コンプライアンスの理解 SOC 1 vs SOC 2 vs SOC 3
公開: 2022-09-06コンプライアンスは、組織の成長にとって重要な側面です。
SaaS ビジネスを実行し、中間市場の顧客をターゲットにしたいとします。 その場合、適用される規則や規制に準拠し、会社のより強力なセキュリティ体制を維持する必要があります。
多くの組織は、セキュリティに関するアンケートを適用することで、これらの要件を回避しようとしています。
したがって、顧客またはクライアントが SOC 証明書を要求した場合、規制に準拠することがいかに重要であるかを理解できます。
Service Organization Control (SOC) コンプライアンスとは、組織が実施している特定の制御を示す第三者監査を完了する認定の一種です。 SOC コンプライアンスは、サプライ チェーンと SOC サイバーセキュリティにも適用されます。
2010 年 4 月、米国公認会計士協会 (AICPA) は SAS 70 の変更を発表しました。洗練された新しい監査基準は、認証業務の基準に関する声明 (SSAE 16) と呼ばれています。
SSAE 16 監査に加えて、サービス組織の管理を調査するために、他の 3 つのレポートも確立されています。 これらは SOC レポートと呼ばれ、異なる目的を持つ SOC 1、SOC 2、および SOC 3 レポートの 3 つのレポートが含まれています。
この記事では、各 SOC レポートと、それらを適用する場所、およびそれらが IT セキュリティにどのように適合するかについて説明します。
どうぞ!
SOC レポートとは正確には何ですか?
SOC レポートは、お金と時間の面で組織に利益をもたらす競争上の優位性と見なすことができます。 第三者および独立した監査人を利用して、次のような組織のさまざまな側面を調べます。
- 可用性
- 守秘義務
- プライバシー
- 処理の完全性
- 安全
- サイバーセキュリティに関する統制
- 財務報告に関する統制
SOC レポートにより、企業は潜在的なサービス プロバイダーが法令に準拠し、倫理的に運営されていることを確信できます。 監査は難しい場合がありますが、非常に大きなセキュリティと信頼を提供できます。 SOC レポートは、サービス プロバイダーの信頼性と信頼性を確立するのに役立ちます。
さらに、SOC レポートは次の場合に役立ちます。
- ベンダー管理プログラム
- 組織の監督
- 規制監督
- リスク管理プロセスと社内コーポレート ガバナンス
SOC レポートが不可欠な理由
データセンター会社、SaaS プロバイダー、ローン サービサー、請求処理業者など、複数のサービス組織が SOC 検査を受ける必要があります。 これらの組織は、クライアントまたはユーザー エンティティの財務データまたは機密データを保存する必要があります。
そのため、他の企業やユーザーにサービスを提供している企業は、SOC 試験の対象となる可能性があります。 SOC レポートは、潜在的なクライアントに会社が正当であることを知らせるだけでなく、評価プロセスを通じて、コントロールまたはクライアントの欠陥と弱点を明らかにします。
SOC アセスメントに期待できること
SOC 評価プロセスを実行する前に、組織に最も適した必要な SOC レポートの種類を決定する必要があります。 次に、準備状況の評価から正式なプロセスが開始されます。
サービス組織は、潜在的な危険信号、ギャップ、欠陥などを特定することにより、試験の準備をします。 このようにして、会社はこれらの欠陥や弱点を修復するために利用可能なオプションを理解することができます.
SOC 監査を実行できるのは誰ですか?
SOC 監査は、独立した公認会計士 (CPA) または会計事務所によって実施されます。
AICPA は、SOC 監査人の作業を規制するための専門基準を確立しています。 これに加えて、組織は実行、計画、および監視に関する特定のガイドラインに従う必要があります。
その後、すべての AICPA 監査がピア レビューを受けます。 CPA 組織または企業は、SOC 監査の準備のために、情報技術とセキュリティのスキルを持つ CPA 以外の専門家も雇っています。 ただし、最終報告書は CPA によってチェックされ、開示されなければなりません。
各レポートを個別に見て、それらがどのように機能するかを理解しましょう。
SOC 1 とは何ですか?
SOC 1 の主な目標は、SOC 1 ドキュメント内の目的を管理し、ユーザー エンティティの財務諸表の監査に関連する内部統制のプロセス領域を管理することです。
簡単に言えば、組織のサービスがユーザー エンティティの財務報告に影響を与える時期を示します。
SOC 1 レポートとは?
SOC 1 レポートは、財務報告に対するユーザー エンティティの管理に適用されるサービス組織の管理を決定します。 ユーザーエンティティの要求を満たすように設計されています。 これにより、会計士はサービス組織の内部統制の有効性を評価します。
SOC 1 レポートには次の 2 種類があります。
- SOC 1 タイプ 1:このレポートは、通常、サービス組織のシステムに焦点を当て、指定された日付の記述と共に、制御目標を達成するためのシステム制御の適合性をチェックします。
SOC 1 タイプ 1 レポートは、監査人、管理者、およびユーザー エンティティにのみ制限されます。通常、サービス プロバイダーは任意のサービス組織に属します。 サービス監査人は、SSAE 16 のすべての要件をカバーするレポートを決定します。
- SOC 1 Type 2 : このレポートには、SOC 1 Type 1 レポートと同様の意見と分析があります。 ただし、特定の期間にわたってすべての統制目標を達成するように設計された、事前に確立された統制の有効性に関する見解が含まれています。
SOC 1 タイプ 2 レポートでは、統制目標は、内部統制が軽減したい潜在的なリスクにつながります。 この範囲には、関連する制御ドメインが含まれ、合理的な保証が提供されます。 また、許可された適切なアクションのみを実行することに制限があるとも述べています。
SOC 1 の目的は何ですか?
すでに説明したように、SOC 1 は、財務報告全体にわたる内部統制に対処する Service Organization Control シリーズの最初の部分です。 パートナーや顧客の財務データを直接操作するビジネスに適用できます。
したがって、組織のやり取りを保護し、ユーザーの財務諸表を保存して送信します。 ただし、SOC 1 レポートは、投資家、顧客、監査人、経営陣が AICPA ガイドライン内の財務報告に関する内部統制を評価するのに役立ちます。
SOC 1 コンプライアンスを維持するには?
SOC 1 コンプライアンスは、定義された期間にわたって SOC 1 レポート内に追加されたすべての SOC 1 コントロールを管理するプロセスを定義します。 これにより、SOC 1 ルールの運用の有効性が保証されます。
コントロールは一般に、IT コントロール、ビジネス プロセス コントロールなどであり、コントロールの目的に基づいて合理的な保証を提供するために使用されます。
SOC2とは?
AICPA によって開発された SOC 2 は、信頼できるサービスを提供するための 5 つの原則に基づいて、顧客情報を制御または管理するための基準を説明しています。これらの原則は次のとおりです。
- 可用性には、災害復旧、セキュリティ インシデントの処理、およびパフォーマンスの監視が含まれます。
- プライバシー: 暗号化、2 要素認証 (2FA)、およびアクセス制御が含まれます。
- セキュリティ: 侵入検知、2 要素認証、ネットワークまたはアプリケーション ファイアウォールが含まれます。
- 機密性: アクセス制御、暗号化、およびアプリケーション ファイアウォールが含まれます。
- 処理の完全性: 処理の監視と品質保証が含まれます。
SOC 2 は、PCI DSS とは異なり、要件が厳格であるため、すべての組織に固有です。 特定のビジネス慣行により、すべての設計は、複数の信頼原則に準拠するように制御されます。
SOC 2 レポートとは?
SOC 2 レポートを使用すると、サービス組織はレポートを受け取り、利害関係者と共有して一般的な説明を行うことができます。 その場で安全な IT コントロール。
SOC 2 レポートには次の 2 種類があります。
- SOC 2 タイプ 1 : ベンダーのシステムについて説明し、ベンダーの設計が信頼の原則を満たすのに適しているかどうかを示します。
- SOC 2 タイプ 2 : ベンダーのシステムの運用効率の詳細を共有します。
SOC 2 は、定義された要件がないため、情報セキュリティのフレームワークと標準に関して組織ごとに異なります。 AICPA は、サービス組織が提供するサービスを保護するために実施している管理を実証するために選択する基準を提供します。
SOC 2 の目的は何ですか?
SOC 2 への準拠は、組織が高い情報セキュリティ レベルを管理および維持していることを示します。 厳格なコンプライアンスにより、組織は重要な情報の安全を確保できます。
SOC 2 に準拠することにより、以下が得られます。
- 組織がサイバー攻撃やセキュリティ侵害から身を守る強化されたデータ セキュリティ プラクティス。
- 顧客は、特にクラウド サービスや IT サービスに関して、堅実なデータ セキュリティ プラクティスを備えたサービス プロバイダーと連携したいと考えているため、競争上の優位性があります。
組織が扱うデータや資産の不正使用を制限します。 セキュリティ原則では、組織はアクセス制御を追加して、悪意のある攻撃、誤用、会社情報の不正な開示または改ざん、および不正なデータ削除からデータを保護する必要があります。
SOC 2 コンプライアンスを維持するには?
SOC 2 コンプライアンスは、組織が顧客情報を管理する方法を指定する、AICPA によって開発された自主基準です。 この標準は、セキュリティ、処理の完全性、機密性、プライバシー、および可用性の 5 つの Trust Services Criteria で説明されています。
SOC コンプライアンスは、あらゆる組織のニーズに合わせて調整されています。 ビジネス プラクティスに応じて、組織は 1 つ以上の Trust Service Principles に従う必要がある設計管理を選択できます。 これは、DDoS 保護、負荷分散、攻撃分析、Web アプリケーション セキュリティ、CDN を介したコンテンツ配信など、すべてのサービスに拡張されます。
簡単に言えば、SOC 2 コンプライアンスは、ツール、プロセス、またはコントロールの説明的なリストではありません。 代わりに、情報セキュリティを維持するために重要な基準の必要性を挙げています。 これにより、各組織は、その運用と目的に関連する最良のプロセスとプラクティスを採用できます。
以下は、基本的な SOC 2 準拠のチェックリストです。
- アクセス制御
- システム操作
- リスクの軽減
- 変更管理
SOC3とは?
SOC 3 は、データ センターとクラウド セキュリティに対するサービス組織の内部統制の強度を定義するために AICPA が開発した監査手順です。 SOC 3 フレームワークは、以下を含む Trust Services Criteria にも基づいています。
- セキュリティ: システムと情報は、不正な開示、不正アクセス、およびシステムへの損傷に対して安全です。
- プロセスの完全性: システムの処理は、エンティティの要求を満たすために、有効で、正確で、承認され、タイムリーで、完全です。
- 可用性: エンティティの要求を満たすために、システムと情報が使用および操作できる状態にあること。
- プライバシー: 個人情報は、エンティティの要求を満たすために使用、開示、破棄、保持、および収集されます。
- 機密性: 重要と指定された情報は、エンティティの要件を満たすために保護されます。
SOC 3 の助けを借りて、サービス組織は、これらのトラスト サービス基準のどれが顧客に提供するサービスに適用されるかを判断します。 また、追加のレポート、パフォーマンス要件、およびアプリケーション ガイダンスについては、基準に関するステートメントを参照してください。
SOC 3 レポートとは?
SOC 3 レポートには SOC 2 と同じ情報が含まれていますが、対象者が異なります。 SOC 3 レポートは、一般の読者のみを対象としています。 これらのレポートは短く、SOC 2 レポートと同じデータが正確に含まれているわけではありません。 それらは、利害関係者と情報に通じた聴衆に適したものになっています。
SOC 3 レポートはより一般的なものであるため、企業の Web サイトで迅速かつオープンに共有することができ、コンプライアンスを示すシールを付けることができます。 国際的な会計基準に対応するのに役立ちます。
たとえば、AWS は SOC 3 レポートのパブリック ダウンロードを許可しています。
SOC 3 の目的は何ですか?
企業、特に小規模または新興企業には、通常、特定の重要なサービスを社内で管理または維持するための十分なリソースがありません。 したがって、これらの企業は、多くの場合、サービスを提供する新しい部門を構築するために余分な労力やお金を投資するのではなく、サービスをサードパーティ プロバイダーにアウトソーシングしています。
したがって、アウトソーシングはより良い選択肢ですが、リスクが伴う可能性があります. その理由は、組織が外部委託することを選択したサービスに応じて、組織が顧客データまたは機密情報をサード パーティ プロバイダーと共有するためです。
ただし、組織は、SOC 3 への準拠を実証しているベンダーとのみ提携する必要があります。
SOC 3 コンプライアンスは、SSAE 18 の AT-C セクション 205 および AT-C セクション 105 に基づいています。これには、独立した管理者の説明および監査報告書の基本情報が含まれています。 これは、PaaS、IaaS、SaaS プロバイダーなど、顧客情報をクラウドに保存するすべてのサービス プロバイダーに適用されます。
SOC 3 コンプライアンスを維持するには?
SOC 3 は SOC 2 の後継バージョンであるため、監査手順は同じです。 サービス監査人は、次のポリシーとコントロールを求めています。
- 災害からの回復
- 侵入検知
- パフォーマンス監視
- 品質保証
- 二要素認証
- セキュリティ インシデントの処理
- 処理監視
- 暗号化
- アクセス制御
- ネットワークとアプリケーションのファイアウォール
監査が完了すると、監査人は調査結果に基づいてレポートを作成します。 ただし、SOC 3 レポートは一般に必要な情報のみを共有するため、詳細ははるかに少なくなります。 サービス組織は、マーケティング目的で最終監査を完了した後、結果を自由に共有します。 監査に合格するために何に焦点を当てるべきかを教えてくれます。 したがって、サービス組織は次のことをお勧めします。
- コントロールは慎重に選択してください。
- コントロール内のギャップを特定するための評価を実施する
- 定期的な活動を把握する
- インシデント アラートの次のステップについて説明する
- 最終審査を行う資格のあるサービス監査員を探す
各コンプライアンスの種類についてある程度理解できたので、3 つの違いを理解して、すべての企業が市場での地位を確立するのにどのように役立つかを理解しましょう。
SOC 1 対 SOC 2 対 SOC 3: 違い
次の表に、各 SOC レポートの目的と利点を示します。
| SOC1 | SOC2 | SOC3 |
| 試験手順と結果を含め、タイプ 1 設計およびタイプ 2 設計または操作に関する意見を示します。 | 結果や手順など、組織の運営に関するパートナーからの要求に対応する単一の成果物。 | SOC 2 コンプライアンスに似ていますが、含まれる情報は少なくなります。 テスト手順、結果、またはコントロールは含まれません。 |
| 財務報告に関する内部統制に不可欠な要件を管理します。 | 非財務管理は、主題に不可欠な 5 つの信頼原則に基づいて評価されます。 | また、5 つの Trust Services Criteria にも依存します。 |
| 顧客および監査人への限定配布 | 限られた流通規制当局、顧客、および監査人は、レポートで定義されます。 | クライアントのマーケティングを支援します。 無制限の配布 |
| システムの説明、制御、手順、および結果の透明性を維持します。 | SOC 1 とまったく同じレベルの透明性を提供します。 | マーケティング利益のためのレポートの一般的な配布。 |
| 財務管理に焦点を当てています。 | 運用管理に重点を置いています。 | SOC 2 に似ていますが、情報が少なくなっています。 |
| サービス組織のシステムについて説明します。 | また、サービス組織のシステムについても説明します。 | これは、システムに対する事業体の適切な管理に関する CPA の意見を記述しています。 |
| 内部統制を報告します。 | 可用性、プライバシー、機密性、処理の整合性、およびセキュリティ制御を報告します。 | SOC2に似ている |
| ユーザー管理者のオフィスとユーザー監査人は SOC 1 を使用します。 | これは NDA の下で、規制当局、経営陣などによって共有されます。 | 一般の方もご利用いただけます。 |
| ほとんどの監査人は「知る必要がある」です。 | ほとんどの利害関係者と顧客は「知る必要があります」。 | 一般市民 |
| 例: 医療請求処理業者。 | 例: クラウド ストレージ会社。 | 例: 公営企業。 |
結論
どの SOC コンプライアンスが組織に最も適しているかを判断するには、顧客のデータか自分のデータかにかかわらず、扱っている情報の種類を視覚化する必要があります。
給与処理サービスを提供している場合は、SOC 1 を使用することをお勧めします。顧客データを処理またはホストしている場合は、SOC 2 レポートが必要になる場合があります。 同様に、マーケティング目的に最適な、より正式なコンプライアンスが必要な場合は、SOC 3 レポートを使用することをお勧めします。