システムおよび組織管理 (SOC) 2 Type 2

  • [アーティクル]

SOC 2 Type 2 の概要

サービス組織のシステムおよび組織管理 (SOC) は、米国公認会計士協会 (AICPA) によって作成された内部統制レポートです。 エンド ユーザーがアウトソーシングされたサービスに関連するリスクを評価して対処できるように、サービス organizationによって提供されるサービスを調査することを目的としています。

SOC 2 Type 2 認証は次のように実行されます。

  • SSAE No. 18, 構成証明基準: 明確化と再コーディング, AT-C セクション 105, すべての構成証明エンゲージメントに共通の概念, AT-C セクション 205, 試験エンゲージメント (AICPA, Professional Standards).
  • セキュリティ、可用性、処理の整合性、機密性、またはプライバシーに関連するサービス組織での統制の調査に関する SOC 2 報告 (AICPA ガイド)。
  • TSP セクション 100、セキュリティ、可用性、処理の整合性、機密性、およびプライバシーに関する 2017 年のトラスト サービス基準 (AICPA、2017 年のトラスト サービス基準)。

さらに、Office 365 SOC 2 Type 2 認証レポートは、クラウド セキュリティ アライアンス (CSA) のクラウド コントロール マトリックス(CCM)、およびドイツ連邦情報セキュリティ局 (BSI) が作成したクラウド コンピューティング コンプライアンス基準カタログ (C5:2020) に記載されている要件に対応しています。

Office 365 SOC 2 の構成証明は、独立した AICPA 認定 CPA 会社によって実施される厳格な包括的なサードパーティの検査 (監査とも呼ばれます) に基づいています。 SOC 2 監査の終了時、監査人は SOC 2 Type 2 報告書で意見を述べます。報告書では、クラウド サービス プロバイダー (CSP) のシステムについて説明し、CSP による自身の制御の説明の正当性を評価します。 また、CSP の制御が適切に設計されているかどうか、指定した日付に実行されていたか、また、指定した期間に正常に運用されていたかも評価します。 Office 365 SOC 2 Type 2 報告書は、システムのセキュリティ、可用性、処理の整合性、機密性、およびプライバシーに関連しています。

対象となる Microsoft のクラウド プラットフォームとサービス

対象となる Microsoft オンライン サービスは、Azure SOC 2 Type 2 認証レポートに示されています。

  • Azure (詳細な分析情報については、 Microsoft Azure コンプライアンス オファリングに関するページを参照してください)
  • Azure DevOps (別の Azure DevOps SOC 2 Type 2 認証レポートを参照してください)
  • Dynamics 365 (詳細な分析情報については、Azure SOC 2 Type 2 認証レポートを参照してください)
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Forms Pro
  • Microsoft Intune
  • Microsoft マネージド デスクトップ
  • Microsoft Stream
  • Microsoft 脅威エキスパート
  • トピック
  • Nomination Portal
  • Office 365、Office 365 U.S. Government、Office 365 U.S. Government - High、Office 365 U.S. Government Defense
  • Power Apps
  • Power Automate
  • Power BI
  • Power Virtual Agents
  • Update Compliance

Azure、Dynamics 365、および SOC 2

Azure、Dynamics 365、およびその他のオンライン サービス コンプライアンスの詳細については、Azure SOC 2 サービスを参照してください。

Office 365 および SOC 2

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 コンプライアンス マネージャー、カスタマー ロックボックス、Delve、Exchange Online Protection、Exchange Online、フォーム、グリフィン、Identity Manager、ロックボックス (Torus)、Microsoft Teams、Microsoft Viva Topics、MyAnalytics、Office 365カスタマー ポータル、Office 365 マイクロサービス (Kaizala、ObjectStore、Sway、PowerPoint Online Document Service、Query Annotation Service、School Data Sync、Siphon、Speech、StaffHub、eXtensible Application Program)、Office Online、Office Services Infrastructure、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、Project Online、Microsoft Purview カスタマー キーを使用したサービス暗号化、SharePoint Online、Skype for Business
GCC Microsoft Entra ID、コンプライアンス マネージャー、Delve、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、Microsoft Viva Topics、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream
GCC High Microsoft Entra ID、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business
DoD Microsoft Entra ID、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power BI、SharePoint Online、Skype for Business

Office 365 監査レポート

AICPA 要件に従って、SOC 1 および SOC 2 構成証明レポートと必要に応じてブリッジレターをダウンロードするには、Office 365またはOffice 365米国政府の既存のサブスクリプションまたは無料試用版アカウントが必要です。

よく寄せられる質問

Office 365 SOC レポートが発行される頻度はどれくらいですか?

Microsoft は、Office 365の SOC 1 Type 2 および SOC 2 Type 2 の完全な検査を毎年委託しています。 これらの審査に関する監査人のレポート (監査とも呼ばれます) は、その監査の準備が整うとすぐに発行されます。 SOC 3レポートは、SOC 2の審査に基づいて、同時に発行されます。

Microsoft は、審査の調査範囲や監査人の完了期間を制御しないため、これらのレポートが発行される期間は設定されていません。 レポートは、通常、審査中の期間が終了した数ヶ月後に発行されます。 Microsoft では、1 つの検査から次の検査までの連続した期間のギャップを許可しません。

また、Microsoft は、SOC Type 2 の最後の監査以降に発行された新しい Microsoft サービスに対して、Office 365の中年 SOC 1 Type 1 および SOC 2 Type 1 の調査を委託しています。 種類 1 の監査では、一定期間のパフォーマンスは振り返りません。

Office 365の高度な性質により、全体として調べれば、サービス スコープは大きくなります。 これにより、単純にスケールが原因で検査完了の遅延が発生する可能性があります。 Microsoft では、上記のすべての調査を 2 つのカテゴリ (Core Services とマイクロサービス) に整理しています。 Microsoft は、各調査を対象としたレポートを発行します。

SOC タイプ 2 の監査では、ローリング 12 か月間の 実行期間 (監査期間または正式には パフォーマンス期間とも呼ばれます) を調べ、翌年の 10 月 1 日から 9 月 30 日までの期間に毎年実施される検査が行われます。 検査は、パフォーマンスの期間が完了した後、すぐに開始されます。

Microsoft では、 ブリッジ文字 ( ギャップ文字とも呼ばれます) も発行します。 これらは Microsoft による自己構成証明であり、監査人による審査に基づくレポートではありません。 ブリッジ文字は、まだ完了しておらず、監査検査の準備が整っていない現在のパフォーマンス期間中に発行されます。 Microsoft は、前の 3 か月間のパフォーマンスを証明するために、四半期末にブリッジ文字を発行します。 SOC タイプ 2 監査のパフォーマンス期間により、ブリッジ文字は通常、現在の運用期間の 12 月、3 月、6 月、および 9 月に発行されます。

ブリッジ レターを含む Office 365 SOC 監査ドキュメントはどこで入手できますか?

監査ドキュメントへのリンクについては、 Service Trust Portal の監査レポートセクションを参照してください。 サインインするには、Office 365または米国政府Office 365既存のサブスクリプションまたは無料試用版アカウントが必要です。 監査証明書、評価レポート、およびその他の該当するドキュメントをダウンロードして、独自の規制要件に役立てることができます。

クラウド セキュリティ アライアンス CCM 制御の実装の評価はどこにありますか?

Microsoft は、米国公認会計士協会 (AICPA) トラスト サービスの原則と基準 (セキュリティ、可用性、機密性、処理の整合性など) と、クラウド セキュリティ アライアンス (CSA) クラウド コントロール マトリックス (CCM) の基準に基づくOffice 365の審査を委託します。

目的は、1 つの効率的な検査で CCM に記載されている AICPA 基準と要件の両方を評価することです。 OFFICE 365 SOC 2 Type 2 監査には、CSA STAR 構成証明で必要に応じて CCM コントロール評価が組み込まれています。 詳細については、Office 365 SOC 2 Type 2 認証レポートを参照してください。

記載されている例外に対する管理応答はどこで確認できますか?

ほとんどの検査では、1 つ以上の特定のコントロールについていくつかの観察が行われます。 これは予想される予定です。 例外に対する管理応答は、SOC 構成証明レポートの末尾に配置されます。 ドキュメントで "管理応答" を検索します。

ユーザー エンティティの責任はどこで確認できますか?

ユーザー エンティティの責任は、システム全体が SOC 2 制御標準を満たす場合に必要な制御責任です。 これらは、SOC 構成証明レポートの最後にあります。 ドキュメントで "ユーザー エンティティの責任" を検索します。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース