SOC3報告書/WebTrust報告書 ブックマークが追加されました
サービス
SOC3報告書/WebTrust報告書
SOC3報告書/WebTrust報告書は、セキュリティに関連する内部統制について合理的な保証を提供します。報告書の構成は概括的な記載となっており、開示範囲が制限されていないことから、インターネットを通じて報告書を公開することができます。
SOC3報告書
SOC3報告書は、米国公認会計士協会(AICPA)のトラストサービス規準(Trust Service Criteria)に従って、監査人が受託会社の内部統制を評価し、意見を表明した報告書です。
SOC3報告書において、受託会社の内部統制の記述は概括的なものとなり、詳細な内部統制の記述及び監査人の評価手続や結果は記載されません。そのため、受託会社のホームページ等により、広く公開することが可能な報告書となります。
SOC3報告書は、クラウドサービス事業者がSOC2報告書とともに取得し、他の基準・規格への対応状況と合わせてホームページ上で公開するケースが多くみられます。
[PDF, 356KB]
WebTrust報告書
WebTrust報告書とは、「認証局のためのWebTrustの原則と規準(The WebTrust Principles and Criteria for Certification Authorities)」に従って、評価手続を実施した結果が記載される報告書です。
認証局のホームページにより、インターネットを通じて広く公開することが可能な点や受託会社の内部統制の記述は概括的なものとなる点など、形式としてはSOC3報告書と同様となります。
WebTrustに関する規準は米国公認会計士協会(AICPA)とカナダ勅許会計士協会(CICA)によって開発され、現在はカナダ勅許職業会計士協会(CPA Canada)によって改定が行われています。
また、WebTrust報告書は、概括的な報告書とともにWebTrustシールが発行され、ホームページに表示することができます。シールの発行はカナダ勅許職業会計士協会(CPA Canada)によって管理されています。
WebTrust報告書を取得した認証局は、各種ウェブブラウザやオペレーティングシステムなどの「信頼されたルート証明機関」に登録することができ、ステークホルダーは安心して証明書を利用できるようになります。
代表的なWebTrust規準 |
特徴 |
|---|---|
WebTrust for CA |
WebTrustの基本となる規準 |
WebTrust for CA - SSL Baseline |
SSL証明書*1を発行する認証局向けの追加規準 |
WebTrust for CA - Extended Validation - SSL |
EV-SSL証明書*2を発行する認証局向けの追加規準 |
WebTrust for CA - Code Signing Baseline Requirements |
コード署名証明書*3を発行する認証局向けの追加規準 |
WebTrust for CA - S/MIME |
S/MIME証明書*4を発行する認証局向けの追加規準 |
WebTrust for CA - Mark Certificates |
マーク証明書*5を発行する認証局向けの追加規準 |
WebTrust for CA - Network Security |
EV-SSL証明書、SSL証明書、コード署名証明書、S/MIME証明書又はマーク証明書を発行する認証局のネットワークセキュリティに関する追加規準 |
*1 ウェブブラウザやサーバ間でSSL/TLS暗号化通信を行うための電子証明書
*2 ウェブサイト運営団体の実在性を最も厳格に認証したSSL証明書
*3 ソフトウェアへの電子署名に用いる電子証明書
*4 メールへの電子署名や暗号化、認証に用いる電子証明書
*5 メールクライアント内に商標等のロゴを表示できるようにするための電子証明書
