KDDIクラウドプラットフォームサービス ナレッジサイト

  • HOME
  • 保守・運用
  • 第三者認証の取り組み

第三者認証の取り組み

 SOC1 / SOC2

国際的な内部統制保証基準である、米国保証業務基準AT-C Section 320 (注1) および国際保証業務基準3402 (ISAE3402 (注2)) に基づくサービス・オーガニゼーション・コントロール1 (SOC 1: Service Organization Controls 1) (注3) Type1/Type2を取得し報告書を受領 (注4) しており、お客さまが内部統制調査や外部評価において本報告書をご利用いただくことが可能です。さらに、『セキュリティ』および『可用性』を評価する米国保証業務基準AT-C Section 105/AT-C Section 205 (注5) および国際保証業務基準3000 (以下: ISAE3000) (注6) に基づくサービス・オーガニゼーション・コントロール2 (SOC 2: Service Organization Controls 2) (注3) Type1/Type2報告書も取得 (注4) しており、お客さまの重要なシステム基盤として、より安心して「KDDI クラウドプラットフォームサービス」をご利用いただけます。

 

  SOC1 SOC2
目的 財務報告に関連する内部統制に関する保証報告書 (整備・運用) であり、顧客のUS-SOX、JSOXおよび内部監査で利用される。 財務報告以外 (セキュリティ、信頼性、可用性、機密性、プライバシーなど) に関連する内部統制に関する保証報告書 (整備・運用) であり、顧客の業務選定や内部監査で利用される。
特長 財務報告に関連する情報の信頼性が中心であり、可用性や機密性に関する内部統制を保証するものでない。Type2の期間保証で取得されることが多い。 業務の内部統制の判断根拠としての規準 (Criteria) に基づいて評価する。日本では、当該規準にFISC安全対策基準を追加する報告書が発行されているケースもある。SOC1 (財務報告) 以外の目的の内部統制に利用することができる。
関連基準 日本 監査・保証実務委員会報告実務指針86号 IT委員会実務指針第7号『受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持に係る内部統制の保証報告書』(日本版ではプライバシーが対象外)
米国 AT-C Section 320(適用基準) (注1)
(旧 AT801)
(旧 SSAE16)
(旧 SAS70)
AT-C Section 105/AT-C Section 205(適用基準) (注5)
AICPA Guide: “Reporting on Controls at a Service Organizations Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy”
(旧 AT101)
国際 ISAE 3402 (注2) ISAE3000 (注6)
利用者 受託会社の経営者、委託会社および委託会社の監査人に限定される。 受託会社の経営者、委託会社および委託会社の監査人、特定の知識がある利害関係者に限定される。
適用状況 旧基準であるSAS70の時代から、受託業務に関しての保証として、海外では広く利用されている。 適用事例は徐々に拡大されており、特に、クラウド業者の実績 (Amazon AWS、salesforce.com、ニフティクラウドなど) が増加している。
保証タイプ Type1 (時点保証) およびType2 (期間保証)
初回登録日 Type1:2015年3月30日
Type2:2016年3月28日
Type1:2016年3月28日
Type2:2017年3月10日
最新更新日 2024年3月13日
報告書審査対象期間 2023年1月1日~2023年12月31日
注1)
米国保証業務基準AT-C Section 320: 米国公認会計士協会が定めた受託業務 (アウトソースサービスなど) に関する内部統制基準
注2)
国際保証業務基準3402 (ISAE3402): 国際会計士連盟が定めた受託業務 (アウトソースサービスなど) に関する内部統制基準
注3)
サービス・オーガニゼーション・コントロール1 (SOC1)、サービス・オーガニゼーション・コントロール2 (SOC2) について、詳しくは以下をご参照ください。
AICPA Service Organization Control (SOC) Report
※外部サイトへ移動します。(英語サイト)
注4)
ファイルサーバー・「KDDI Business ID」を除く
注5)
米国保証業務基準AT-C Section 105/AT-C Section 205: 米国公認会計士協会が定めた受託業務 (アウトソースサービスなど) に関する内部統制基準
注6)
国際保証業務基準3000 (ISAE3000): 国際会計士連盟が定めた受託業務 (アウトソースサービスなど) に関する内部統制基準

政府情報システムのためのセキュリティ評価制度(ISMAP)

Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ)は、情報セキュリティ監査の枠組みを活用した評価プロセスに基づいて、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービスの調達におけるセキュリティ水準を確保し、円滑に導入できるようにすることを目的とした制度です。各政府機関は原則として、ISMAPクラウドサービスリストに掲載されているものの中から調達を行います。
政府情報システムのためのセキュリティ評価制度(ISMAP)

 

概要
登録番号 C21-0010-2
登録組織 KDDI株式会社
登録対象範囲 KDDI クラウドプラットフォームサービス(KCPS)
KCPS ベアメタルサーバー(ハイパーバイザの使用時)
KCPS オブジェクトストレージ(KOS)
KCPS Admin Console(KAC)
KDDI Business ID(KBI)
初回登録日 2021年3月12日
最新更新日 2023年6月29日
更新期限日 2024年4月18日

 

ISO/IEC 27017(ISMSクラウドセキュリティ認証)

クラウドサービスを安心して利用できることを目的として制定されたISO 27017は、国際標準化機構 (ISO) により発行されたクラウドセキュリティに関する国際規格です。今回の認証は、KDDIがIaaSのクラウドサービスプロバイダーとして、当社の提供するKCPSがISO 27017に沿って適切に管理・運用されていることを独立した第三者監査人が認定するものです。

ISO 27017認証取得によって、多くのお客さまの重要なシステム基盤としてKCPSをより安心して利用いただけます。
 

 

認証の概要
認証規格 JIP-ISMS517-1.0 (ISO/IEC 27017:2015)
認証登録番号 CLOUD 731026
登録組織 KDDI株式会社
認証登録範囲 JIS Q 27001(ISO/IEC27001)認証登録番号:IS 95253
・KDDI クラウドプラットフォームサービス(KCPS)のクラウドサービスプロバイダ(IaaS)
としての企画、開発、運用及び提供におけるISMS クラウドセキュリティマネジメントシステム
(これには、KCPS ベアメタルサーバー(ハイパーバイザの使用時)、及びKCPS オブジェクト
ストレージ(KOS)の企画、開発、運用及び提供を含む)
2023年3月23日付 適用宣言書(ISO27017) 第6版
初回認証登録日 2020年8月6日
最新更新日 2023年10月30日
有効期限日 2025年10月31日
審査登録機関 BSIグループジャパン株式会社

  CLOUD 783567 / ISO 27017

認証の概要
認証規格 JIP-ISMS517-1.0 (ISO/IEC 27017:2015)
認証登録番号 CLOUD 783567
登録組織 KDDI株式会社
認証登録範囲

JIS Q 27001(ISO/IEC27001)認証登録番号:IS 95253
・KDDIクラウドプラットフォームサービス(KCPS)の利用における、KDDI Business ID(KBI)の
クラウドサービスプロバイダ(SaaS)としての企画、開発、運用、提供及びアマゾンウェブサービスのクラウドサービスカスタマとしての利用におけるISMSクラウドセキュリティマネジメントシステム
2022年9月15日付 適用宣言書(ISO27017) 第6版

初回認証登録日 2022年12月5日
最新更新日 2023年3月16日
有効期限日 2025年10月31日
審査登録機関 BSIグループジャパン株式会社

金融機関などコンピュータシステムの安全対策基準

お客さまに高品質なサービスをお届けし、安心してご利用いただくため、KDDIでは『金融機関などコンピュータシステムの安全対策基準 (注7)』に対するさまざまな取り組みを行っています。

注7)
金融機関などの拠り所・指針となる共通の安全対策基準として、公益財団法人 金融情報システムセンター (FISC) が作成したガイドラインです。本基準は、安全にコンピュータシステム構築・運用を行なうためにすべき対策内容が記載されており、自然災害、機器の障害、および不正使用行為などから生ずる金融機関などのコンピュータシステム障害発生の未然防止や影響の最小化、早期回復を図ることが目的となっています。
詳しくはKDDI 法人営業担当者までお問い合わせください。

最終更新日時 :2023/07/20 16:50

2024/03/15 2024/03/15