SaaS時代のIT監査は「3者構造」を理解することから
会計・人事・販売・コミュニケーション──ほぼすべての業務システムがSaaS化した結果、IT監査の対象もオンプレからクラウドへ大きくシフトしました。しかし「SaaSはベンダーが面倒を見るから自社の監査は楽になる」という思い込みは危険です。実際には(1)SaaSベンダー側の統制、(2)自社の利用統制、(3)両者を繋ぐCUEC──の3者構造を理解しないとIT監査では指摘を受けます。
本記事では、M365・Salesforce・AWS・Workday等のSaaS/クラウドサービスを利用している中堅・中小企業向けに、IT監査で問われる論点を解説します。基礎はIT監査とは、J-SOX ITGC実装、IT監査の頻出指摘15選を併せてご参照ください。
3者構造:誰が何を統制するのか
| 役割 | 担う統制 | 具体例 |
|---|---|---|
| SaaSベンダー(受託会社) | インフラ、データセンタ、ネットワーク、アプリ基盤 | 物理セキュリティ、暗号化、可用性、変更管理 |
| 利用企業(ユーザー) | 利用者管理、データ入力、アクセス権限、業務統制 | アカウント発行・削除、権限付与、業務承認 |
| CUEC(補完統制) | SaaSベンダー側で完結しない論点を利用企業側で補う | パスワード設定、MFA有効化、監査ログ確認 |
監査人はSaaS本体の統制(ベンダー側)はSOC1/SOC2レポートで確認し、自社側の統制とCUECは利用企業の証跡で確認します。利用企業はベンダー側を勝手に監査できないため、SOC1/SOC2レポートの取得が事実上必須になります。
SOC1とSOC2の違い
SOC(System and Organization Controls)レポートは米国公認会計士協会(AICPA)が定めた、サービスを受託する組織の内部統制を第三者監査人が評価したレポートです。日本でもクラウドサービスの監査対応で広く活用されています。
| 項目 | SOC1 | SOC2 | SOC3 |
|---|---|---|---|
| 主な目的 | 財務報告に関連する内部統制 | セキュリティ・可用性・処理の正確性・機密性・プライバシー | SOC2の概要版(公開可能) |
| 主な利用者 | 会計士、財務監査人、利用企業の経理 | セキュリティ担当、リスク管理 | マーケティング目的 |
| J-SOX対応 | ○ 中心となる | △ 補完的 | × |
| NDA | 必要 | 必要 | 不要 |
Type IとType IIの違い
- Type I:特定時点での「設計の妥当性」のみ評価(数日〜1ヶ月の期間)
- Type II:6〜12ヶ月の期間にわたる「運用の有効性」を評価。監査ではType IIが必須
「SOC2 Type Iを取得しています」と謳うベンダーは、設計だけ評価された状態で運用は未評価です。財務監査・J-SOXではType II以外は使えません。委託先評価でType II提出を求めること。
SOC1/SOC2レポートの読み方
SOC1/SOC2レポートは200〜500ページに及ぶことが多く、初見では読み方が分かりません。以下の5セクションを確認します。
| セクション | 内容 | 確認ポイント |
|---|---|---|
| I. 監査人の意見 | 無限定/除外事項あり/不適正 | 「無限定」(unqualified opinion)であること |
| II. 経営者確認書 | サービス会社の経営者の言明 | 署名の有無 |
| III. システムの説明 | サービス内容、責任範囲 | 自社が利用するサービスがスコープに含まれるか |
| IV. 統制目的とテスト結果 | 各統制の説明と監査人のテスト結果 | 「逸脱」「例外」事項の数と影響 |
| V. CUEC | 利用企業側で実施すべき補完統制 | 自社で対応できているかチェックリスト化 |
確認すべき逸脱・例外事項のレベル
- レベル1:意見に「除外事項」がある→重要。即座に経営層へエスカレーション
- レベル2:個別統制で「逸脱多数」→対応は可能。代替統制で補強
- レベル3:「逸脱なし」→問題なし
CUEC(Complementary User Entity Controls)の対応
CUECは「サービス会社の統制が機能するために、利用企業側で実施すべき統制」です。CUECに記載があるのに自社で実施していないと「統制不備」となり監査指摘されます。
主要SaaSのCUEC例
| SaaS | CUECの例 | 自社の対応 |
|---|---|---|
| Microsoft 365 | 強力なパスワードポリシー設定、MFA有効化、管理者ロール付与の制限 | 条件付きアクセスでMFA必須化、Entra IDでパスワード設定 |
| Salesforce | プロファイル/権限セットの定期レビュー、共有設定の妥当性確認 | 四半期アクセスレビュー、共有ルール棚卸し |
| AWS | IAM の最小権限設計、root アカウントのMFA、CloudTrail有効化 | SCP・IAM Access Analyzer、root MFA設定、ログ集約 |
| Workday/HRMOS | 権限ロールの定期レビュー、従業員データの正確性確認 | 四半期権限レビュー、月次データチェック |
| 会計SaaS | 承認権限の設定、仕訳の二重チェック、月次照合 | 承認ワークフロー、決算チェックリスト |
CUECの抜け漏れは監査人がもっとも目を光らせる領域です。SaaS導入時にCUECを抽出し、自社の運用手順書に組み込むことが必要です。
Bridge Letter(ギャップカバーレター)の運用
SOC1/SOC2 Type IIレポートは多くが暦年(1〜12月)で作成されます。一方、利用企業の決算は3月や6月など。レポートのカバー期間と利用企業の決算期にズレが生じる場合に必要なのがBridge Letter(ブリッジレター、ギャップカバーレター)です。
例:ベンダーのSOC2 Type IIが2025年1月〜12月をカバー。自社の決算が2026年3月。1〜3月の3ヶ月間が「ギャップ期間」になります。Bridge Letter でこの3ヶ月間に「重大な統制変更がなかった」ことをサービス会社が表明し、監査人がそれを利用します。
Bridge Letterは多くのSaaSベンダーが標準で発行しています。M365、AWS、Salesforce、Workdayなどの大手は、ベンダーポータルから取得可能です。日系SaaSベンダーには発行を求める必要があり、契約書にBridge Letter提供条項を入れておくのが望ましいです。
副運用者(Subservice Organization)の管理
SaaSベンダーが別のクラウド(AWS、Azure、GCP)でホストしているケースは多々あります。この場合、副運用者の統制も評価対象になります。
2つのアプローチ
- Inclusive method(包括方式):副運用者の統制をSaaSベンダーのSOCレポートに含めて評価
- Carve-out method(切り出し方式):副運用者の統制はSaaSベンダーのSOCに含めず、副運用者から別途SOCを取得
Carve-out方式の場合、利用企業はSaaSベンダーのSOCに加え、AWS/Azure/GCP等の副運用者のSOCも取得・確認する必要があります。M365利用企業がAzureのSOCも確認すべきなのはこのためです。
委託先評価の実務
SOC1/SOC2の確認以外にも、IT監査では委託先評価の証跡が求められます。
初回評価(導入時)
- 事業継続性(経営状況、財務、サービス継続性)
- セキュリティ(ISMS、SOC2、Pマーク、ISMAP等の認証取得状況)
- データ保護(暗号化、アクセス制御、バックアップ)
- 所在地(データの保管地域、海外移転の有無)
- サブコントラクター(副運用者)の管理
- SLA、責任範囲、契約解除条件
- 個人情報保護法への対応(第三者提供、越境移転)
定期評価(年次)
- SOC1/SOC2 Type II の最新レポート取得
- Bridge Letter取得
- セキュリティインシデントの有無確認
- SLA達成状況のレビュー
- 契約継続/変更/解除の検討
データ越境とプライバシー監査
2026年現在、個人情報保護法・改正版での越境移転の本人同意要件が厳格化されています。SaaS利用企業のIT監査では、データ所在地の確認も重要論点です。
| 確認項目 | 具体例 |
|---|---|
| データ所在地 | 東京リージョン、米国、EU等を契約書で明記 |
| データ転送経路 | サポートのために他国エンジニアがアクセスする可能性 |
| 本人同意 | 越境移転を含む同意取得(プライバシーポリシー) |
| 標準契約条項(SCC) | EU GDPR対応、日本ガイドライン適合 |
| データ削除権 | 解約時のデータ削除証明書発行 |
監査エビデンスの整備
IT監査人が「SaaSの統制を確認したい」と言ってきた際に提示すべき資料一覧です。
| エビデンス | 取得元 | 更新頻度 |
|---|---|---|
| SOC1/SOC2 Type II レポート | ベンダーポータル/契約担当者経由 | 年1回 |
| Bridge Letter | 同上 | 年1〜2回 |
| CUEC対応チェックリスト | 自社作成 | 年1回 |
| 委託先評価シート | 自社作成 | 年1回 |
| アクセス権棚卸し記録 | 自社作成 | 四半期 |
| 退職者アカウント無効化記録 | 自社作成 | 都度 |
| 監査ログ抽出(M365、AWS等) | 各サービス管理画面 | 都度 |
| セキュリティインシデント記録 | 自社チケット/ベンダー通知 | 都度 |
| SLA達成レポート | ベンダー提供 | 月次/年次 |
年間運用プロセス
SaaSベンダーのIT監査対応を「年1回の例外作業」にせず、定常運用に組み込むためのカレンダー例です。
| 時期 | アクション |
|---|---|
| 1月 | 主要SaaSのSOC2 Type II(前年12月締め)取得・レビュー開始 |
| 2月 | CUECチェックリストを当年版に更新、ギャップ是正 |
| 3月(決算月) | Bridge Letter取得(決算期がSOC期間と異なる場合) |
| 5〜6月 | 監査人へSOC等を提出、ヒアリング対応 |
| 四半期末 | アクセス権棚卸し、特権ID棚卸し、SaaS管理者棚卸し |
| 10月 | 新規SaaS導入時のSOC確認、契約書のBridge Letter条項確認 |
| 12月 | 委託先年次評価の実施 |
中小企業向けの簡易版アプローチ
非上場・J-SOX非対象の中小企業ではSOC2 Type IIの分厚いレポートを完全に読み込む工数を割けません。簡易版の現実解です。
- Tier 1(重要SaaS:会計・人事・基幹):SOC2 Type II 取得、CUECチェック、Bridge Letter
- Tier 2(業務SaaS:CRM・MA・チャット):SOC2/3 Summaryの確認、契約書の責任範囲確認
- Tier 3(補助SaaS:図形作成・ツール):プライバシーポリシーとセキュリティページの確認のみ
すべてを同等に深掘りせず、業務影響度でリスクベースに分類することが重要です。
BTNコンサルティングの支援
BTNコンサルティングでは、M365・Salesforce・AWS・Workday等のSaaSを利用する企業のIT監査対応を支援しています。SOC1/SOC2レポートの取得・読み込み代行、CUECチェックリスト整備、Bridge Letter運用、委託先評価シート作成、年次更新の伴走を提供。J-SOX、ISMS、SOC2、上場準備のいずれにも対応可能です。
まとめ
SaaS時代のIT監査では「ベンダー側統制(SOC1/SOC2)」「自社側統制」「両者を結ぶCUEC」の3者構造の理解が必須です。SOC1/SOC2 Type II の取得、CUECチェックリストの整備、Bridge Letterの運用、副運用者管理、委託先年次評価──の5つを年間運用プロセスに組み込むことで、SaaS関連の監査指摘を大幅に減らせます。中小企業ではリスクベースにTier分けし、重要SaaSに絞って深く対応することが現実解です。