現在、規模の大小や業種を問わず、クラウドサービスを利用する企業が増えています。令和3年度(2021年度)における総務省の情報通信白書によると、7割近い企業が何らかのクラウドサービスを利用しているそうです。そこで、IT全般統制の観点から、SaaSを中心としたクラウドサービスを利用するうえで留意すべき点を以下に3点述べたいと思います。
- 契約の事前承認と事後モニタリング
まず、SLA(サービスレベルアグリーメント)など、委託先の責任範囲を明確にした契約が、事前に承認されていること、業務実施状況が契約に基づいているかを事後に委託元がモニタリングすることが必要です。
委託元には、委託先に対する管理責任があります。委託先に任せきりになり、委託先でのITの重要な管理業務のプロセス(例えば、プログラムの変更管理がルールに基づいて行われているかなど)がどうなっているのかよくわからないという状態は避けなければなりません。 - SOCレポートが入手可能なシステム
次に、IT全般統制の対象となるクラウドサービスを選定する際には、SOC(System and Organization Controls)レポートが入手可能なクラウドサービスを選定することが望ましいです。SOCレポートとは、委託先の内部統制の有効性について、委託先の外部監査人などが評価した結果を報告する書類です。SOCレポートの評価結果は、委託元が自社の統制を図る際に利用可能なことから、委託先の内部統制を直接検証せずに済み、大幅に工数が削減できます。
SOCレポートに含まれないIT全般統制については、自社のIT全般統制として整備することが必要です。例えば、クラウドサービスへのアクセス権管理については、主要な部分を自社のIT全般統制として整備する必要があります。 - 必要に応じて利用者側がバックアップ
最後に、各クラウドサービスの利用規約をもとに、クラウドサービス事業者のバックアップについてのサービス内容と自社の責任範囲を明確にし、自らバックアップを行うべきか否かを判断する必要があると考えます。
クラウドサービスの場合、事業者側で常時バックアップされているものと認識している利用者が多いのですが、著名な会計システムや販売管理システムのクラウドサービスであっても、常時バックアップが行われていないものも数多くあります(あるクラウドサービスでは、クラウド事業者側のシステムに起因した問題が生じた時に加えて、任意のタイミングでバックアップが行われます)。
そのため、他システムとの連携の有無、入力方法、データ量、事業者側のバックアップの頻度とバックアップデータの入手可能性などを考慮し、自社バックアップが必要と判断される場合には、これを規程類に織り込み、制度化することによって、万が一のデータ消失のリスクを避けることができると考えます。
