Transaction Processing

トランザクション処理

ビジネス取引を記録・処理するシステム

Transaction processing systems capture and process daily business transactions such as sales and payments.

Batch Processing

バッチ処理

一定期間の取引をまとめて一括処理

Payroll processing is a common example of batch processing where transactions are accumulated and processed together.

Real-Time Processing

リアルタイム処理

取引発生と同時に処理。即時にデータ更新

Online banking uses real-time processing to update account balances immediately after each transaction.

Relational Database

リレーショナルデータベース

テーブル（行と列）でデータを管理。SQLで操作

A relational database stores data in tables linked by primary and foreign keys.

Normalization

正規化

データの冗長性を排除するDB設計手法

Normalization reduces data redundancy by organizing tables to minimize duplicate information.

Cloud Computing

クラウドコンピューティング

IaaS / PaaS / SaaS の3サービスモデル

Cloud computing delivers computing services over the internet in three models: IaaS, PaaS, and SaaS.

IaaS (Infrastructure as a Service)

IaaS

仮想サーバー等のインフラを提供

IaaS provides virtualized computing resources such as servers and storage over the internet.

SaaS (Software as a Service)

SaaS

ソフトウェアをインターネット経由で提供

SaaS delivers software applications over the internet, eliminating the need for local installation.

LAN (Local Area Network)

LAN

限定された地理的範囲のネットワーク

A LAN connects computers within a building or campus.

WAN (Wide Area Network)

WAN

広域に分散したネットワーク。インターネットが最大のWAN

A WAN connects multiple LANs across cities, countries, or continents.

Primary Key

主キー

テーブル内の各レコードを一意に識別するフィールド

A primary key uniquely identifies each record in a database table.

Foreign Key

外部キー

他テーブルの主キーを参照するフィールド

A foreign key creates a link between two tables by referencing the primary key of another table.

SQL (Structured Query Language)

SQL

リレーショナルDBの操作言語

SQL is used to query, insert, update, and delete data in relational databases.

ERP (Enterprise Resource Planning)

ERP

企業の全業務を統合管理するシステム

An ERP system integrates finance, HR, manufacturing, and supply chain into a single platform.

Data Warehouse

データウェアハウス

分析用の大規模統合データベース

A data warehouse consolidates data from multiple sources for reporting and analysis.

TCP/IP

TCP/IP

インターネットの基本通信プロトコル

TCP/IP is the fundamental protocol suite that enables communication over the internet.

VPN (Virtual Private Network)

VPN

公衆回線上に暗号化された仮想専用線を構築

A VPN creates an encrypted tunnel over a public network for secure remote access.

API (Application Programming Interface)

API

システム間のデータ連携を可能にする接続仕様

APIs allow different software applications to communicate and share data.

IT Governance

ITガバナンス

IT戦略と事業戦略の整合を図る管理体制

IT governance ensures that IT investments support business objectives and manage risks.

COBIT (Control Objectives for IT)

COBIT

ISACAが策定したITガバナンスのフレームワーク

COBIT provides a comprehensive framework for IT governance and management.

ITIL (Information Technology Infrastructure Library)

ITIL

ITサービス管理のベストプラクティス集

ITIL provides best practices for IT service management and delivery.

IT Strategic Plan

IT戦略計画

事業戦略と整合したITの長期計画

The IT strategic plan aligns technology initiatives with the organization's business strategy.

IT Balanced Scorecard

ITバランスドスコアカード

IT部門の業績を4視点で評価

The IT BSC measures IT performance across financial, customer, process, and learning perspectives.

Service Level Agreement (SLA)

サービスレベル契約

ITサービスの品質基準を定めた契約

An SLA specifies uptime requirements, response times, and performance metrics for IT services.

IT Steering Committee

IT運営委員会

IT投資と優先順位を決定する経営レベルの委員会

The IT steering committee prioritizes IT projects and ensures alignment with business goals.

Chief Information Officer (CIO)

最高情報責任者

組織のIT戦略を統括する経営幹部

The CIO is responsible for the overall IT strategy and ensuring technology supports business objectives.

Information Security Policy

情報セキュリティポリシー

組織のセキュリティに関する最上位の方針文書

The information security policy establishes the organization's overall approach to information security.

Acceptable Use Policy (AUP)

利用規程

IT資源の許容される使用方法を定めた規程

An AUP defines acceptable and unacceptable uses of organizational IT resources.

Data Governance

データガバナンス

データの品質・セキュリティ・可用性を管理する体制

Data governance establishes policies and procedures for managing data quality and integrity.

Vendor Management

ベンダー管理

ITサプライヤーの選定・監視・評価

Vendor management includes evaluating, selecting, and monitoring IT service providers.

Segregation of Duties (IT)

職務分離（IT）

開発・運用・セキュリティを分離。不正防止の基本

IT segregation of duties separates programming, operations, and security administration.

SDLC (Systems Development Life Cycle)

システム開発ライフサイクル

計画→分析→設計→実装→テスト→保守の6段階

The SDLC provides a structured approach to developing information systems through defined phases.

Change Management

変更管理

システム変更の承認・テスト・実装を統制するプロセス

Change management ensures that all changes to production systems are authorized, tested, and documented.

Systems Analyst

システムアナリスト

業務要件をシステム仕様に変換する役割

A systems analyst bridges the gap between business needs and technical solutions.

Database Administrator (DBA)

データベース管理者

DBの設計・保守・パフォーマンス・セキュリティを管理

The DBA is responsible for database design, maintenance, performance, and access control.

Agile Development

アジャイル開発

反復的・漸進的な開発手法。スプリントで進行

Agile development delivers software in short iterations called sprints with continuous feedback.

Waterfall Model

ウォーターフォールモデル

各フェーズを順番に完了する伝統的な開発手法

The waterfall model completes each SDLC phase sequentially before moving to the next.

User Acceptance Testing (UAT)

ユーザー受入テスト

エンドユーザーによるシステムの最終確認テスト

UAT verifies that the system meets business requirements from the end user's perspective.

Parallel Conversion

並行稼働

新旧システムを同時に稼働して結果を比較

Parallel conversion runs old and new systems simultaneously to verify the new system's accuracy.

Program Change Controls

プログラム変更統制

本番環境への変更を管理する統制手続

Program change controls ensure that only authorized and tested changes are moved to production.

Prototyping

プロトタイピング

動作するモデルを早期に作成し要件を確認

Prototyping creates a working model of the system for users to evaluate before full development.

Data Conversion

データ移行

旧システムから新システムへのデータ移行プロセス

Data conversion involves migrating data from the old system to the new system.

Version Control

バージョン管理

ソースコードの変更履歴を追跡・管理

Version control systems track changes to source code and enable rollback if needed.

DevOps

DevOps

開発と運用を統合した継続的なソフトウェア提供手法

DevOps integrates development and operations to enable continuous delivery and deployment.

Configuration Management

構成管理

IT資産の構成情報を記録・管理するプロセス

Configuration management maintains records of all IT assets and their relationships.

COSO Internal Control Framework

COSO内部統制フレームワーク

5構成要素: CE, RA, CA, IC, MA

The COSO framework consists of control environment, risk assessment, control activities, information and communication, and monitoring.

IT General Controls (ITGC)

IT全般統制

全てのアプリに共通する統制。アクセス管理、変更管理等

ITGCs include access security, change management, and computer operations controls.

Application Controls

アプリケーション統制

特定のアプリに組み込まれた統制。入力・処理・出力

Application controls include input validation, processing controls, and output controls.

Input Controls

入力統制

データ入力の正確性・完全性を確保する統制

Edit checks, field validations, and check digits are examples of input controls.

Processing Controls

処理統制

データ処理の正確性を確保する統制

Run-to-run totals and reasonableness tests are processing controls.

Output Controls

出力統制

処理結果の正確性と適切な配布を確保

Output controls verify that reports are accurate, complete, and distributed to authorized recipients.

Hash Total

ハッシュ合計

意味のない合計値だがデータの完全性を検証

A hash total sums a non-financial field like employee numbers to verify all records were processed.

Check Digit

チェックディジット

識別番号の誤入力を検出する計算上の検証桁

A check digit appended to an account number detects transposition and transcription errors.

Preventive Control

予防統制

エラーや不正を事前に防止する統制

Access controls and input validation are preventive controls that stop errors before they occur.

Detective Control

発見統制

エラーや不正を発生後に検出する統制

Exception reports and audit trails are detective controls that identify errors after they occur.

Corrective Control

是正統制

検出されたエラーを修正する統制

Error correction procedures and backup restoration are examples of corrective controls.

Audit Trail

監査証跡

取引の追跡を可能にするログ記録

An audit trail provides a chronological record of system activities for review and reconstruction.

Access Control List (ACL)

アクセス制御リスト

ユーザーごとのリソースへのアクセス権限一覧

An ACL specifies which users have permission to access specific resources and what actions they can perform.

Compensating Control

代替統制

主要統制が実施できない場合の代替手段

When segregation of duties is not possible, compensating controls like supervisory review are used.

Control Environment

統制環境

COSO第1要素。組織の倫理観や統制意識の基盤

The control environment sets the tone of the organization and is the foundation for all other controls.

Monitoring Activities

モニタリング活動

COSO第5要素。統制の有効性を継続的に評価

Monitoring ensures that internal controls continue to operate effectively over time.

Validity Check

妥当性チェック

入力データが有効な値かを検証する統制

A validity check ensures that entered data matches predefined acceptable values.

Limit Check

上限チェック

入力値が許容範囲内かを検証する統制

A limit check rejects transactions that exceed a predetermined dollar amount.

COSO-ERM Framework

COSO-ERMフレームワーク

5構成要素: Governance, Strategy, Performance, Review, Communication

COSO-ERM integrates risk management with strategy and performance.

Risk Assessment (ISC)

リスク評価（ISC）

リスクの識別・分析・対応計画の策定

Risk assessment identifies threats, evaluates their likelihood and impact, and determines responses.

Risk Appetite (ISC)

リスク選好（ISC）

組織が許容するリスクの総量

Risk appetite is the amount of risk an organization is willing to accept in pursuit of its objectives.

Risk Capacity

リスクキャパシティ

組織が負担できるリスクの最大量

Risk capacity is the maximum amount of risk an organization can absorb without jeopardizing solvency.

Risk Register

リスク登録簿

識別されたリスクと対応策を記録した文書

A risk register documents identified risks, their assessments, and planned responses.

Heat Map

ヒートマップ

リスクの発生確率と影響度を視覚化する図

A heat map plots risks by likelihood and impact to prioritize risk management efforts.

Inherent Risk vs Residual Risk (ISC)

固有リスク vs 残余リスク（ISC）

統制前のリスク vs 統制後のリスク

Residual risk is the risk remaining after controls are applied to reduce inherent risk.

Risk Response Strategies (ISC)

リスク対応戦略（ISC）

Accept, Avoid, Reduce, Share/Transfer

Organizations respond to risks by accepting, avoiding, reducing, or sharing them.

Key Risk Indicator (KRI)

重要リスク指標

リスクの増減を早期に察知するための指標

KRIs are metrics that provide early warning signals of increasing risk exposure.

Third-Party Risk

サードパーティリスク

外部ベンダーやパートナーに起因するリスク

Third-party risk arises from reliance on external vendors for critical business functions.

Cyber Risk

サイバーリスク

情報システムへの攻撃や侵害に関するリスク

Cyber risk includes the threat of data breaches, ransomware, and unauthorized system access.

Risk Mitigation

リスク低減

リスクの発生確率や影響を減らす対策

Installing firewalls and conducting security training are risk mitigation measures.

Business Continuity Plan (BCP)

業務継続計画

災害時に重要業務を継続するための計画

A BCP ensures that critical business functions can continue during and after a disaster.

Business Impact Analysis (BIA)

ビジネスインパクト分析

業務中断の影響を分析しRTO/RPOを設定

A BIA identifies critical functions and determines acceptable downtime and data loss levels.

Recovery Time Objective (RTO)

目標復旧時間

業務を復旧させるまでの最大許容時間

An RTO of 4 hours means the system must be restored within 4 hours of a disruption.

Recovery Point Objective (RPO)

目標復旧時点

許容されるデータ損失の最大時間幅

An RPO of 1 hour means backups must occur at least every hour to limit data loss.

BCP Testing Types

BCPテストの種類

Checklist → Tabletop → Simulation → Full Interruption

BCP tests range from simple checklist reviews to full interruption tests that shut down operations.

Tabletop Exercise

卓上演習

関係者が集まりシナリオを議論するテスト手法

A tabletop exercise walks through disaster scenarios without actually disrupting operations.

Maximum Tolerable Downtime (MTD)

最大許容停止時間

業務が停止しても組織が存続できる最大時間

MTD represents the longest period a business function can be unavailable before causing irreversible harm.

Crisis Communication Plan

危機コミュニケーション計画

災害時のステークホルダーへの情報伝達計画

A crisis communication plan defines how to notify employees, customers, and the media during a disaster.

Succession Planning

後継者計画

主要人員が不在になった場合の代替要員計画

Succession planning ensures key roles can be filled if personnel are unavailable during a crisis.

Alternate Processing Site

代替処理サイト

メインサイトが使用不能時の代替拠点

An alternate processing site provides backup computing facilities during a disaster.

Disaster Recovery Plan (DRP)

災害復旧計画

IT環境の復旧に特化した計画。BCPの一部

A DRP focuses specifically on restoring IT systems and data after a disaster.

Hot Site

ホットサイト

即座に稼働可能な完全装備の代替サイト。最も高コスト

A hot site is fully equipped and can take over operations within minutes to hours.

Warm Site

ウォームサイト

一部の設備が整った代替サイト。稼働まで数日

A warm site has some hardware and connectivity but requires additional setup before use.

Cold Site

コールドサイト

電源と空調のみの空施設。最も低コストだが復旧に時間

A cold site provides basic facilities but no equipment, requiring significant setup time.

RAID (Redundant Array of Independent Disks)

RAID

複数ディスクでデータの冗長性と性能を向上

RAID technology uses multiple disks to provide data redundancy and improve performance.

Full Backup

フルバックアップ

全データの完全なコピー。最も時間がかかる

A full backup copies all data and provides the simplest recovery but takes the most time and storage.

Incremental Backup

増分バックアップ

前回バックアップ以降の変更分のみコピー

An incremental backup copies only data changed since the last backup, requiring less time and storage.

Differential Backup

差分バックアップ

前回のフルバックアップ以降の変更分をコピー

A differential backup copies all changes since the last full backup.

Failover

フェイルオーバー

障害時に自動的にバックアップシステムに切替え

Failover automatically switches to a standby system when the primary system fails.

Mirroring

ミラーリング

データをリアルタイムで別のディスクに複製

Disk mirroring writes identical data to two drives simultaneously for instant redundancy.

Off-site Storage

遠隔地保管

バックアップ媒体を物理的に離れた場所に保管

Off-site storage ensures backup media survives a disaster that destroys the primary location.

Uninterruptible Power Supply (UPS)

無停電電源装置

停電時に一時的に電力を供給する装置

A UPS provides temporary power during outages to allow for graceful shutdown or generator startup.

NIST Cybersecurity Framework (CSF)

NISTサイバーセキュリティフレームワーク

5つの機能: Identify, Protect, Detect, Respond, Recover

The NIST CSF organizes cybersecurity activities into five core functions.

GDPR (General Data Protection Regulation)

一般データ保護規則

EU市民の個人データ保護に関する包括的法規制

GDPR requires organizations to protect EU citizens' personal data and grants individuals privacy rights.

HIPAA

HIPAA（医療保険の相互運用性と説明責任に関する法律）

医療情報の保護に関する米国の法律

HIPAA requires safeguards to protect the privacy and security of protected health information.

PCI DSS

PCI DSS（カード業界データセキュリティ基準）

クレジットカードデータの保護基準

PCI DSS specifies security requirements for organizations that handle credit card information.

NIST SP 800-53

NIST SP 800-53

連邦情報システムのセキュリティ統制カタログ

NIST SP 800-53 provides a catalog of security and privacy controls for federal information systems.

CIS Controls

CISコントロール

サイバー防御のための優先順位付き対策リスト

CIS Controls provide a prioritized set of actions to protect against the most common cyber attacks.

SOX (Sarbanes-Oxley Act)

サーベンス・オクスリー法（ISC）

上場企業のICFR評価義務。IT統制も対象

SOX requires public companies to maintain effective internal controls, including IT controls.

ISO 27001

ISO 27001

情報セキュリティマネジメントシステム（ISMS）の国際規格

ISO 27001 specifies requirements for establishing and maintaining an information security management system.

Data Privacy

データプライバシー

個人データの収集・使用・保管に関する権利と義務

Data privacy regulations govern how organizations collect, use, store, and share personal information.

Data Breach Notification

データ漏洩通知

個人データ漏洩時の法的通知義務

Data breach notification laws require organizations to notify affected individuals when a breach occurs.

Right to be Forgotten

忘れられる権利

GDPR上の個人データ削除を要求する権利

Under GDPR, individuals have the right to request that their personal data be erased.

Data Protection Officer (DPO)

データ保護責任者

GDPRで一定の組織に任命が義務付けられる役職

A DPO oversees data protection strategy and compliance with privacy regulations.

CIA Triad

CIAトライアド（機密性・完全性・可用性）

情報セキュリティの3大原則

The CIA triad—confidentiality, integrity, and availability—forms the foundation of information security.

Multi-Factor Authentication (MFA)

多要素認証

知識・所有・生体の3要素から2つ以上で認証

MFA combines something you know (password), something you have (token), and something you are (biometrics).

Encryption

暗号化

データを読めない形に変換して保護する技術

Encryption transforms plaintext into ciphertext to protect data from unauthorized access.

Symmetric Encryption

共通鍵暗号

暗号化と復号に同じ鍵を使用。AES等

Symmetric encryption uses the same key for both encryption and decryption.

Asymmetric Encryption (Public Key)

公開鍵暗号

公開鍵と秘密鍵のペアを使用。RSA等

Asymmetric encryption uses a public key to encrypt and a private key to decrypt.

Digital Signature

デジタル署名

送信者の秘密鍵で署名、公開鍵で検証

A digital signature verifies the sender's identity and ensures the message has not been altered.

Firewall

ファイアウォール

ネットワーク間のトラフィックを制御する境界防御

A firewall monitors and controls incoming and outgoing network traffic based on security rules.

Intrusion Detection System (IDS)

侵入検知システム

不正アクセスを検知して警告するシステム

An IDS monitors network traffic for suspicious activity and generates alerts.

Intrusion Prevention System (IPS)

侵入防止システム

不正アクセスを検知し自動的にブロック

An IPS actively blocks detected threats in addition to identifying them.

DMZ (Demilitarized Zone)

DMZ（非武装地帯）

外部ネットワークと内部ネットワークの間の緩衝地帯

A DMZ hosts public-facing servers while protecting the internal network from direct access.

PKI (Public Key Infrastructure)

公開鍵基盤

デジタル証明書の発行・管理の仕組み

PKI manages digital certificates that bind public keys to the identity of their owners.

Digital Certificate

デジタル証明書

認証局（CA）が発行する公開鍵の所有者証明

A digital certificate issued by a CA verifies that a public key belongs to a specific entity.

SSL/TLS

SSL/TLS

通信の暗号化プロトコル。HTTPS等

TLS encrypts data transmitted between web browsers and servers to ensure secure communication.

Hashing

ハッシュ化

一方向の変換でデータの完全性を検証。SHA等

Hashing produces a fixed-length digest that verifies data integrity.

Role-Based Access Control (RBAC)

ロールベースアクセス制御

役割に基づいてアクセス権を付与する方式

RBAC assigns permissions based on organizational roles rather than individual users.

Principle of Least Privilege

最小権限の原則

業務に必要な最低限のアクセス権のみを付与

The principle of least privilege grants users only the minimum access needed to perform their duties.

Single Sign-On (SSO)

シングルサインオン

1回の認証で複数システムにアクセス可能にする仕組み

SSO allows users to authenticate once and access multiple applications without re-entering credentials.

Data Loss Prevention (DLP)

データ損失防止

機密データの不正な流出を防止する技術・ポリシー

DLP tools monitor and prevent unauthorized transfer of sensitive data outside the organization.

Phishing

フィッシング

偽メール/サイトで個人情報を詐取する攻撃

Phishing emails trick users into revealing passwords or clicking malicious links.

Malware

マルウェア

悪意のあるソフトウェアの総称。ウイルス、ワーム等

Malware includes viruses, worms, trojans, and ransomware designed to damage or exploit systems.

Ransomware

ランサムウェア

データを暗号化し身代金を要求するマルウェア

Ransomware encrypts a victim's files and demands payment for the decryption key.

Social Engineering

ソーシャルエンジニアリング

人間の心理を悪用して情報を入手する手法

Social engineering manipulates people into divulging confidential information or performing actions.

SQL Injection

SQLインジェクション

SQLコードを入力フィールドに注入してDBを操作する攻撃

SQL injection exploits input vulnerabilities to execute unauthorized database commands.

Denial of Service (DoS)

サービス拒否攻撃

大量のリクエストでシステムを使用不能にする攻撃

A DoS attack floods a server with traffic to make it unavailable to legitimate users.

Man-in-the-Middle (MitM)

中間者攻撃

通信を傍受し内容を盗聴・改ざんする攻撃

A MitM attack intercepts communication between two parties to eavesdrop or alter messages.

Zero-Day Attack

ゼロデイ攻撃

パッチ未公開の脆弱性を突く攻撃

A zero-day attack exploits a software vulnerability before the vendor releases a patch.

Spear Phishing

スピアフィッシング

特定の個人・組織を標的にした精密なフィッシング

Spear phishing targets specific individuals using personalized information to increase success.

Cross-Site Scripting (XSS)

クロスサイトスクリプティング

Webサイトに悪意のあるスクリプトを注入する攻撃

XSS injects malicious scripts into web pages viewed by other users.

Brute Force Attack

ブルートフォース攻撃

全ての文字組み合わせを試行してパスワードを解読

A brute force attack systematically tries all possible password combinations until the correct one is found.

Insider Threat

内部脅威

従業員等の内部者による悪意ある行為

An insider threat involves employees or contractors who misuse their access to harm the organization.

Vulnerability Scanning

脆弱性スキャン

システムのセキュリティ上の弱点を自動検出

Vulnerability scanning tools automatically identify security weaknesses in systems and networks.

Penetration Testing

ペネトレーションテスト

許可された攻撃者がシステムの脆弱性を検証

Penetration testing simulates real attacks to identify vulnerabilities before malicious actors exploit them.

Patch Management

パッチ管理

ソフトウェアの脆弱性修正プログラムの適用管理

Patch management ensures timely application of security updates to fix known vulnerabilities.

Trust Services Criteria (TSC)

トラストサービス基準

SOC 2/3の評価基準。5カテゴリ

TSC provides the criteria for evaluating controls in SOC 2 and SOC 3 engagements.

Security (TSC)

セキュリティ（TSC）

唯一の必須カテゴリ。不正アクセスからの保護

Security is the only required TSC category and protects against unauthorized access and use.

Availability (TSC)

可用性（TSC）

システムが契約通りに利用可能であること

Availability ensures the system is operational and accessible as committed in service agreements.

Processing Integrity (TSC)

処理のインテグリティ（TSC）

処理が完全・正確・適時・承認済みであること

Processing integrity ensures that system processing is complete, valid, accurate, and authorized.

Confidentiality (TSC)

機密性（TSC）

機密情報の保護

Confidentiality controls protect information designated as confidential.

Privacy (TSC)

プライバシー（TSC）

個人情報の収集・使用・保管に関する保護

Privacy criteria address the collection, use, retention, and disposal of personal information.

Common Criteria (CC)

共通規準

全5カテゴリに共通する統制規準。COSOの5要素に対応

Common criteria map to the COSO framework and apply across all TSC categories.

Supplemental Criteria

追加規準

各カテゴリ固有の統制規準

Supplemental criteria provide additional requirements specific to each TSC category.

Points of Focus

着目点

各規準の具体的な実施ガイダンス

Points of focus provide detailed guidance on how to implement each criterion.

System Description

システムの記述

SOC報告書に含まれるシステム概要

The system description outlines the services, infrastructure, and controls subject to the SOC engagement.

SOC 1 Report

SOC 1報告書

財務報告に係るICFRの統制を評価。SSAE 18基準

SOC 1 reports evaluate controls relevant to user entities' internal control over financial reporting.

SOC 2 Report

SOC 2報告書

TSCの5カテゴリで統制を評価。利用制限あり

SOC 2 reports evaluate controls based on Trust Services Criteria and are restricted-use reports.

SOC 3 Report

SOC 3報告書

SOC 2の簡略版。一般利用可能

SOC 3 is a general-use report that provides a summary opinion without detailed testing results.

Type 1 Report

タイプ1報告書

特定日時点の統制の設計の適切性を評価

A Type 1 report evaluates the design of controls at a specific point in time.

Type 2 Report

タイプ2報告書

一定期間にわたる統制の設計と運用の有効性を評価

A Type 2 report evaluates both the design and operating effectiveness of controls over a period.

Inclusive Method (Subservice Org)

包括法（再受託会社）

再受託会社の統制を報告書の対象範囲に含む方法

The inclusive method includes the subservice organization's controls within the SOC report scope.

Carve-Out Method (Subservice Org)

除外法（再受託会社）

再受託会社の統制を対象範囲から除外する方法

The carve-out method excludes the subservice organization's controls from the report scope.

Management Assertion

経営者の主張

統制の有効性に関する経営者の書面による主張

Management's assertion states that the system description is fairly presented and controls are effective.

Service Auditor's Opinion

業務監査人の意見

統制の有効性に関する独立した監査人の意見

The service auditor expresses an opinion on the fairness of the system description and control effectiveness.

Complementary User Entity Controls (CUECs)

補完的利用者統制

利用者側で実施すべき統制。SOC報告書で記載

CUECs are controls that the user entity must implement for the service organization's controls to be effective.

Subservice Organization

再受託会社

受託会社がさらに委託する第三者

A subservice organization provides services to the service organization that are relevant to user entities.

SOC for Cybersecurity

サイバーセキュリティ向けSOC

組織全体のサイバーセキュリティリスク管理を報告

SOC for Cybersecurity provides a framework for reporting on an organization's cybersecurity risk management.