SOC2 (System and Organization Controls for Service Organizations)

> テクノロジーリスク

クラウドサービスベンダーを含む外部委託業者に対して、情報セキュリティに係る内部統制を評価し、SOC保証報告書として提供します。

関連トピック アシュアランスサービス リスク テクノロジーリスク EY Digital Audit

チーム

梅澤 泉

梅澤 泉

EY新日本有限責任監査法人 Technology Risk事業部 副事業部長 パートナー

吉村 拓

吉村 拓

EY新日本有限責任監査法人 Technology Risk事業部 パートナー

受託者責任の遂行を可視化

常に変化する市場や厳しい競争環境の中、多くの企業は自らの経営資源をより効率的に活用するため、業務の外部委託を進めてきました。こうした動きは、企業(委託会社)に一定の成果をもたらしてきましたが、同時に、外部委託先の管理という課題を、より深刻化させることになりました。一方、業務を受託する側(受託会社)は、外部委託に関連する法規制、ガイドラインの整備などを背景に、委託会社のより厳しい目にさらされ、対応の負荷が高まっています。

こうした状況下、受託業務に係る内部統制の保証報告書は、委託会社と受託会社の双方のニーズに対応するものとして、多くの企業に利用されています。

EYができること

SOC2報告書の利用メリット

SOC2は、財務諸表監査や内部統制監査において、委託会社監査人が内部統制の評価に資するとともに、委託会社の内部統制に係る経営者評価にも利用可能です。

SOC2報告書の利用メリット

SOC2報告書の利用スキーム

SOC2報告書の利用スキーム

SOC2報告書の構成(※1)

報告書は「受託会社監査人の意見」、「受託会社の経営者の確認書」、「システムの記述」、「監査人が実施した運用評価手続とその結果」(※2)の4つのパートで構成されます。「システムの記述」のパートには受託会社がデザイン(整備)し、運用する内部統制の仕組みが詳細に記述されます。

※1 報告書の構成はSOC2+保証報告書の場合も同様です。

※2 デザインの評価と運用状況の評価を実施するタイプ2報告書の場合。デザインの評価のみを行うタイプ1報告書には、このパートはありません。

SOC2報告書発行までのロードマップ例

SOC2報告書発行までのロードマップ例

Trustサービスの原則と規準

SOC2は、選択する1つまたは複数のTrustサービスの原則と規準に基づいて評価、提供されます。SOC2はTrustサービスの原則と規準に、任意の評価規準を追加することができます(SOC2+)。

Trustサービスの原則と規準

SOC2報告書に係るEYの強み

私たちは受託会社監査人として、貴社の負担を最小限に抑え、委託会社にとって利用価値の高い高品質な報告書の作成を実現します。

SOC2報告書に係るEYの強み

第三者評価(SOCR/ISMAP/ISO)

委託業務に係る内部統制の状況を把握し、その有効性の評価に資する保証報告書(保証業務実務指針3402/AT-C320、以下「保証実3402/AT-C320 」)をはじめ、Trustサービス(情報システムの信頼性などに係る規準)に係る保証報告書の発行など、EYは第三者機関としての報告サービス(SOCR)を提供します。
ISO規格に基づくISO20000-1、ISO27001、ISO27017、ISO27018、ISO27701等の認証業務や、手続実施結果のみを事実に則して報告する「合意された手続」業務(Agreed-Upon Procedures Engagements)も提供するほか、政府情報システムのためのセキュリティ評価制度(以下、ISMAP:イスマップ)における監査機関としてISMAP情報セキュリティ監査業務も提供します。

詳細ページへ

  • SOC1 (System and Organization Controls for Service Organizations)

    資産運用・管理等の受託業務を取り巻く環境においては、受託会社が顧客の信頼を得るために、受託者責任を全うした結果の報告資料として、独立第三者による受託会社の内部統制に係る保証報告書( 保証実3402 / SSAE 18 / ISAE 3402 、以下SOC1 ) が活用されています。また、クラウドコンピューティングをはじめ、IT においても受託業務が広がる一方で、受託業務のブラックボックス化等の委託会社の抱く懸念の払拭(ふっしょく)が受託業務のカギとなります。受託者責任の遂行結果を目に見える形で委託会社に示す事により、受託業務の獲得または継続につなげる事が可能となります。
     

    詳細ページへ

     

  • SOC2 (System and Organization Controls for Service Organizations)

    常に変化する市場や厳しい競争環境の中、多くの企業は自らの経営資源をより効率的に活用するため、業務の外部委託を進めてきました。こうした動きは、企業(委託会社)に一定の成果をもたらしてきましたが、同時に、外部委託先の管理という課題を、より深刻化させることになりました。一方、業務を受託する側(受託会社)は、外部委託に関連する法規制、ガイドラインの整備などを背景に、委託会社のより厳しい目にさらされ、対応の負荷が高まっています。こうした状況下、受託業務に係る内部統制の保証報告書は、委託会社と受託会社の双方のニーズに対応するものとして、多くの企業に利用されています。

     

  • 政府情報システムのためのセキュリティ評価制度(ISMAP)

    政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 以下ISMAP:イスマップ)は、政府が求めるセキュリティ要求事項を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
     

    詳細ページへ

     

  • ISOマネジメントシステム認証、導入およびトレーニング

    ISOマネジメントシステム認証、導入、またはトレーニング業務は、ISO規格およびその他の確立された認証の枠組みに従って、マネジメントシステムの導入または認証業務を提供します。

    EY CertifyPoint B.V.は、2002年に設立されたEYの事業体であり、オランダに本部を置く、認定済みの独立性と公正性を備えた認証機関です。EY CertifyPointを通じて、EYのチームはリード・インプレメンターとリード・オーディターのコースを提供し、複数のISO規格に関する企業内の人材の認証もしています。
     

    詳細ページへ

     

EYの関連サービス

第三者評価(SOCR/ISMAP/ISO)

委託業務に係る内部統制の状況を把握し、その有効性の評価に資する保証報告書(保証業務実務指針3402/AT-C320、以下「保証実3402/AT-C320 」)をはじめ、Trustサービス(情報システムの信頼性などに係る規準)に係る保証報告書の発行など、EYは第三者機関としての報告サービス(SOCR)を提供します。

続きを読む
データ保護・プライバシー関連サービス

ITの進歩、ビジネスの変遷を背景とする各国法規制の強化、個人のプライバシー意識に対する高まり等の環境変化を受け、データ保護、プライバシー対応は企業の優先課題であり、またグローバルな取り組みが必要となっています。EYは、グローバルネットワークやLawファームとも連携し、企業における態勢強化のための取り組みを支援します。

続きを読む
セキュリティガバナンスサービス

技術の急速な進歩は、サイバー脅威の指数関数的な増加と相まって、技術インフラへのリスクエクスポージャーを増大させています。近年では、サイバーセキュリティインシデントによって生産設備が停止し、ビジネスの継続が困難になる事象や、決算をつかさどるシステムが停止し、決算遅延やその他会計数値に直接的な影響を与えるような事象も複数発生しています。また、従業員や部外者による不正アクセスや不注意による情報漏えい等も依然としてビジネスにおける脅威となっています。

続きを読む
ビジネス・ITプロセスとコントロールの構築支援サービス

今後顕在化が見込まれるリスクを事前に識別し、それに対応するITプロセスとコントロール対応を事前に実施する必要があります。

続きを読む
システム導入に伴うアセスメント及びプロセス高度化支援サービス

新システム導入はビジネス成長機会が生まれる一方リスクも増加します。EYはシステム監査・アセスメントでリスク軽減を支援します。

続きを読む
データ分析支援サービス

企業各部署でDX対応が求められる中、社内にある大量のデータを分析して新たなビジネスの視座を獲得することは有効かつ効率的なDX対応となります。監査におけるデータ分析の経験をもとに各種のデータ分析を支援します。

続きを読む
ITコンプライアンスサービス

ITコンプライアンスと規制の保証業務では、急速に変化する法律、規制、専門的な基準を企業が理解し、準備し、適切な報告が行えるよう支援します。この保証業務を通して、企業がより持続的かつ効率的に、規制および業種(政府、ヘルスケア、金融サービスなど)固有のテクノロジーコンプライアンス要件に対処できるよう支援します。例えば、以下の要件の順守をサポートします。

続きを読む
SOC1 (System and Organization Controls for Service Organizations)

クラウドサービスベンダーを含む外部委託業者(受託会社)に対して、委託元(委託会社)の財務報告に資するため、委託会社の財務報告に影響する内部統制を評価し、SOC保証報告書として提供します。

続きを読む
政府情報システムのためのセキュリティ評価制度(ISMAP)

政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 以下、ISMAP:イスマップ)は、政府が求めるセキュリティ要求事項を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、よってクラウドサービスの円滑な導入に資することを目的とした制度です。EYはISMAP監査機関リストに登録された監査機関としてISMAP制度の初期から世界中のクラウドサービス事業者に対して、豊富な情報セキュリティ監査及び予備調査等の実績を有します。また、本制度のうち、リスクの小さな業務・情報の処理に用いるSaaS サービスを対象とする仕組みであるISMAP for Low-Impact Use: ISMAP-LIU:イスマップ エルアイユーついてもEYでは情報セキュリティ監査および予備調査が可能です。政府における調達府省庁等はISMAPクラウドサービスリストまたはISMAP-LIUクラウドサービスリストに掲載されているクラウドサービスの中から調達を行うことを原則としています。また、政府のみならず一般企業においてもクラウドサービスの利用は近年拡大傾向にあり、今後より多くの企業においてクラウドサービスの利用が一般化・浸透していくことが想定されます。以上のことからも、クラウドサービス事業者にとってISMAPに登録されることの重要性が増してくると予想されます。

続きを読む
ISOマネジメントシステム認証、導入支援およびトレーニング

ISOマネジメントシステム認証、導入支援およびトレーニング業務は、ISO規格およびその他の確立された認証の枠組みに従って、マネジメントシステムの導入支援および認証業務を提供します。

続きを読む
セキュリティ監査・アセスメントサービス

近年のデジタルトランスフォーメーション(DX)の進展や、IoT機器の普及、サイバー犯罪の進化、テレワーク等の勤務環境の変化により、セキュリティリスクが高まっています。セキュリティリスクに対して十分な対応を行い、企業価値を維持するためには、セキュリティ対策状況についての現状の診断及び改善に向けた目標の設定と改善点の明確化を行うことが必要です。EYでは、サイバーセキュリティを含む監査実績を基に、監査目的に合致したクライテリアで評価を行い、課題の抽出及び具体的な改善案を提示します。また、EYのグローバルなネットワークを活用し、海外拠点に対する監査・診断も対象スコープに含めることで、グローバル全体での管理態勢の維持・向上に貢献します。

続きを読む
セキュリティポリシー策定支援サービス

セキュリティポリシーの策定は、企業や組織が情報セキュリティを保つための全体的な指針や方針を定める重要なプロセスです。セキュリティポリシーが存在しない場合、組織内の対応が一貫したものにならない。または、責任が明確にならず適切なセキュリティリスクへの対応が行われない可能性があります。また、企業や組織を取り巻くIT環境の変化やサイバー脅威の高まりによりセキュリティリスクは日々進化しております。これらの変化にセキュリティポリシーが対応できていない場合には、セキュリティ対策が陳腐化し、セキュリティリスクへの適切な対応ができない可能性が高まるため、定期的にセキュリティポリシーを見直し、適切なセキュリティ対策を維持することが重要です。

続きを読む
クラウドセキュリティ・ガバナンス構築支援サービス

近年、企業や組織がデジタルトランスフォーメーション(DX)を推進する中、DX推進に不可欠なクラウドサービスの利用拡大の動きが加速しています。クラウドサービスは新規サービスの登場や機能追加等、変化が激しいため、利用する企業や組織にとっては膨大なクラウドサービスを安全に使いこなすための実践的な管理態勢構築の重要性が増してきています。クラウドサービスを安心・安全に利用するには、技術的なセキュリティ対策にとどまらず、コンプライアンスや法規制への対応等のガバナンスも含め、幅広い領域での検討が必要です。

続きを読む
OTセキュリティサービス

現在、制御系システム(OT“オペレーショナルテクノロジー”)でサイバーセキュリティインシデントが多数発生しています。現在の製造業では、各サプライヤー、工場、外部委託先を含め、グローバルのサプライチェーン上で各種のコンピューターや機器が接続されています。これらの機器については、古い世代のOS(オペレーティングシステム)で稼働し、そこでの各種脆弱(ぜいじゃく)性をついた攻撃も増加し、それが原因で業務が停止し、大規模な経済的損失が発生しているケースが増えています。EYでは、制御系システムのセキュリティについてもリスク評価を実施してきた経験を生かし、OT領域のセキュリティ監査サービスを提供します。通常のセキュリティ監査は監査対象となる情報システムや機器を把握し各種標準(ISO27000シリーズやIEC62443)をもとに監査を進めますが、OTセキュリティではIPA等がガイダンスとして提示しているリスクシナリオベースに監査を進めることで、効果的、かつ効率的な監査サービスを提供することが可能となります。

続きを読む
サイバーセキュリティ戦略・ロードマップ策定・実行支援サービス

サイバー攻撃の増加・高度化、デジタルトランスフォーメーションやAIをはじめとする新興技術の進展、リモートワークの拡大や各国のセキュリティ関連の法規制の強化に伴い、情報漏えいやランサムウェア攻撃等のインシデントが経営へ与えるインパクトも深刻化しており、組織が直面するセキュリティ上の検討課題もテクノロジーにとどまらず、人・組織・プロセス等のあらゆる領域へ広がっています。このような中、効果的に組織のセキュリティ強化を図っていくためには、自組織における現状のCapabilityを可視化した上でセキュリティリスクを把握し、リスクの深刻度に応じた課題の優先順位付けを行い、限られた経営資源を重点的に優先度の高いセキュリティ施策へ投下していくことが必要不可欠です。

続きを読む
パブリック(公的機関)向けサービス

EYはパブリックセクターにおける先駆者として、多くの公的機関に対して監査及び保証サービスを提供してきました。この豊富な経験と深い専門知識をベースに、情報セキュリティ評価や監査に係る包括的なサービスを展開しています。パブリック(公的機関)における情報セキュリティ対策では、「政府機関等のサイバーセキュリティ対策のための統一基準群(以下、政府統一基準群)」内閣サイバーセキュリティセンター:(NISC))の他、関連省庁のガイドラインを順守する必要があります。他方、各組織を取り巻く環境は日々変化しており、情報セキュリティに関するリスクは高まる一方です。EYでは、政府統一基準群や各省庁のガイドラインに定められる基本的な順守事項のみならず、各組織における情報の重要性や業務特性を理解した上で、リスクを適切に把握し、クライアントにとって最適な助言と支援を行います。

続きを読む
サイバーセキュリティ内部統制構築支援サービス

サイバー空間をめぐる脅威は、日々高まりを見せ、その高度化は複雑さを増しています。それに伴い、監査基準委員会報告書315「企業及び企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」においてセキュリティに係る重要性がうたわれるようになり、日本公認会計士協会テクノロジー委員会研究文書報告第10号「サイバーセキュリティリスクへの監査人の対応(研究文書)」が公開される等、財務諸表監査でもサイバーセキュリティリスクへの対応が求められるようになりました。また、2024年4月1日から始まった事業年度から適用となる「財務報告に係る内部統制の評価及び監査に関する実施基準」(通称:J-SOX)の改訂においても「情報システムに係るセキュリティの確保が重要」と明記されています。これらを受け、企業や組織はサイバーセキュリティリスクに対応した内部統制の構築・運用が求められています。

続きを読む
財務報告に係るIT内部統制の構築、高度化サービス

企業が効率的・継続的に内部統制報告制度に対応するために、グループ会社を含む自社の財務報告に係る内部統制の構築及び評価範囲、文書化・評価項目、運営体制などの現状を診断の上、効率化・高度化をEYのプロフェッショナルが支援します。

続きを読む
デジタル内部統制に対するサービス

企業のデジタル化の進展により、ERP導入、クラウド化、業務プロセスの自動化が進む中で、内部統制は複雑化し、新たなリスクへの対応が求められています。新技術を導入することによって顕在化したリスクに対し、EYの知見を使って、適切な内部統制の構築を提案します。

続きを読む
Trusted Information Security Assessment Exchange(TISAX)

ドイツ自動車工業会(以下、VDA)は、自動車サプライチェーンにおける情報セキュリティマネジメントシステム(以下、ISMS)の評価について、国際的に認められた統一アプローチを開発 し、確立しました。2016年以来、 European Network Exchange(以下、ENX) は Trusted Information Security Assessment Exchange (以下、 TISAX ) の統治機関として機能しており、VDAおよび審査機関と緊密に協力して、TISAXプロセスと運用基準をさらに開発しています。EYは、TISAXの正式な審査機関として承認された最初の審査法人です。それ以来、EYは自動車産業向けの中規模および大規模サプライヤーのTISAX評価の準備やTISAX審査法人としてサポートしてきました。ISMSの成熟度を相手先Original Equipment Manufacturing (以下、OEM)へ証明することは必須となっており、サプライヤーにとってビジネスに不可欠な基準になる可能性があります。2018年以降、TISAXは他国の自動車協会や他業界からも認められており、このアプローチのさらなる普及が予想されます。*ドイツのEYメンバーファームがTISAXの審査機関となります。

続きを読む
Environment, social and governance(ESG)

投資家、規制当局、そして社会全体が、特にESGの問題に関して、非財務パフォーマンスの透明性を高めることを求めています。各国・各地域におけるサステナビリティ制度開示(CSRD、SEC、有報、ISSBなど)に向けた対応でも、エネルギー消費量、温室効果ガス(GHG)排出量(スコープ1、2、3)、水使用量、廃棄物排出量、PRTR対象化学物質、ダイバーシティ・人的資本・労働安全衛生に関する指標などさまざまなサステナビリティ指標があります。当該指標の生成にはさまざまなITシステム、テクノロジーが利用されており、内部統制の構築・運用も必要となってきます。また、合理的保証に際しては、内部統制の評価も必要となってきます。

続きを読む
AIシステムに関連する内部統制評価、構築支援サービス

AI技術の進展は企業にとって革新的な変革をもたらす一方で、新たなリスクやガバナンスの課題を引き起こします。私たちは、AIに関する内部統制を支援する専門家チームとして、企業がこれらの挑戦に対応し、信頼性の高いAIシステムを実現するためのサービスを提供しています。当社のアドバイザリーサービスは、AIのリスク管理、コンプライアンス、倫理的な使用を確保するための内部統制フレームワークの策定と実装をサポートします。

続きを読む
EY Japan Assurance Hub

EY Japan Assurance Hub

時代とともに進化する財務・経理に携わり、財務情報のみならず、非財務情報も統合し、企業の持続的成長のかじ取りに貢献するバリュークリエーターの皆さまにお届けする情報ページ 

詳細ページへ

 

お問い合わせ

詳細をご希望の場合はお問い合わせください。