SOC2とは
SOC2報告書とは、受託会社(サービス提供者)のシステムのセキュリティ等に関する内部統制の整備および運用状況を、第三者である監査人が評価した保証報告書です。
ISMSとの違いとして、以下の点が挙げられます。
- SOC2は「認証」ではなく、「レポート」形式で発行される。そのため、情報セキュリティに係る内部統制の内容や、監査人によるテスト結果が詳細に開示される。
- ISMSは、組織全体の情報セキュリティマネジメント体制(PDCAやリスク管理体制)を対象とするのに対し、SOC2は、特定のサービスやシステムにおける、より具体的・技術的な内部統制が「整備され、かつ有効に運用されているか」を第三者が保証する制度である。
また、評価の基準となるのが、AICPA(米国公認会計士協会)が定める「トラストサービス基準(Trust Services Criteria / TSP Section 100)」です。
この基準には以下の5つのカテゴリーが設定されています。
- セキュリティ※必須
- 可用性
- 処理のインテグリティ
- 機密保持
- プライバシー
SOC2の評価対象とするカテゴリーは、これらの中から選択します。
SOC2の取得目的
取得のメリット
SOC2は単なるセキュリティの保証ではなく、営業力を高め、企業の信頼性を国際水準で証明する極めて実効性の高いビジネスツールです。特に以下のような企業において、SOC2取得が大きな価値をもたらしています。
顧客からの信頼獲得
公共性の高いサービスや顧客情報を多く扱う企業にとって、サービスの安全性と信頼性を客観的に証明することは重要です。
SOC2は、独立した第三者(監査法人など)が実施する保証業務であり、ISMSやPマークよりも一歩踏み込んだ評価を得ることができます。
グローバル展開や外資系顧客への営業強化
SOC2は国際的にスタンダードな保証制度であり、米国企業や外資系企業への営業活動において事実上の前提条件とされることも少なくありません。
これからグローバル展開を目指す企業にとっては、営業ツールとして不可欠な認証と言えます。
情報セキュリティチェック対応の簡略化と効率化
金融機関や上場企業などから提出を求められる情報セキュリティチェックシートの対応には、多くの工数がかかります。
しかし、SOC2を取得していれば、「SOC2レポートの提出」のみで代替可能なケースが多く、対応工数の大幅削減が期待できます。
カスタマー対応の事務コスト削減
金融機関や上場企業などから提出を求められる情報セキュリティチェックシートの対応には、多くの工数がかかります。
しかし、SOC2を取得していれば、「SOC2レポートの提出」のみで代替可能なケースが多く、対応工数の大幅削減が期待できます。
SOC2レポートの
記載内容について
SOC2レポートは、一般的に以下の4つのセクションで構成されています。
- Section 1:監査人の意見
- Section 2:受託会社の確認書
- Section 3:システム記述書
- Section 4:監査人が実施した運用評価手続および当該手続の結果
Section 3(システム記述書)およびSection 4(監査人の評価手続およびその結果)は、SOC2レポートの中でも最も重要な構成要素です。
システム記述書(Section 3)について
システム記述書は、SOC2レポートを取得する会社自身が作成する文書であり、非常にボリュームのある重要なドキュメントです。
この記述書には、以下の情報が含まれます。
-
提供するサービスの種類
対象となるシステムが提供するサービスの概要
-
主要なサービスコミットメントおよびシステム要求事項
委託会社(サービス利用者)などに対して宣言されたサービス内容のうち、選択されたTrustサービスカテゴリー(例:セキュリティ)に関連するコミットメントと、それを達成するために設計された社内システムの要求事項
-
業務提供に利用されるシステムの構成要素
対象システムの構成要素であるインフラ、ソフトウェア、人員、手続き、データなど
-
識別されたインシデントの内容
対象期間中に識別されたインシデントの概要(Type2で該当がある場合)
-
サービスの提供に関する内部統制
サービスコミットメントおよびシステム要求事項が満たされるよう、合理的な保証を提供するために設計された関連内部統制。
※Trustサービス基準(TSC)との関連性が分かるように記載する -
相補的な委託者の内部統制
委託者側(サービス利用企業)が整備・運用すべき内部統制。
-
相補的な再受託会社の内部統制
再委託先企業が整備・運用すべき内部統制。
監査人が実施した運用評価手続および当該手続の結果(Section 4)について
監査人が実施した運用評価手続および当該手続の結果(Section 4)は、Type2レポートにのみ記載されます。
このセクションは、会社ではなく、監査人の実施基準(監査人向けの業務基準)に基づいて記載されるものであり、監査人が作成する箇所となります。
(参考リンク)
SOC2レポートの取得状況
近年、クラウドサービスやSaaS型ビジネスの拡大に伴い、受託者(サービス提供者)の情報セキュリティに対する信頼性の担保が、取引継続や新規導入の前提条件となりつつあります。特にSOC2レポートの取得は、その信頼性を証明する有力な手段として、急速に普及が進んでいます。
米国では「SOC2取得済み」が事実上のスタンダード
アメリカでは、クラウドサービス企業の約9割がSOC2を取得済みとされており、もはやSOC2取得は「選択肢」ではなく「必須要件」となっています。特に金融・ヘルスケア・テクノロジー業界においては、SOC2がないと商談すら成立しないというケースも少なくありません。
日本国内でも取得要請が急増中
一方、日本ではまだSOC2を取得している企業は一部にとどまるものの、金融機関や上場企業を中心に取得要請が着実に増加しています。また、米国進出を予定している企業や、日系の金融機関・大企業を顧客にもつ企業にとっては、SOC2は実質的に取得必須となるケースが増えつつあります。
取得企業は右肩上がり、今後も加速へ
AICPA(米国公認会計士協会)の調査によると、SOC2の取得企業数は2020年から2023年の間で42%増加(2,600社 → 3,688社)したことが報告されていますが、これは一部の監査法人(51社)を対象とした調査結果にすぎません。実際にはさらに多くの企業が取得しています。
今後の展望と推奨アクション
- ここ1年で、SOC2取得に関する問い合わせやプレスリリースが急増しており、市場の関心は一段と高まっています。
- 実際に公表していないだけで、水面下で取得準備を進めている企業も多数存在します。
- SOC2取得には6カ月~1年程度の期間を要するため、いざ必要となったときには「すでに競合は取得済み」「取引条件として必須化されている」という手遅れリスクが発生しかねません。
今後の事業成長や信頼性向上を見据え、早期かつ前広にSOC2取得に向けた準備を開始することが、将来的な競争優位に直結するといえるでしょう。
| SOC2 | ISO27001 | ISO27017 | |
|---|---|---|---|
| レポートor認証系 | レポート系 | 認証系 | 認証系 |
| 日本取得率※1 | 30% | 100% | 95% |
| 欧米取得率※1 | 95% | 70% | 65% |
(※1)国内のクラウド事業者10社、海外のクラウド事業者20社が対象(2021年9月時点)
(関連リンク)
SOC2レポート取得までの
費用と期間
SOC2の取得は、通常「①準備 → ②Type1 → ③Type2」の3ステップで進みます。
まず、2〜3カ月程度かけて内部統制の整備・改善を行う準備フェーズがあり、その後「整備状況を時点評価」するType1を約1カ月で取得。さらに「運用状況を期間評価」するType2の取得には、対象期間(3〜6カ月程度)+検証期間1カ月がかかるため、全体で6カ月〜1年程度を想定するのが一般的です。
費用は監査報酬だけでなく、社内の対応工数やGRCツール導入費用、報告書取得の遅延による売上機会損失など、“見えにくいコスト”も無視できません。
そのため、SOC2の費用は「単価」ではなく「トータルコスト」での判断が重要です。
SOC2 - 取得までのスケジュール例
SOC2をもっとご理解していただくための
SOC2 ナレッジ&コラム
SOC2に関する各種情報をご提供しております。
-
- COLUMN
SOC2_令和監査法人(メネサイド)の強み
トータルで最適なSOC2取得を実現する、信頼のパートナー 近 ...more
-
- COLUMN
ぞくぞくふえる日本企業の取得事例
2024年以降、日本企業によるSOC2保証報告書の取得が急増 ...more
-
- COLUMN
VantaによるSOC2取得_弊社のご支援
― 経験と対話力で支える、貴社のSOC2取得 ― Vanta ...more
-
- COLUMN
Vanta × SOC2取得_インテグレーション編
~ 自動テストを活用するための実務ポイント ~ コラム「Va ...more
-
- COLUMN
Vanta × SOC2取得_内部統制整備/エビデンス収集編
~ よくあるつまずきと実践的な対応策 ~ SOC2の取得に向 ...more
-
- COLUMN
Vanta × SOC2取得_統制記述書作成編
~ 実態に即した開示とセキュリティのバランスをどう取るか ~ ...more
-
- COLUMN
Vanta × SOC2取得_監査法人選定編
監査法人選定のポイント(VantaやDrata等利用時) V ...more
-
- KNOWLEDGE
再受託会社の扱い_除外方式とは?
受託会社が受託業務の一部を再委託する場合における、受託会社の ...more
-
- KNOWLEDGE
相補的な内部統制
委託会社(サービス利用者)が、受託会社(サービス提供者)のS ...more
-
- COLUMN
SOC2報告書におけるカテゴリの傾向
CBIZの’’2024 SOC BENCHMARK REPO ...more
令和監査法人(メネサイド)の強み
トータルで最適なSOC2取得を実現する、信頼のパートナー
近年、SOC2の取得は「あると信頼される」ものから「なければ選ばれない」条件へと進化しています。
こうした中、どの監査法人に依頼するかが、取得の成否を左右するといっても過言ではありません。
では、どのような監査法人を選ぶべきでしょうか?
-
実績と専門性が取得の成否を左右する
SOC2はトラストサービス基準に基づく保証業務であり、その内容は抽象的で判断も複雑です。取得に必要な内部統制の整備、記述書の作成、エビデンスの収集・整理など、専門的かつ多岐にわたる対応が求められます。
令和監査法人/メネサイドでは、大手監査法人で経験を積んだ会計士や情報セキュリティの専門家が多数在籍。豊富なSOC2提供実績の知見を活かし、Readiness check(Fit & Gap分析)からType1・Type2取得まで、最短ルートかつ高品質での支援を提供しています。 -
Vanta対応力 × 高効率な取得サポート
VantaやDrataなどのGRCツールを活用した支援実績も豊富で、ツールの特性を理解したうえで、不要な対応や過剰な統制の回避など、コストと負担を抑えた合理的な支援が可能です。
また、Vanta上の内部統制設定やエビデンス収集、Automated Testの除外判断に関する監査人との視点合わせといった、ツールを使った実務に即した相談も行い、効率的にSOC2取得を支援しています。 -
英語レポートにも完全対応
英語ネイティブの会計士が在籍しており、英語でのSOC2レポート発行にも完全対応。海外展開を視野に入れた企業様、グローバル企業と取引のあるクライアントにも安心してご利用いただけます。
高品質 × 適正価格 ― トータルコストで選ばれる理由
「監査報酬が安いから」では、SOC2取得は成功しません。
大切なのは、プロジェクト全体にかかる総コスト(時間×人件費×品質×スピード)で判断することです。
令和監査法人/メネサイドでは、大手に匹敵する品質とノウハウを維持しつつ、柔軟で効率的な体制により、国内外問わず“最も合理的なコスト感”でのSOC2取得を実現しています。
実際に、他の日本の監査法人や海外監査法人と比較されたお客様からも、
-
「最終的なトータルコストで考えると、御社が一番合理的だった」
という評価を多数いただいています。
最短・高品質・最安
SOC2取得の最適解をお求めなら、ぜひ私たちにご相談ください。
グループ代表取締役 / 令和監査法人代表社員
及川 翔太
公認会計士・税理士
-
委員・社外役員等
東京都SusHi Tech Tokyo 2024グローバルスタートアッププログラム委員会 外部監査人
-
略歴
一橋大学商学部卒業後、PwCあらた有限責任監査法人シニアマネージャーを経て、株式会社メネサイドを創業し、現在に至る。
-
実績
PwCでは資産運用セクターに所属し、国内及び海外の資産運用会社及びファンドの会計監査、SOC業務と言われる内部統制に係る保証業務、金融規制のアドバイザリー、内部監査支援のプロジェクトをリードした。2018年から2020年にかけて、PwCボストンオフィスに出向し、米国資産運用業界に対する監査経験を持つ。
2023年1月に株式会社メネサイドを創業し、SOC1/2の支援、内部監査、監査役監査等のガバナンス構築支援を中心に、IPO支援や、財務DDやValuation等の業務提供も行っている。
また、令和監査法人の代表社員として、監査業務やSOC1/2の保証業務も提供している。
SOC2に関することは
下記よりお気軽にご相談ください
- ご相談無料
-
03-4400-0928電話受付|9:00-17:00(土日・祝日除く)
