SOC2コラム

SOC2 Column

【SOC2取得への道のり】 Fit and Gap (プレ評価)

SOC2レポートの発行に向けた準備として、最初に実施するのがFit & Gap(Readiness Check / プレ評価)です。

このフェーズでは、自社の現在の運用を整理し、SOC2検証に向けてどのような対応が必要になるかを明確にします。表現の通り、「現状(Fit)」と「改善事項(Gap)」を整理することが目的です。

本記事では、弊社が実施しているFit & Gap(プレ評価)の進め方についてご説明します。

Fit & Gap(Readiness Check / プレ評価)の進め方

① 対象システムの整理

最初に行うのは、対象とするプロダクトの全体像を整理することです。

利用しているクラウドサービスや自社管理下にある物理サーバの有無等のインフラ構成、顧客契約時に選択可能な各種オプション、オンプレミスのアプリであるかブラウザ経由で使用するのかなど、サービス提供の前提となる情報を整理します。

また、オプションや利用方法によっては、SOC2レポートの対象外とする部分が明確になることもあります。

この整理は単なる前提説明ではなく、その後のヒアリングを進めるうえでの土台となります。

例えば、変更管理一つをとっても、

  • 一つの変更(リリース)がすべての顧客に影響する構成なのか
  • 顧客ごとに環境が分かれており、個別に変更が発生するのか

といった前提によって、求められる統制の考え方が変わります。

このような構成の違いは、その後のヒアリング内容やQAシートの質問項目にも影響します。

この段階で、自社のシステム構造と運用の前提を明確に伝えられるよう整理しておくことが重要です。

② 現状の内部統制の整理

次に、自社で実施している内部統制を整理し、監査法人に説明するフェーズに入ります。

弊社では、クライアントの負担軽減の観点から、自社で作成した独自のQAシートをベースにご回答いただく方法を採用しています。

このQAシートは、回答していく過程で「どのような統制が存在しているのか」「どこが曖昧なのか」が自然に見えてくるよう、観点を細分化して設計しています。

例えば、ある統制に関する規程の整備状況一つを取っても、

  • 規程自体が存在していないのか
  • 規程は存在するが、社内への共有が不十分なのか
  • 規程はあるものの、内容の粒度や網羅性に改善余地があるのか
  • 規程は整備されているが、定期的な見直しが行われていないのか

といった観点で整理することで、単に規程の有無を確認するのではなく、改善ポイントを具体的に把握できるようにしています。

また、QAシートへの回答とあわせて、それぞれの内容を裏付けるエビデンス資料もこの時点でご提出いただきます。

規程類、ログ、設定画面、運用記録などを対応付けることで、記述と実態の整合性を早い段階で確認できるようにしています。

このように、回答しやすい形で設計されたQAシートを用いることで、各担当者の対応コストを抑えつつ、実態に即した内部統制の整理が可能となります。

結果として、SOC2取得プロジェクト全体の進行にも寄与すると考えています。

③ ヒアリング

QAシートで整理した内容および提出された資料を前提として、ご担当者へのヒアリングを実施します。

ヒアリングは、QAシートや資料だけでは確認しきれない事項に絞って実施します。

事前に論点を整理することで、担当者の負担を抑えつつ必要な確認に集中します。

具体的には、以下のような点を中心に確認します。

  • スクリーンショットや資料だけでは読み取れない実際の運用フロー
  • 今後予定されているプロセス変更の有無
  • 監査対応を見据えた証跡の残し方や運用の考え方

また、特定の統制が実施されていない場合には、その背景や相補的統制の有無を確認します。

単に未実施として整理するのではなく、「なぜ現状その運用となっているのか」「他の統制でどのようにリスクがカバーされているのか」といった点を把握することで、形式的な改善指示ではなく、現場の納得感を踏まえたコメントにつながると考えています。

④ 改善事項および対応計画の整理

整理された内容をもとに、どの部分に対応が必要かを検討していきます。

ここで出てくる改善事項は、ツール導入を伴うものから、運用の見直しや記述の整理によって対応可能なものまで多岐にわたります。

改善事項によっては、個別に見た場合には対応が必要と考えられる事項であっても、統制全体の構造を踏まえることで、既存の統制によって補完可能と判断できるケースもあります。

この段階では、単に課題を列挙するのではなく、

  • どの水準まで整備するのか
  • どの順序で対応を進めるのか
  • どの領域にリスクが残るのか

といった点を整理し、SOC2検証に向けた現実的な対応方針を合意します。

まとめ

Fit & Gap(Readiness Check / プレ評価)を通じて、自社の運用を言語化することで、現状の内部統制がどの水準にあるのかが明確になります。

あわせて、SOC2検証に入るまでに対応が必要な事項、その優先順位、対応に要する期間の見通しが整理され、SOC2レポート発行までのタイムラインが具体的に見えてきます。

SOC2対応は、既存の運用を整理する側面に加え、新たな統制の整備やツール導入が必要になるケースも多くあります。

現状と目指す水準のギャップを早い段階で把握しておくことで、無理のない進め方が見えてきます。

SOC2 Fit & Gap(プレ評価)の流れ
Fit & Gap(プレ評価)の一般的な進行イメージ

関連記事

«
»

コラム一覧

当社のサービス・ご相談は
下記よりお問合せください。