を判断するための指標にできるという点は共通していると言えます。

※ISMAPについて詳しくは、以下の記事で解説しています：

最後に

以上、簡単にではありますが、SOC2の概要や取得意義、評価規準、ISO認証やISMAPとの違いなどについて解説してみました。自社のクラウドサービスなどを通じて顧客のデータを保存、処理、送信する機会があり、セキュリティを強化して顧客からの信頼を高めたい、他者との差別化を図りたいといった目標のある企業にとっては、SOC2の取得を検討してみるのも目標達成の1つの手かもしれません。