SOC 1、2、および 3 レポート

マイクロソフト クラウド サービスは運用セキュリティに関する Service Organization Controls の基準に準拠しています。

Microsoft と SOC 1、2、および 3 レポート

マイクロソフトが対象とするクラウド サービスは、少なくとも年 1 回、第三者の監査機関による監査が SOC レポート フレームワークに照らして実施されます。マイクロソフト クラウド サービスの監査は、サービスごとに適用される信頼の原則に従って、データのセキュリティ、可用性、処理の整合性、および機密性の管理が対象となります。

マイクロソフトでは、SOC 1 Type 2、SOC 2 Type 2、および SOC 3 レポートを作成しました。一般的に、SOC 1 レポートと SOC 2 レポートは、マイクロソフトと秘密保持契約を結んでいる顧客しか入手できませんが、SOC 3 レポートは公開されています。

Microsoft Cloud における SOC 1、2、3 のメリットをご確認ください。

SOC 1 および SOC 2 Type 2 レポートの背景解説をダウンロード

対象となるマイクロソフトのクラウド サービス

すべて展開

  • Azure、Azure Government、Azure Germany 詳細リスト
  • Cloud App Security
  • Dynamics 365 および Dynamics 365 U.S. Government 詳細リスト
  • Graph
  • Intune
  • Microsoft Flow クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに搭載されているサービス)
  • Office 365、Office 365 U.S. Government、および Office 365 U.S. Government Defense 詳細リスト。Yammer は SOC 1 Type 1 レポートを取得しました
  • Office 365 Germany
  • Power Apps クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに搭載されているサービス)
  • Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)
  • Stream
  • Azure DevOps Services

  • Azure、Azure Government、Azure Germany 詳細リスト
  • Cloud App Security
  • Graph
  • Intune
  • Microsoft Flow クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに搭載されているサービス)
  • Power Apps クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに搭載されているサービス)
  • Power BI
  • Stream

SOC 1、2、および 3 レポートの概要

データ ストレージ、アプリケーションへのアクセスなど、基本的な機能をクラウド サービス プロバイダー (CSP) やその他のサービス組織にアウトソースするビジネスは増えています。これに応じて、American Institute of Certified Public Accountants (AICPA) は、クラウドで保存および処理された情報の機密性とプライバシーを保護する管理基準である Service Organization Controls (SOC) フレームワークを策定しました。これは、国際サービス組織のレポート作成基準である International Standard on Assurance Engagements (ISAE) に従っています。

SOC フレームワークに基づくサービス監査は、SOC 1 と SOC 2 の 2 つに分類され、対象となるマイクロソフト クラウド サービスに適用されます。

SOC 1 監査は、財務諸表を監査する CPA 企業を対象としており、プロバイダーのクラウド サービスを使用している顧客の財務報告に影響する、CSP の内部コントロールの有効性を評価します。Statement on Standards for Attestation Engagements (SSAE 18) と International Standards for Assurance Engagements No. 3402 (ISAE 3402) は、監査の実施基準で、SOC 1 レポートの基本となります。

SOC 2 監査では、AICPA Trust Service Principles and Criteria に基づいて CSP のシステムの有効性を評価します。Attestation Standards (AT) Section 101 の Attest Engagement が SOC 2 および SOC 3 レポートの基本になっています。

SOC 1 または SOC 2 監査が終了したら、サービス監査人は SOC 1 Type 2 または SOC 2 Type 2 レポートでその評価を提供します。つまり、CSP のシステムと、CSP による管理説明の正当性を評価します。さらに、CSP の管理が適切に設計されているかどうか、指定した日付に実施されていたか、また、指定した期間に実際に運用されていたかも評価します。

また、監査人は SOC 3 レポートも作成できます。これは、SOC 2 Type 2 監査レポートが簡略化されたもので、CSP の管理についての保証は必要だが、完全な SOC 2 レポートを必要としないユーザーを対象としています。SOC 3 レポートを提供できるのは、CSP の SOC 2 監査評価が承認されていない場合に限られます。

コンプライアンスを一元管理する

Compliance Manager により、マイクロソフトのクラウド サービスを利用する際、リアルタイムのリスク評価を実施し、実用的なインサイトを提供して、コンプライアンス プロセスを簡素化することができます。

Compliance Manager を今すぐ試すセキュリティ、プライバシー、コンプライアンスに関するブログを読む

よく寄せられる質問

すべて展開

監査人はレポートを使って、Microsoft ビジネス クラウド サービスの結果と顧客の法的規制要件を比較できます。

  • すべての SOC レポートを、Service Trust Platform を通じてご覧いただけます。
  • Azure DevOps Service のお客様で Service Trust Platform にアクセスできない場合は、SOC 1 および SOC 2 レポートを Azure DevOps にメールでお送りいただけます。このメールは Azure DevOps の SOC レポートの要求専用です。

Azure、Cloud App Security、Flow、Graph、Intune、Power BI、PowerApps、Stream、Microsoft データセンターの SOC レポートは、過去 12 か月にわたる実行期間 (監査期間) に基づいており、四半期ごとに新たなレポートが発行されます。SOC レポートを通じて監査の頻度が増加することにより、監査期間の対象範囲がさらに時宜を得たものとなり、ブリッジ レターと比較して、より確実な保証が外部監査役により提供されます。最新のレポートは Service Trust Portal でダウンロードすることができます。

いいえ。マイクロソフトでは、お客様自身のセキュリティ コミットメントにマイクロソフトが準拠していることを確認していただけるように、第三者監査レポートと認定をお客様にも公開しています。

はい。対象となるマイクロソフト クラウド サービスにアプリケーションとデータを移行すると、マイクロソフトが保持する監査と認定を基盤にできます。独立したレポートが、マイクロソフトで実装されているコントロールの有効性を証明し、データのセキュリティとプライバシーの維持をサポートします。

SOC レポート作成プロセスを理解し、組織でのそのプロセスの利用を促進するには、SOC Toolkit for Service Organizations が役に立ちます。