システムおよび組織管理 (SOC) 1 Type 2

SOC 1 Type 2 の概要

サービス組織のシステムおよび組織管理 (SOC) は、米国公認会計士協会 (AICPA) によって作成された内部統制レポートです。 エンド ユーザーがアウトソーシングされたサービスに関連するリスクを評価して対処できるように、サービス organizationによって提供されるサービスを調査することを目的としています。

SOC 1 Type 2 認証は次のように実行されます。

  • SSAE No. 18, 構成証明基準: 明確化と再書き込み, AT-C セクション 320 を含みます, ユーザーエンティティの内部制御に関連するサービス組織でのコントロールの検討に関するレポート (AICPA, プロフェッショナル標準).
  • 財務報告に対するユーザー エンティティの内部統制に関連するサービス組織での統制の調査に関する SOC 1 報告 (AICPA ガイド)。

構成証明契約の基準に関する AICPA ステートメント 18 (SSAE 18) とは別に、Office 365 SOC 1 Type 2 監査は、保証契約に関する国際標準第 3402 号 (ISAE 3402) に従って行われます。 SOC 1 構成証明は SAS 70 を置き換え、財務レポートに関するユーザー エンティティの内部コントロールに関連するサービスorganizationコントロールのレポートに適しています。 Type 2 報告書には、指定された監視期間中に関連する管理目標を達成するための管理の有効性に関する監査人の意見が含まれています。

対象となる Microsoft のクラウド プラットフォームとサービス

対象となる Microsoft オンライン サービスは、Azure SOC 1 Type 2 認証レポートに示されています。

Azure、Dynamics 365、および SOC 1

Azure、Dynamics 365、およびその他のオンライン サービス コンプライアンスの詳細については、Azure SOC 1 サービスを参照してください。

Office 365 および SOC 1

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 コンプライアンス マネージャー、カスタマー ロックボックス、Delve、Exchange Online Protection、Exchange Online、Forms、Griffin、Identity Manager、Lockbox (Torus)、Microsoft Teams、MyAnalytics、Office 365 カスタマー ポータル、Office 365マイクロサービス (Kaizala、ObjectStore、Sway、PowerPoint Online Document Service、Query Annotation Service、School Data Sync、Siphon、Speech、StaffHub、eXtensible Application Program)、Office Online、Office Services Infrastructure、OneDrive for Business、Planner、PowerApps、Power BI、Project Online、Microsoft Purview カスタマー キーを使用したサービス暗号化、SharePoint Online、Skype for Business
GCC Microsoft Entra ID、コンプライアンス マネージャー、Delve、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream
GCC High Microsoft Entra ID、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business
DoD Microsoft Entra ID、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power BI、SharePoint Online、Skype for Business

Office 365 監査レポート

必要に応じて SOC 1 および SOC 2 の認証レポートとブリッジ レターをダウンロードするには、Office 365 または Office 365 米国政府に既存のサブスクリプションまたは無料試用版アカウントが必要です。

よく寄せられる質問

Office 365 SOC レポートが発行される頻度はどれくらいですか?

Microsoft は、Office 365の SOC 1 Type 2 および SOC 2 Type 2 の完全な検査を毎年委託しています。 これらの審査(監査とも呼ばれます)に関する監査人の報告は、その監査の準備が整うとすぐに発行されます。 SOC 3レポートは、SOC 2の審査に基づいて、同時に発行されます。

Microsoft は、審査の調査範囲や監査人の完了期間を制御しないため、これらのレポートが発行される期間は設定されていません。 レポートは、通常、審査中の期間が終了した数ヶ月後に発行されます。 Microsoft では、1 つの検査から次の検査までの連続した期間のギャップを許可しません。

また、Microsoft は、SOC Type 2 の最後の監査以降に発行された新しい Microsoft サービスに対して、Office 365の中年 SOC 1 Type 1 および SOC 2 Type 1 の調査を委託しています。 種類 1 の監査では、一定期間のパフォーマンスは振り返りません。

Office 365の高度な性質により、全体として調べれば、サービス スコープは大きくなります。 これにより、スケールによる検査完了の遅延が発生する可能性があります。 Microsoft では、前に説明したすべての調査を 2 つのカテゴリ (Core Services とマイクロサービス) に整理しています。 Microsoft は、各調査を対象としたレポートを発行します。

SOC タイプ 2 の監査では、ローリング 12 か月間の 実行期間 (監査期間または正式には パフォーマンス期間とも呼ばれます) を調べ、翌年の 10 月 1 日から 9 月 30 日までの期間に毎年実施される検査が行われます。 検査は、パフォーマンスの期間が完了した後、すぐに開始されます。

Microsoft では、ブリッジ文字 ( ギャップ文字とも呼ばれます) も発行します。 これらは Microsoft による自己構成証明であり、監査人による審査に基づくレポートではありません。 ブリッジ文字は、まだ完了しておらず、監査検査の準備が整っていない現在のパフォーマンス期間中に発行されます。 Microsoft は、前の 3 か月間のパフォーマンスを証明するために、四半期末にブリッジ文字を発行します。 SOC タイプ 2 監査のパフォーマンス期間により、ブリッジ文字は通常、現在の運用期間の 12 月、3 月、6 月、および 9 月に発行されます。

お客様は Office 365 SOC 1 Type 2 認証からどのように利益を得ることができますか?

お客様は、Sarbanes-Oxley (SOX)、Federal Financial Institutions Examination Council (FFIEC)、グラム リーチ ブライリー法 (GLBA) など、独自の金融業界固有のコンプライアンス要件を追求する場合、Office 365 SOC 1 Type 2 認証を使用できます。

Microsoft のブリッジレターを含むOFFICE 365 SOC 監査ドキュメントはどこで入手できますか?

監査ドキュメントへのリンクについては、 Service Trust Portal の監査レポートセクションを参照してください。 サインインするには、Office 365または米国政府Office 365に既存のサブスクリプションまたは無料試用版アカウントが必要です。 監査証明書、評価レポート、およびその他の該当するドキュメントをダウンロードして、独自の規制要件に役立てることができます。

記載されている例外に対する管理対応はどこで確認できますか?

ほとんどの検査では、1 つ以上の特定のコントロールについていくつかの観察が行われます。 いくつかの観測値が予想されます。 例外に対する管理応答は、SOC 構成証明レポートの末尾に配置されます。 ドキュメントで "管理応答" を検索します。

ユーザー エンティティの責任はどこで確認できますか?

ユーザー エンティティの責任は、システム全体が SOC 2 制御標準を満たす場合に必要な制御責任です。 これらは、SOC 構成証明レポートの最後にあります。 ドキュメントで "ユーザー エンティティの責任" を検索します。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース