クラウドサービスの安全な選び方。セキュリティは“SOC2報告書”に注目すべき理由

公開日: 2022.12.13

業務効率化をあと押しするクラウドサービス
クラウドサービスをセキュリティ目線で選べていますか？
セキュリティで重要視すべきポイント
クラウドサービスの「客観的な信用」は導入前に確認可能
セキュリティ目線でのサービス選びも大切です

日々の業務効率化のために、多種多様なクラウドサービスを利用している企業・担当者さまが多いかと思います。サービスを選ぶ際の規準としては、機能や価格に注目がいきがちで、安全に利用し続けるために必要なセキュリティに目を向ける機会は少ないのではないでしょうか？

本記事ではクラウドサービスを安全に利用するために欠かせない「セキュリティ」についてご説明します。なかでも客観的な信用を得られる“SOC2報告書”に注目です。

業務効率化をあと押しするクラウドサービス

入社手続きにはじまり、各種申請処理、人事評価、勤怠管理、給与計算など、多岐にわたる人事・労務業務。これら業務の電子化・効率化を図るのがクラウドサービスであり、その利用形態のひとつとしてSaaS（Softwear as a Service）と呼称されます。ほかにも、社内の情報共有・コミュニケーションや顧客管理、名刺管理といったサービスも存在し、クラウドサービスが導入される領域は大きな広がりを見せています。

より身近なクラウドサービスとしてはビデオ会議、メール、オンラインストレージなど、仕事、プライベート関わらず利用する機会が増えています。

人事・労務領域

人事・労務領域では、今まで主に紙で処理をしていた各種手続きのペーパーレス化を推進するクラウドサービスが主流です。また、人事評価や人員配置、従業員サーベイといった人材マネジメントを効率化するサービスも展開されています。

経理領域

経理領域でも同様に、給与明細の配布や経費精算をペーパーレス化。勤怠管理と給与ソフト、人事データベースを連携して、正確かつスピーディな給与計算を可能にしています。

セキュリティ領域

業務で扱うパソコンのウイルス対策や、データベースへの攻撃対策といったイメージのあるセキュリティ領域。近年では、ユーザー認証を一度行うことで、複数の業務アプリケーション、クラウドサービスへログインできるシングルサインオンや、複数サービスのパスワードを一元管理するパスワードマネージャーといったサービスも利用企業が増えています。

クラウドサービスをセキュリティ目線で選べていますか？

先述のとおり、あらゆる業務の効率化にクラウドサービスが活躍しています。

その理由のひとつに、自社内にシステム設置が必須だったオンプレミスと呼ばれる利用形態時代に比べ、現在ではサービス導入のハードルが格段に下がった点です。「便利なものを積極的に利用する」ことが日常的になっています。

一方で、社内利用のクラウドサービス管理にかかる負担も大きくなってきます。

サービスがどんなに便利でも、セキュリティ事故の発生を手放しで許容することはありません。クラウドサービスの選定は、「業務効率化に必要な機能が備わっているか」に劣らず、「安心して使い続けられる」ことの重要性をしっかりと意識する必要があります。

また、導入後の事故を防ぐだけではなく、選定時にセキュリティ面を重視する選び方はクラウドサービス導入のスムーズな進行にもつながります。機能面や運用面で導入が判断されたあとに、「社内の情報システムやセキュリティ部門から、セキュリティ要件が理由で再選定が必要になってしまう」「追加のセキュリティチェックが必要になってしまう」ケースも考えられるからです。

そのため、サービス導入前後ともに、信頼性の高いクラウドサービスをいかに選定できるかが重要なのです。

セキュリティで重要視すべきポイント

「信頼性の高いクラウドサービスとは？」を、セキュリティ目線で掘り下げていきます。クラウドサービスを安全に利用するうえで、重要視すべき代表的な要素を実例を交えて紹介します。以下の要素を満たしたクラウドサービスであれば、セキュリティ面で「安心して使い続ける」ことにもつながります。

【安全な稼動】

そのクラウドサービスがセキュリティ上、安全に稼働するか。

【安全な開発・運営】

そのクラウドサービスがセキュリティ上、安全に開発され、安全に運営されているものであるか。

【安全に使える機能】

自社において、そのクラウドサービスを安全に利用できるか。利用するための機能があるか。

（1）安全な稼働の例

通信の暗号化
データの暗号化
不正アクセスへの対策

（2）安全な開発・運営の例

提供企業の規約やポリシー
セキュリティへの取り組み
セキュアな開発の準拠
開発プロセスの整備（変更管理の正当性）
客観的な信用（セキュリティ認証や外部監査の証跡）

（3）安全に使える機能の例

機能確認
- IPアドレスの制限
- 柔軟な権限設定
- 認証の強化（2要素認証やSSO）など

多様な観点からさまざまな項目を考慮する必要がありますが、上記3項目の事前確認はリスクを最小に抑えるために重要なポイントの一部です（さまざまな項目のうち、1項目のみが実現されていたとしてもそれは十分とは言えません）。

システムが安定稼働していても、アップデート時に障害が発生したり、利用時に人的ミスが起きたりといったリスクが考えられます。それぞれの重要視すべき項目をバランスよく押さえることが大切です。

クラウドサービスの「客観的な信用」は導入前に確認可能

それでは、クラウドサービス導入を検討している企業の担当者さまは、クラウドサービス検討時にどのようにして、セキュリティ基準を満たしているかを判断すればいいでしょうか？実は重要視すべき要素のうち、（2）安全な開発・運営内「客観的な信用」に足りるかどうかは、認証マーク、報告書の受領などで、判断時の参考指標として役立ちます。

第三者の評価・認証で見聞きする機会が多いものとしては、ISMSやPマーク（プライバシーマーク）に続いて、SOC2（ソックツー）レポートという言葉も目にする機会が増えてきています。SOCとは、“System and Organization Controls” の略称で、サイバー攻撃の検知や分析を専門とする組織である “Security Operation Center”とは異なりますので、ご注意ください。

SOC2レポートとは特定の業務を受託し提供する会社（クラウドサービス事業社など）の内部統制について、一定の規準にもとづいて、セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーのうち一つ以上を対象とした、独立した第三者の立場である監査法人による評価内容についての報告書です。

さらにSOC2には、Type1とType2の2種類があります。ある時点を基準日として内部統制のデザインの適切性が評価される「SOC2 Type1」に対し、「SOC2 Type2」は、一定の期間（例えば1年間）と実際の運用を対象に評価されます。結果としてサービス提供企業の内部統制の継続的な運用状況の有効性についても、客観的に確認可能となります。

そして、SOC2には「客観的な信用を確認する手段」として、非常に特徴的なポイントがあります。それは評価された報告書をユーザーが取り寄せられることです（一定の手続きが必要）。一定の規準にもとづいて、独立した第三者の立場である監査法人による評価内容が記された報告書の参照はまさに、「客観的な信用を確認する手段」にあたります。

SmartHRでは2020年にType1を受領し、そこから継続的な内部統制の強化・改善により、2022年（評価対象は2021年）にType2の受領に至りました。

こちらのページで紹介しているとおり、SOC2レポートを受領しているクラウドサービスは自社サイトでその旨を紹介しているケースが多くあります。そのため、クラウドサービス導入前に「客観的な信用」の確認が可能になります。

ほかには、自社のセキュリティチェックシートを使用し、基準を満たしているか確認する方法も一般的です。SmartHRでは、SOC2報告書のほかにも「セキュリティへの取り組み」を公開しております。技術的対策、組織的対策に加えて、セキュリティチェックシート（SmartHR回答済み）が、ダウンロード可能です。自社のセキュリティ基準を満たしているかの確認にご活用ください。