- HOME
- 保守・運用
- 第三者認証の取り組み
第三者認証の取り組み
SOC1 / SOC2
| SOC1 | SOC2 | ||
|---|---|---|---|
| 目的 | 財務報告に関連する内部統制に関する保証報告書 (整備・運用) であり、顧客のUS-SOX、JSOXおよび内部監査で利用される。 | 財務報告以外 (セキュリティ、信頼性、可用性、機密性、プライバシーなど) に関連する内部統制に関する保証報告書 (整備・運用) であり、顧客の業務選定や内部監査で利用される。 | |
| 特長 | 財務報告に関連する情報の信頼性が中心であり、可用性や機密性に関する内部統制を保証するものでない。Type2の期間保証で取得されることが多い。 | 業務の内部統制の判断根拠としての規準 (Criteria) に基づいて評価する。日本では、当該規準にFISC安全対策基準を追加する報告書が発行されているケースもある。SOC1 (財務報告) 以外の目的の内部統制に利用することができる。 | |
| 関連基準 | 日本 | 監査・保証実務委員会報告実務指針86号 | IT委員会実務指針第7号『受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持に係る内部統制の保証報告書』(日本版ではプライバシーが対象外) |
| 米国 | AT-C Section 320(適用基準) (注1) (旧 AT801) (旧 SSAE16) (旧 SAS70) |
AT-C Section 105/AT-C Section 205(適用基準) (注5) AICPA Guide: “Reporting on Controls at a Service Organizations Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy” (旧 AT101) |
|
| 国際 | ISAE 3402 (注2) | ISAE3000 (注6) | |
| 利用者 | 受託会社の経営者、委託会社および委託会社の監査人に限定される。 | 受託会社の経営者、委託会社および委託会社の監査人、特定の知識がある利害関係者に限定される。 | |
| 適用状況 | 旧基準であるSAS70の時代から、受託業務に関しての保証として、海外では広く利用されている。 | 適用事例は徐々に拡大されており、特に、クラウド業者の実績 (Amazon AWS、salesforce.com、ニフティクラウドなど) が増加している。 | |
| 保証タイプ | Type1 (時点保証) およびType2 (期間保証) | ||
| 初回登録日 | Type1:2015年3月30日 Type2:2016年3月28日 |
Type1:2016年3月28日 Type2:2017年3月10日 |
|
| 最新更新日 | 2024年3月13日 | ||
| 報告書審査対象期間 | 2023年1月1日~2023年12月31日 | ||
- 注1)
- 米国保証業務基準AT-C Section 320: 米国公認会計士協会が定めた受託業務 (アウトソースサービスなど) に関する内部統制基準
- 注2)
- 国際保証業務基準3402 (ISAE3402): 国際会計士連盟が定めた受託業務 (アウトソースサービスなど) に関する内部統制基準
- 注3)
- サービス・オーガニゼーション・コントロール1 (SOC1)、サービス・オーガニゼーション・コントロール2 (SOC2) について、詳しくは以下をご参照ください。
AICPA Service Organization Control (SOC) Report
※外部サイトへ移動します。(英語サイト) - 注4)
- ファイルサーバー・「KDDI Business ID」を除く
- 注5)
- 米国保証業務基準AT-C Section 105/AT-C Section 205: 米国公認会計士協会が定めた受託業務 (アウトソースサービスなど) に関する内部統制基準
- 注6)
- 国際保証業務基準3000 (ISAE3000): 国際会計士連盟が定めた受託業務 (アウトソースサービスなど) に関する内部統制基準
政府情報システムのためのセキュリティ評価制度(ISMAP)
Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ)は、情報セキュリティ監査の枠組みを活用した評価プロセスに基づいて、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービスの調達におけるセキュリティ水準を確保し、円滑に導入できるようにすることを目的とした制度です。各政府機関は原則として、ISMAPクラウドサービスリストに掲載されているものの中から調達を行います。
政府情報システムのためのセキュリティ評価制度(ISMAP)
| 概要 | |
|---|---|
| 登録番号 | C21-0010-2 |
| 登録組織 | KDDI株式会社 |
| 登録対象範囲 | KDDI クラウドプラットフォームサービス(KCPS) KCPS ベアメタルサーバー(ハイパーバイザの使用時) KCPS オブジェクトストレージ(KOS) KCPS Admin Console(KAC) KDDI Business ID(KBI) |
| 初回登録日 | 2021年3月12日 |
| 最新更新日 | 2023年6月29日 |
| 更新期限日 | 2024年4月18日 ※現在更新申請が行われているため有効期限以降も登録は有効 |
ISO/IEC 27017(ISMSクラウドセキュリティ認証)
クラウドサービスを安心して利用できることを目的として制定されたISO 27017は、国際標準化機構 (ISO) により発行されたクラウドセキュリティに関する国際規格です。今回の認証は、KDDIがIaaSのクラウドサービスプロバイダーとして、当社の提供するKCPSがISO 27017に沿って適切に管理・運用されていることを独立した第三者監査人が認定するものです。
| 認証の概要 | |
|---|---|
| 認証規格 | JIP-ISMS517-1.0 (ISO/IEC 27017:2015) |
| 認証登録番号 | CLOUD 731026 |
| 登録組織 | KDDI株式会社 |
| 認証登録範囲 | JIS Q 27001(ISO/IEC27001)認証登録番号:IS 95253 ・KDDI クラウドプラットフォームサービス(KCPS)のクラウドサービスプロバイダ(IaaS) としての企画、開発、運用及び提供におけるISMS クラウドセキュリティマネジメントシステム (これには、KCPS ベアメタルサーバー(ハイパーバイザの使用時)、及びKCPS オブジェクト ストレージ(KOS)の企画、開発、運用及び提供を含む) 2023年3月23日付 適用宣言書(ISO27017) 第6版 |
| 初回認証登録日 | 2020年8月6日 |
| 最新更新日 | 2023年10月30日 |
| 有効期限日 | 2025年10月31日 |
| 審査登録機関 | BSIグループジャパン株式会社 |
CLOUD 783567 / ISO 27017
| 認証の概要 | |
|---|---|
| 認証規格 | JIP-ISMS517-1.0 (ISO/IEC 27017:2015) |
| 認証登録番号 | CLOUD 783567 |
| 登録組織 | KDDI株式会社 |
| 認証登録範囲 |
JIS Q 27001(ISO/IEC27001)認証登録番号:IS 95253 |
| 初回認証登録日 | 2022年12月5日 |
| 最新更新日 | 2023年3月16日 |
| 有効期限日 | 2025年10月31日 |
| 審査登録機関 | BSIグループジャパン株式会社 |
金融機関などコンピュータシステムの安全対策基準
お客さまに高品質なサービスをお届けし、安心してご利用いただくため、KDDIでは『金融機関などコンピュータシステムの安全対策基準 (注7)』に対するさまざまな取り組みを行っています。
- 注7)
- 金融機関などの拠り所・指針となる共通の安全対策基準として、公益財団法人 金融情報システムセンター (FISC) が作成したガイドラインです。本基準は、安全にコンピュータシステム構築・運用を行なうためにすべき対策内容が記載されており、自然災害、機器の障害、および不正使用行為などから生ずる金融機関などのコンピュータシステム障害発生の未然防止や影響の最小化、早期回復を図ることが目的となっています。
詳しくはKDDI 法人営業担当者までお問い合わせください。
最終更新日時 :2023/07/20 16:50