-
- いいね!0
Masaru Hiroki
@baborin
日本のIaaSについて調査しているが監査について記載しているところが少ない。必須となるであろうSAS70取得と明確に書いているには富士通さんぐらい?弊社もSAS70取得しているのでIaaS側も取得していれば監査簡易化のメリットを顧客へ提供できる。もっと、しっかり取りくんで欲しい。
2010-10-26 13:34:10
Masaru Hiroki
@baborin
SASA70などの取得は、IaaSに限らず、クラウドを提供していることろは今後必須となるのではないでしゅうか?クラウドになると、どこで何のサービスが動いているか分からず、監査の手間がふえる気がする。私も監査人ではないので良くわからないが、実際どうしてるんですかね?>とふってみる。
2010-10-26 13:36:39
GUCHI
@GUCHI2010
監査法人ごとに監査基準を持っているので、その基準に合致してないとSAS70あっても意味ないです。はやいとこ統一的な基準設けて欲しい。RT @baborin SASA70などの取得は、IaaSに限らず、クラウドを提供していることろは今後必須となるのでは…
2010-10-26 14:10:49
Masaru Hiroki
@baborin
省力化されたと聞いているので弊社の顧客は運がよかったということか。監査人の違い、本当なんとかして欲しいですよね。 RT @GUCHI2010: 監査法人ごとに監査基準を持っているので、その基準に合致してないとSAS70あっても意味ないです。はやいとこ統一的な基準設けて欲しい
2010-10-26 14:18:37
Masaru Hiroki
@baborin
ということは、DCが海外の場合、海外までチェックいくんですかね?AWSやForce.comでも? RT @GUCHI2010: 監査法人ごとに監査基準を持っているので、その基準に合致してないとSAS70あっても意味ないです。はやいとこ統一的な基準設けて欲しい。
2010-10-26 14:41:14
GUCHI
@GUCHI2010
どう対応するんでしょうね?そもそも海外だからアウトとか言わないか心配かも。RT @baborin ということは、DCが海外の場合、海外までチェックいくんですかね?AWSやForce.comでも? RT @GUCHI2010: 監査法人ごとに監査基準を持っている…
2010-10-26 19:26:57
Masaru Hiroki
@baborin
うちは海外のB-POSを使用してますが特に問題にはならなかった。基幹と情報系は違うとは思いますが。クラウドベンダー監査について考えていない気がしてきた。重要ポイントのはずだが。RT @GUCHI2010: どう対応するんでしょうね?そもそも海外だからアウトとか言わないか心配かも。
2010-10-27 12:38:15
Masaru Hiroki
@baborin
ということで、専門外だと調べてみよ。SaaSなんて、すべてお任せだから監査対応はベンダーが全部対応しないといけないはずだし。日本のクラウドベンダーに、ちょっと危機感を感じてきた RT @baborin: クラウドベンダー監査について考えていない気がしてきた。
2010-10-27 12:42:44
Masaru Hiroki
@baborin
海外にある場合は、その国の法律に従わないとならないということを念頭におておく必要がありますね。情報開示をもとめられる法律ができたら日本企業も開示する必要があります。米でその動きがあるのが不気味です RT @tontontonton:クラウドユーザーは地理的条件を無視してはならない
2010-10-28 01:05:39
Masaru Hiroki
@baborin
クラウド事業者の選択にSAS70or18号監査を取得しているか?を確認するのは、やはり重要ですね。クラウドになると何が何処で動いてるか分からないので監査に膨大な労力が必要になると思われます。SAS70を取得していれば、ID管理/統制など、そこから漏れたところ対応すれば良さそうです
2010-10-28 01:09:26
Masaru Hiroki
@baborin
AWSやForce.comは、もちろんSAS70取得。国内では富士通が取得。それ以外は、あまり、その点にふれらていないので取得されてないのかもしれません。他社IaaSを使用してSaaSの提供を検討している業者さんはIaaSベンダーが取得しているか選定の際確認した方がいいでしょう。
2010-10-28 01:13:33
Masaru Hiroki
@baborin
NTTコミュニケーションは日本版SAS70の18号監査を取得してました。その他CTC、ISID、NTTコムウェアなどもSAS70 Type2を取得してますね。もともとDC運営していたIaaSベンダーは取得しているところがポツポツ。気になるのはSaaSベンダーですね。
2010-10-28 01:29:43
Masaru Hiroki
@baborin
NTTコミュニケーションは日本版SAS70の18号監査を取得してました。その他CTC、ISID、NTTコムウェアなどもSAS70 Type2を取得してますね。もともとDC運営していたIaaSベンダーは取得しているところがポツポツ。気になるのはSaaSベンダーですね。
2010-10-28 01:29:43
Masaru Hiroki
@baborin
以上、クラウドと監査に関して連ツイでした。特に参考になった資料は、こちらです > http://bit.ly/cdblam 。一点誤解ないように書くとSAS70が適用されるのは監査面だけで、セキュリティが万全であることとイコールではありません。そちらは別途検討が必要です。
2010-10-28 01:41:55
Masaru Hiroki
@baborin
以上、クラウドと監査に関して連ツイでした。特に参考になった資料は、こちらです > http://bit.ly/cdblam 。一点誤解ないように書くとSAS70が適用されるのは監査面だけで、セキュリティが万全であることとイコールではありません。そちらは別途検討が必要です。
2010-10-28 01:41:55