IIJ GIOインフラストラクチャーP2 内部統制評価保証基準「SOC2 Type1」報告書を受領しました。

カテゴリー: サービスアップデート   パーマリンク
このエントリーをはてなブックマークに追加

こんにちは。鍋倉です。

今回は、IIJ GIOインフラストラクチャーP2(以下IIJ GIO P2)に対して、
内部統制を評価する保証基準SOC2 Type1報告書を受領したご報告を兼ね、SOC2 Type1報告書について簡単に触れたいと思います。

■SOC2報告書とは

SOC2報告書は、アメリカ公認会計士協会(AICPA)が定めた”Trustサービスの原則と規準”に基づいて評価される、受託業務に関する内部統制の報告書となります。
IIJ GIO P2はIaaS(システムインフラを提供するサービス)ですので、お客様にシステムインフラをご提供することを、”受託業務”として捉えて頂ければと思います。

SOC2の報告書では、時点評価である”Type1”と、期間評価である”Type2”があります。今回IIJ GIOP2は、SOC2 Type1の報告書を受領しておりますが、SOC2 Type2報告書 (期間評価)の受領に向けた準備を現在進めています。(※1)

(※1) SOC2 Type1,2の違いについては、こちらの記事をご覧ください。

■Trustサービスの原則と規準とは

“Trustサービス”とは、システム(IIJ GIO P2を指します)の信頼性に関する内部統制について、第三者である監査法人(ITに関する専門的能力を持っている公認会計士)が保証を与えるサービスのことで、AICPAとカナダ勅許会計士協会(CICA)によって基準化されています。
すでに世界基準として欧米を中心に、各国で広く認知されています。

“Trustサービスの原則と規準”とは、この保証業務における原則と規準になります。
「セキュリティ」、「可用性」、「処理のインテグリティ」、「機密保持」、「プライバシー」の1つまたは複数の原則と規準に基づいて、評価が行われます。
今回のSOC2報告書では、この内の「セキュリティ」と「可用性」を評価されています。「セキュリティ」、「可用性」については、主に以下の観点から評価されます。

セキュリティ
システム(IIJ GIO P2のサービスインフラ)が物理的・論理的に未承認のアクセスから保護されていること
可用性
サービス仕様として定められている通りの利用ができること

IIJがお客様に透明性の高いクラウドサービスを提供していること、「セキュリティ」および「可用性」に関するIIJ GIO P2の取組状況SOC2 Type1報告書から理解いただくことにより、お客様の内部監査等に役立てることができます。

IIJ GIO P2を始めとした、IIJ GIOのコンプライアンス・セキュリティの取り組み一覧については、こちらを参照ください。

IIJ GIO P2をご利用頂いているお客様については、今回受領したSOC2 Type1報告書をお渡しできますので、ご用命があれば問い合わせください。

(クラウド本部 サービス企画部 鍋倉)

コメントは受け付けていません。