SOC3報告書/WebTrust報告書

SOC3報告書

SOC3報告書は、米国公認会計士協会（AICPA）のトラストサービス規準(Trust Service Criteria)に従って、監査人が受託会社の内部統制を評価し、意見を表明した報告書です。

SOC3報告書において、受託会社の内部統制の記述は概括的なものとなり、詳細な内部統制の記述及び監査人の評価手続や結果は記載されません。そのため、受託会社のWebサイト等により、広く公開することが可能な報告書となります。

SOC3報告書は、クラウドサービス事業者がSOC2報告書とともに取得し、他の基準・規格への対応状況と合わせてWebサイト上で公開するケースが多くみられます。

WebTrust報告書

WebTrust報告書とは、「認証局のためのWebTrustの原則と規準（The WebTrust Principles and Criteria for Certification Authorities）」に従って、評価手続を実施した結果が記載される報告書です。

認証局のWebサイトにより、インターネットを通じて広く公開することが可能な点や受託会社の内部統制の記述は概括的なものとなる点など、形式としてはSOC3報告書と同様です。

WebTrustに関する規準は米国公認会計士協会（AICPA）とカナダ勅許会計士協会（CICA）によって開発され、現在はカナダ勅許職業会計士協会（CPA Canada）によって改定が行われています。

また、WebTrust報告書は、概括的な報告書とともにWebTrustシールが発行され、Webサイトに表示することができます。シールの発行はカナダ勅許職業会計士協会（CPA Canada）によって管理されています。

WebTrust報告書を取得した認証局は、各種ウェブブラウザやオペレーティングシステムなどの「信頼されたルート証明機関」に登録することができ、ステークホルダーは安心して証明書を利用できるようになります。

代表的なWebTrust規準とその特徴

• WebTrust for CA
  WebTrustの基本となる規準
• WebTrust for CA - TLS Baseline
  TLS証明書^*1を発行する認証局向けの追加規準
• WebTrust for CA - Extended Validation - TLS
  EV-TLS証明書^*2を発行する認証局向けの追加規準
• WebTrust for CA - Code Signing Baseline Requirements
  コード署名証明書^*3を発行する認証局向けの追加規準
• WebTrust for CA - S/MIME
  S/MIME証明書^*4を発行する認証局向けの追加規準
• WebTrust for CA - Mark Certificates
  マーク証明書^*5を発行する認証局向けの追加規準
• WebTrust for CA - Network Security
  EV-TLS証明書、TLS証明書、コード署名証明書、S/MIME証明書又はマーク証明書を発行する認証局のネットワークセキュリティに関する追加規準

*1 Webブラウザやサーバ間でTLS暗号化通信を行うための電子証明書
*2 Webサイト運営団体の実在性を最も厳格に認証したTLS証明書
*3 ソフトウェアへの電子署名に用いる電子証明書
*4 メールへの電子署名や暗号化、認証に用いる電子証明書
*5 メールクライアント内に商標等のロゴを表示できるようにするための電子証明書

サードパーティアシュアランスサービス

• SOC1報告書
• SOC2報告書
• SOC3報告書／WebTrust報告書
• アウトソーシング事業報告支援サービス
• グローバル投資パフォーマンス基準（GIPS）