2016.03.28

KDDI クラウドプラットフォームサービスにおけるSOC2取得のご報告

はじめまして。KDDI 有吉です。私はクラウドサービス企画の統括グループリーダーとして 予算や部員教育を始め、部内のさまざまな統制、統括業務を行っています。その1つとして今回、KDDIクラウドプラットフォームサービス(以下、KCPS)についてサービス・オーガニゼーション・コントロール2(以下、SOC2)Type1報告書を取得しましたのでお知らせします。1

SOC報告書の取得に取り組んでいることは、1月に野崎の記事にて取組みの紹介をしていますので、以前からブログをご覧の方はご存知かとは思いますが、今回は、無事に取得がきましたので、改めてお知らせします。

2

まず、SOC報告書について簡単にご説明します。米国のAICPA(米国公認会計士協会)がService Organization Control(SOC)Reportとして整理した報告の枠組みであり、SOC1、SOC2、SOC3と呼ばれるものがあります。SOC1は主に財務報告に関連する内部統制に関する保証報告書となります。SOC2は主に財務報告以外(セキュリティ、信頼性、可用性、機密性、プライバシーなど)に関連する内部統制に関する保証報告書となります。また、それぞれにType1、Type2があり、Type1は基準日時点での記述書の記載の妥当性や内部統制のデザイン、適用の妥当性を評価し保証するのに対して、Type2ではType1の評価、保証に加えて一定期間の運用状況の有効性も評価し、保証されます。KDDIのホームページに詳しく掲載されていますので興味がある方はご覧ください。

3

今回取得したのは「セキュリティ」および「可用性」の規準に関するSOC2Type1報告書で、対象範囲はKCPS(mBaaS by Kiiを除く)、KDDIクラウドプラットフォームサービスオブジェクトストレージ、KCPSのAdmin Consoleとなります。また、Admin Consoleは認証にKDDI Business IDを利用しますが、その部分も対象範囲となっています。

8

KDDIでは2014年度にKCPSを対象としてSOC1Type1報告書を取得しました。その後、通常であれば2015年度はSOC1Type2報告書を取得し、2016年度にSOC2Type1報告書を取得する流れになりますが、今年度、SOC1Type2報告書とSOC2Type1報告書を同時に取得すべく推し進めてきました。

10

KCPSは多くの部署が運営に携わっており、それぞれ役割は違いますが、お客様により安心してKCPSを使っていただきたい、安心、安全を見える形でお伝えしたいとの思いで、全関連部署が協力し無事に取得することができました。今後もより安心してKCPSをお使いいただく為に、様々な取組みを行っていきます。

カテゴリ
タグ

KDDI株式会社 ソリューション事業企画本部
クラウドサービス企画部

有吉 隆宏

新着記事
タグ
アーカイブ
カテゴリー
Contact
TOP