サイバーセキュリティは業者リスクマネジメントにおける重要な要素です。 理屈の上では、（業者のセキュリティ統制を評価する）SOC 2 監査はサイバーセキュリティの脅威を評価する方法です。

しかし、実際には口で言うほど単純ではありません。 そう、SOC 2 監査がいくら多岐にわたる内容に対処できるツールといっても、一つまた一つと絶えず新しいサイバーセキュリティ リスクが出てくるのです。 次から次へと新しいデータ保護規則が施行され、 ビジネス プロセスにおいて業者が果たす役割も常に変化しています。 その先にあるのは、サイバーセキュリティが上手くいかないという結果だけ。

だからこそ、SOC 2 監査の対象範囲を適切に設定できるかがリスクマネジメント チームにとって重要となっているわけです。

では、こうしたつかみどころのない脅威を相手に、どうすればうまく範囲を設定できるのでしょうか。

まずは SOC 2 監査の背景にある原理を捉えるところからはじめましょう。

どうして SOC 2 監査というものが生まれたのでしょうか。 これは国際公認職業会計士協会 ( Association of International Certified Professional Accountants) が考えた、以下 5 つの「Trust サービス原則」(Trust Services Principles) に基づくものです。

• セキュリティ
• プライバシー
• プロセスの完全性
• 秘密保持
• 可用性

SOC 2 監査の対象範囲を設定する際に出てくる最初の問題は、この業者にはどの原則を適用するか、という点です。

この問題は分かり切ったことのように見えるかもしれませんが、それでも何が起きるのかを考えてみましょう。 適用する原則が少なすぎる (または適切でない) と、会社は保証が十分でない状態にあり、業者がもたらすセキュリティのリスクに対して統制が足りていません。 逆に適用する原則が多すぎても、企業は保証が過剰な状態にあり、実際にはないリスクに対して対策し過ぎといえます (そしてリソースを無駄に使いすぎています)。

クラウドベース データストレージ業者の評価を例に考えてみましょう。 その業者に個人を特定できる情報を預けていないのであれば、プライバシーのリスクは一切ありません。 ということは、その原則は対象から外してもかまわないわけです。 これに反して、秘密保持の対象となる製品計画をその業者に預けるのであれば、セキュリティ リスクは高まります。

このように、どんな SOC 2 監査であれ、まずしなければならないのは、その業者と何をしようとしているのかを理解することです。

範囲設定のパートナーを見つける

もう一つの重要なのは、SOC 2 監査の対象範囲を設定するうえで企業内の誰を関係者として巻き込むべきか把握することです。 ですが、業者が基幹サービスを提供するようになってきていることから、その候補者リストを作成することは一層複雑になってきています。

まず、実際に業者と仕事をすることになる第 1 ・第 2 ディフェンス ラインのビジネスプロセス オーナーと話をすることが必要になるでしょう。 業者はどのようなサービスを提供するのでしょうか。 会社のどの情報にアクセスすることになるのでしょうか。 従業員らはこの業者とどのような関係を築きたいのでしょうか。

この分野の専門家である IT セキュリティ部門とも相談が必要です。 SOC 2 最終レポートに含めるべき攻撃手段や統制テスト、保証について知見を持っているところですから。

コンプライアンス部門にも忘れず相談しましょう。 コンプライアンス部門からは、サイバーセキュリティやプライバシーの対応を間違えるとどうなるか、規制に従っていないことに対する罰金や、訴訟債務の発生、規制措置などあり得ることについて詳しく教えてもらえるでしょう。 セキュリティとプライバシーにかかる義務についても詳しいはずです。

仮に業者を利用して、消費者の購買活動について分析するとし、対象となる顧客の一部には欧州市民が含まれているとします。すると、 EU一般データ保護規則 (EU General Data Protection Rule: GDPR) が適用されることになります。 この場合、GDPR の可用性 (請求に応じてすべてのデータを確認すること) とプロセスの完全性 (「すべて削除」によりすべてを確実に削除すること) の原則が、SOC 2 監査で重要な要素となります。 (IT セキュリティとビジネス オペレーションの上層部は、こうした GDPR の微妙な差異を詳しくは知らないかもしれません) GDPR コンプライアンスの管理について詳しくは こちらをご覧ください。

下地を固めて堅牢なプロセスを構築する

ここまで、ある SOC 2 監査を例に対象範囲設定方法について話をしてきました。 実務の世界では、リスクマネジメント チームにはもう 2 つ別の業務があります。SOC 2 監査で何をするのか理解すること、そして業者リスクマネジメントに本格的に組み込むことです。

独立監査法人が作成した SOC 2 レポートからは、業者がもたらすサイバーセキュリティのリスクを明確に把握できます。 業者のセキュリティにおける脆弱性を浮き彫りにし、そしてサイバーセキュリティが上手くいかなかった場合の潜在的損害について知らせてくれることでしょう。 そしてようやく、業者のリスクを許容レベルまで下げるために必要な救済措置のリバースエンジニアリングを始められます。

ここからは馴染みのあるプロセスとなります。 脆弱性と救済措置を明らかにして臨む、こうした SOC 2 監査なら、スケールの大きな業者リスクマネジメントの手順を生み出せます。 この手順がセキュリティ、監査、コンプライアンス、リスク対策部門が各ベンダーの進捗を追跡できる情報の中央リポジトリとして機能します。 上級管理職はこの手順を活用して、いつでも 業者リスクマネジメントの状況を把握できます。

この手順は、監査チームやリスク対策チームが財務監査や類似の実務でしてきたことと、そう変わりありません。 たった一つの、信頼できるデータを作成すること。救済措置を講じるために適切な関係者を巻き込むこと。そして上級管理職に進捗を報告すること。この 3 つが共通することです。

これに、SOC 2 監査では、 サイバーセキュリティのリスクを業者リスクマネジメント対応で一掃する必要があるという点が加わります。そして何よりもまずしなければならないのが、SOC 2 監査の明確に、そして十分に考えた末の範囲設定なのです。

サイバーセキュリティのリスクは消えていきません。そして業者のサポートは増えるばかりです。 以上のことから、業者のサイバーセキュリティ リスクを評価する汎用性に優れた堅牢な機能を内部監査部門に備えて強化できれば、一層有利な立場に立てるでしょう。