トップ > ITガバナンス > SOC1 タイプ1とタイプ2の違いとは?情シスが教える監査報告書の選び方・使い方

SOC1 タイプ1とタイプ2の違いとは?情シスが教える監査報告書の選び方・使い方

ITガバナンス 組織内規定・ルール
プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

はじめに:クラウド時代に必須の「SOC1レポート」とは?

こんにちは、企業の情シスでセキュリティを担当している城咲子です。

クラウドサービス(SaaS)や業務委託先の選定・管理は、情シスにとって重要なミッションの一つですよね。その際、「このベンダーは本当に信頼できるのか?」を客観的に評価するために不可欠なのが、SOC(System and Organization Controls)レポートです。

今回は、その中でも特に財務報告に関わる「SOC1レポート」について、「タイプ1」と「タイプ2」の違いを中心に、情シス担当者の視点でどこよりも分かりやすく解説します。

「名前は聞くけど、違いがよく分からない…」 「ベンダーから提示されたけど、どこを見ればいいの?」

そんな疑問を解消し、自信を持ってベンダー管理ができるようになりましょう。

SOC1レポートの基本:財務報告の信頼性を担保する「健康診断書」

まず、SOC1レポートが何であるかを正確に理解しましょう。

SOC1レポートとは、外部委託サービス(受託会社)が、顧客(委託会社)の財務報告に影響を与える業務について、内部統制がどのように整備・運用されているかを、第三者である監査法人が評価した報告書です。

例えば、給与計算や請求書発行システムを外部のSaaSに委託している場合、そのシステムの不具合や不正操作は、自社の財務諸表の数字を誤らせる直接的な原因になり得ます。

SOC1レポートは、そうしたリスクに対してベンダーが適切な対策(内部統制)を講じていることを証明する、いわば「サービスの信頼性に関する健康診断書」のようなものです。これは、自社のIT統制を確保し、ITガバナンスを維持する上でも極めて重要な要素となります。

ITガバナンスの全体像については、以下の記事で詳しく解説していますので、併せてご覧ください。 【情シス担当者必見】ITガバナンスとコンプライアンス遵守のための実践ガイド

【徹底比較】SOC1 タイプ1とタイプ2の違いは「時点」と「期間」

さて、本題の「タイプ1」と「タイプ2」の違いです。この2つの最大の違いは、評価の「時間的な範囲」「深さ」にあります。

一言でいうと、以下のようになります。

  • タイプ1: 特定の日の統制状況を評価した「スナップショット(静止画)」
  • タイプ2: 一定期間の統制状況を評価した「ビデオ記録(動画)」

SOC1 タイプ1レポート:特定時点の「設計と整備」を評価

SOC1 タイプ1レポートは、特定の基準日(例:2025年3月31日時点)における内部統制の「設計(Design)」「整備(Implementation)」の適切性を評価します。

  • 評価内容:
    • 設計: そもそも、財務報告に関するリスクを低減するためのルールや仕組みが、適切にデザインされているか?
    • 整備: そのルールや仕組みが、基準日時点で実際に導入・配置されているか?
  • ポイント: あくまで「その日時点」での評価です。ルールが正しく作られ、存在しているかまでは分かりますが、日常的にそのルール通りに運用されているかまでは保証しません。

SOC1 タイプ2レポート:一定期間の「運用状況の有効性」まで評価

一方、SOC1 タイプ2レポートは、一定期間(通常6ヶ月~12ヶ月)における内部統制の「設計」「整備」に加えて、「運用状況の有効性(Operating Effectiveness)」まで評価します。

  • 評価内容:
    • タイプ1の評価内容(設計と整備)
    • 運用状況の有効性: 設計されたルールや仕組みが、評価期間中、継続的に、かつ、意図した通りに機能していたかをテストし、評価します。
  • ポイント: 監査人は、実際の運用記録(ログや承認履歴など)をサンプリング調査し、統制が有効に機能しているかを確かめます。そのため、タイプ1よりもはるかに高い保証レベルを提供します。

違いが一目でわかる比較表

項目 SOC1 タイプ1 SOC1 タイプ2
評価対象期間 特定の時点(スナップショット) 一定期間(例:6ヶ月~12ヶ月)
評価内容 設計・整備の適切性 設計・整備の適切性+運用状況の有効性
保証レベル 限定的 高い
監査工数 比較的少ない 多い
主な利用シーン 新規ベンダーの初期評価、迅速な確認 継続的なベンダー管理、厳格な監査対応

【情シス担当者の視点】どちらのレポートを、いつ、どう使うべきか?

では、私たち情シス担当者は、この2種類のレポートを実務でどう使い分ければよいのでしょうか。

新規ベンダーの選定時

新規にサービスを選定する際は、まず最新のタイプ2レポートの提出を求めるのが基本です。もしベンダーがタイプ2を取得していない場合、その理由を確認する必要があります。

設立間もないスタートアップなどでタイプ2の取得が間に合わない場合は、次善の策としてタイプ1レポートで設計・整備状況を確認しつつ、契約書で将来的なタイプ2レポートの取得と提出を義務付けるといった対応が考えられます。

既存ベンダーの継続評価時

すでに利用しているサービスについては、タイプ2レポートを毎年必ず入手し、内容を精査することが不可欠です。

特に注目すべきは、「例外事項(Exception)」のセクションです。ここで報告されているのは、「統制が有効に機能しなかった事例」です。例外事項の内容と、それに対するベンダーの改善策を確認し、自社への影響を評価することがリスク管理の鍵となります。

【発展】SOC1だけじゃない!SOC2、SOC3レポートとの違い

SOCレポートには、SOC1の他にSOC2SOC3もあります。情シスとしては、こちらの違いも理解しておくことが非常に重要です。

  • SOC1: 財務報告に関する内部統制を評価
  • SOC2: セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーの5つの原則(Trustサービス規準)に関する内部統制を評価
  • SOC3: SOC2レポートの要約版。機密情報を含まないため、Webサイトなどで一般に公開されることが多い。

個人情報や機密情報を扱うサービスであれば、財務報告への影響だけでなく、セキュリティ体制そのものを評価するSOC2レポートの確認が必須と言えるでしょう。

よくある質問(FAQ)

Q1. SOCレポートはどこで入手できますか? A1. 通常、サービス提供会社(ベンダー)に直接請求することで入手できます。多くの場合、NDA(秘密保持契約)の締結が必要です。SOC3レポートはベンダーの公式サイトで公開されていることもあります。

Q2. レポートに有効期限はありますか? A2. 明確な有効期限はありませんが、レポートは過去の期間を対象としているため、常に最新版を確認することが重要です。一般的に、発行から1年以上経過したレポートは、現状を反映していない可能性があると判断されます。

Q3. 海外のサービスでもSOCレポートはありますか? A3. はい。SOCレポートは、もともと米国公認会計士協会(AICPA)が定めた基準であり、グローバルで広く利用されています。海外の主要なクラウドサービス(AWS, Google Cloud, Microsoft Azureなど)は、各種SOCレポートを取得・公開しています。

まとめ:SOCレポートを使いこなし、賢いベンダー管理を実現しよう

今回は、SOC1レポートのタイプ1とタイプ2の違いについて、情シス担当者の視点から解説しました。

  • SOC1レポートは、委託先の財務報告に関する内部統制を評価する報告書
  • タイプ1は「特定時点」の設計・整備を評価するスナップショット
  • タイプ2は「一定期間」の運用有効性まで評価する、より信頼性の高い動画記録
  • 情シスとしては、基本的にタイプ2レポートを重視し、継続的に内容をチェックすることが重要
  • セキュリティ評価にはSOC2レポートも併せて活用する

SOCレポートは、外部委託に伴うリスクを適切に管理し、自社のITガバナンスを強化するための強力なツールです。これらの知識を活用して、より安全で信頼性の高いサービスを選び、ビジネスに貢献していきましょう。