“性善説”で考えるセキュリティ、もうやめませんか？：【新連載】今日から始める「性悪説セキュリティ」（1/2 ページ）

cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載がスタート。国際的には浸透しつつある監査だが、その内容は徹底的に“性悪説”を基準にしているのが特徴なのだとか……。

[齊藤愼仁，ITmedia]

　こんにちは。アイレットのcloudpack事業部で情報セキュリティ管理を担当している齊藤愼仁です。

　突然ですが、読者の皆さんは自社の情報セキュリティをどのようにして評価していますか？　規模はさまざまだと思いますが、何かしらの対策や決まりごと、はたまた暗黙なルールや自制心などがあるのではないでしょうか。

　情報セキュリティが担保できているかどうかを評価するためには「一定の基準」が必要になります。その基準を用意してくれるのが外部の監査機関です。

“史上最強”の情報セキュリティ監査――「SOC2」って何ですか？

監査機関というと、日本国内ではプライバシーマーク制度が有名です

　セキュリティ監査と言えば、日本国内ではプライバシーマーク制度が有名ですが、これはあくまでも国内に限った話ですし、個人情報の取り扱いについてのみ言及されているもので、プライバシーマークを取得している企業だからといって、情報セキュリティが担保されていることの証明にはなりません。

　そこでISOをはじめとする多くの国際セキュリティ基準が存在するわけですが、この連載ではその基準の1つ、米国公認会計士協会（AICPA）が実施している監査「SOC2（サービス・オーガニゼーション・コントロール2）」について紹介していきます。

　端的に書くとSOC2は、“史上最強”の国際的情報セキュリティ監査だと私は考えています。国際的な大手IT企業における外部監査の受領状況を確認すると分かりますが、海外では既にSOC2が浸透しています。日本でもいくつかの会社がSOC2レポートを受領していますが、諸外国に比べると圧倒的に少ないのが現状です。

　これほど浸透していないのは、J-SOX法（内部統制報告制度）の存在や、日本語で対応できる監査機関が少ないこと、そして国内ではSOC2がビジネスに直結しない場合が多いため（SOC2がなければ案件が進まない、などということがない）だと思います。

「SOC2（サービス・オーガニゼーション・コントロール2）」は米国公認会計士協会（AICPA）が実施している監査です

　ではなぜ、それでも企業は「SOC2レポート」を取得したがるのでしょうか。それは、一定の基準で評価された監査内容とその結果、監査法人によるコメントがレポートとして記録され、取引先に対して提出できることに尽きます。

　取引先の立場からすれば、多くの情報セキュリティ監査は、その監査に合格し、資格を取得できたかできていないかという結果のみで判断せざるを得ません。具体的に何をしている会社なのか、実際にどんな監査だったのか、監査中の様子はどうだったか、どんな項目が指摘されたのかなど、SOC2はその全てがレポートに記載され、外部に公開できるのです。

　情報セキュリティにおける重要な要素に「透明性」というものがあります。このSOC2はその透明性が強く求められる監査だといえるでしょう。