@IT情報マネジメント編集部が主催する「@IT 日本版SOX法対策ミーティング 〜経験豊富なコンサルタントが語るSOX法対応の『勘所と落とし穴』〜」が、2008年9月25日に東京・ベルサール八重洲で開催された。
日本版SOX法の適用が4月から始まり、すでに内部統制システムの構築を終え、評価段階に入る企業が増えている一方で、まだ文書化作業や評価の準備に頭を悩ませている企業も少なくない。
今回のセミナーでは、まず、アビームコンサルティングのプリンシパル(執行役員)である永井孝一郎氏を基調講演に招き、経験豊富なコンサルタントの立場から、外部監査人や各社の内部統制担当者とのやりとりを踏まえ、日本版SOX法対応の「勘所や落とし穴」がどこにあるのかを解説した。
基調講演の後は4つのセッションが行われ、各社それぞれの切り口から、より効率よく確実に日本版SOX法に対応するための手法や、ツールを参加者にアピールした。今回は、エヌ・アール・アイ・セキュアテクノロジーズ、インテリジェントワークス、日本電気の3つのセッション内容をピックアップして紹介する。
| イベントレポート インデックス | |
 |
「J-SOX IT統制の鍵となる『アクセス管理』の必要性とは」 ――NRIセキュアテクノロジーズ |
|
|
「J-SOXのIT現場で必要なソフトウェア資産管理とITセキュリティについて」――インテリジェントワークス |
|
「困難な局面にある内部統制担当者のための『ツールの効果的な活用事例』のご紹介」 ――NEC |
 |
セッション1:NRIセキュアテクノロジーズ |
●アウトソース先も「SAS70」や「18号監査」で統制することが重要に
 |
|
NRIセキュアテクノロジーズ 事業推進部 主任 中埜絵美氏 |
エヌ・アール・アイ・セキュアテクノロジーズ(以下、NRIセキュアテクノロジーズ)のセッションでは、日本版SOX法対策にかかわる重点キーワードとして「SAS70」と「18号監査」にフォーカスを当て、その現状と動向を説明した。
SAS70(Statement On Auditing Standard No70)とは、米国公認会計士協会の監査基準書第70号のことで、受託業務にかかわる内部統制について独立した監査人が企業の管理体制の方針や手続きの整備状況およびその有効性に関して検証し、その結果について企業に対して報告するための基準である。
例えば、アウトソーシング先企業の内部統制がとれていることを確認する際に、その業務を受託している企業がSAS70に基づいて作成した報告書を提供することによって、受託業務の内部統制の有効性を委託者に報告することによって証明することができる。
米国では上場企業がSOX法対応の一環として、委託先の情報処理サービス事業者に対して「SAS70」報告書の提出を求めるケースが増えているという。一方、日本でも日本版SOX法の適用にともない、「18号監査報告書」の提出を業務委託先に求めるケースがあるとした。
「SOX法の適用を進めるにあたっては、自社だけでなく、外部にアウトソースしているサービスも内部統制の要素として無視できない存在になっています。そこで、委託先がしっかり内部統制ができているかを証明するために重要となるのがSAS70、18号監査になります。内部統制は上場企業だけでなく、ITサービス提供者に広く適用していくことが大切なのです」と中埜氏は説明する。
「SAS70」の報告書は、Type IとType IIに分かれており、Type Iでは設計の評価を行い、「統制が利く設計がされているかどうか?」や「きちんとした運用状態にあるのか?」を、書類上で審査する。そして、Type IIでは運用の評価として、「設計された内容が確実に運用されているかどうか?」について実地テストを行う。そして、最終的に、数十ページにおよぶ報告書がまとめられることになる。
米国でのSAS70の最新動向について中埜氏は、「Type IIの報告書をRFPや契約書の中で要求してくる顧客が増えてきています。また、それだけでなく、個別の報告書を求めるケースも増えてきました。さらに、SAS70報告書を提供する大手のITサービス提供者も多くなり、競争優位の要因の1つにもなりつつあります。このほかに、現在策定中の国際標準ISAE 3402の動きも見逃せないポイントです」と説明する。
そして、このSAS70における重要なコントロールの1つとしてアクセス管理を挙げ、「アクセス管理統制の実現のためには、職務分掌をしっかり行い、職務ごとに“できること、できないこと”を明確に分けることが大切」(中埜氏)と指摘。担当者や役割を明確に分けて人の分離を行うとともに、職務に応じた必要最小限の権限だけを持ったアカウントを付与するなど、権限の分離を行う必要性を強調した。
こうした市場背景を踏まえ、SAS70や18号監査を行う際に、同社がデファクトで活用しているアクセス制御・監査ツールが「Access Check」だ。
Access Checkは一般ユーザーのアクセス管理を行うものではなく、システム開発者やシステム運用者を対象に、本番サーバへのアクセス制御や操作ログを記録する機能に特化したツールだ。
エージェントレスのため、本番サーバに影響を与えずに短期間での導入が可能だ。アクセス統制を実現する「アクセス申請」や「アクセス承認」機能も実装している。また、サーバや利用端末の規模にかかわらず、1セットの導入で完了。フェイルオーバーを含む運用/監視に関するさまざまな機能を備えている。
最後には、「Access Check」のSAS70対応の事例として、SOX法の内部統制における「本番環境へのアクセス管理」を実現した導入事例を紹介した。
この事例では、内部統制対象となるシステムは約80台のサーバで構成されており、アクセス対象者は情報システム部門からのアクセス、社内各所からのアクセス、ベンダによる社外のアクセスまで数百人規模を統制するというもの。「Access Check」上に個人を識別可能なIDを登録し、各開発者、運用者ごとのログ取得・管理を一元的に可能とした。また、各開発者、運用者ごとのアクセス制御も実現している。
中埜氏は、「導入に当たっては、実運用を考慮したアクセス申請〜承認〜ログ確認のフローを、Access Checkの機能を利用しながら構築。その導入期間は、わずか3週間程度と、短期間でSAS70に対応したアクセス統制が実現できる点も高く評価されています」と強調した。
| 【ホワイトペーパー】 特権IDの「アクセス管理」がIT全般統制のカギ IT全般統制は、本番環境データの破壊、改ざん、粉飾などの防止が必須。IT全般統制の鍵となる特権IDの「アクセス管理」を強化する方法を、18号監査やSAS70対応も踏まえ、具体的な事例を交えて解説する。 |
 |
|
セッション2:インテリジェントワークス |
●Macintosh/Windows/UNIXの混在環境でも1台でIT資産管理が実現できる
インテリジェントワークスのセッションでは、日本版SOX法におけるIT統制に焦点を絞り、その概要や統制方法を解説するとともに、同社の提供するログ収集ツール「コンテンツウォッチャースマート」を紹介した。
まず、IT統制について神山氏は「IT統制は、内部統制システムの一部を構成する統制要素として、大きく“IT業務処理統制”と“IT全般統制”の2つに分けることができます。IT業務処理統制は、いままでアナログ的に行われていた処理をIT化することを指します。一方のIT全般統制は、業務処理上の部分以外の、ネットワークやPC、ソフトなど間接的な部分を統制することと考えています。そして、これらIT統制を実現するために不可欠な5つの要素として、組織・体制、文書化、教育、情報システム、監視・監査への取り組みが重要になります」と指摘した。
 |
|
インテリジェントワークス 代表取締役 神山邦彦氏 |
そして、具体的にIT統制のために必要となる項目には、情報の完全性や正確性、正当性の確保、機密保護の対策、運用状況を適切に記録・保管、アクセス権限の設定・管理、誤り防止・不正防止の対策、データのバックアップ、モニタリングなどを挙げた。
また、実際に情報漏えい事故が起こったときに発生する総コストについて、米Ponemon Instituteの調査から、1件当たり2006年度で平均480万ドル(5億2000万円)、2007年度で平均630万ドル(6億9000万円)ものコストがかかっていることを紹介した。
インテリジェントワークスでは、こうした情報漏えい事故を防ぐためにも、企業のIT統制実現を支援するツール開発に注力しており、その1つとして提供しているのが、Macintosh/Windows/UNIXの混在環境に対応するIT資産管理/操作監視/デバイス制御ソリューション「コンテンツウォッチャースマート」だ。
コンテンツウォッチャースマートは、1製品でログ管理からPC資産情報管理、アラート機能、レポート作成、端末制御までIT統制に必要なさまざまな機能を備えており、2007年11月の発売以来、すでに、大手音楽レーベルを始め、大手カメラ製造メーカー、大手印刷会社、大手パチンコ機器メーカー、大手広告代理店など30社以上への導入実績を持っているという。
主な特徴として、ログ管理機能では、PC操作ログを始め、アプリケーション操作ログ、プリントログ、ウィンドウタイトルログ、スクリーンショットまで、幅広いログを取得し、監視することができる。取得したログは、データベースに保管されるため、後からログ検索することで、レポートを作成したり、監査に活用することも可能となる。
神山氏は、「ログ取得に関しては、ログイン/ログアウト、ファイル/フォルダ作成、ファイル読み込み、パス変更、名前変更、ファイル/フォルダ削除など、さらに詳細な情報を取得することができ、日本版SOX法に必要とされるログの取得はほぼ網羅しています」と強調した。
また、PC資産情報の管理では、OS、ハードウェア、MACアドレス、IPアドレス、HDD、メモリ、CPUなどPC機器の情報から、アプリケーション情報、フォント情報などまでをエージェントにより自動取得し、データベースに保存する。とくに、アプリケーション情報については、SAM(Software Asset Management)機能によって、アプリケーション名やバージョン情報の取得を始め、シリアル番号の取得・管理、ライセンス数の把握、不正ライセンスソフトの検知などにも対応している。
「ログを管理する機能だけでなく、アラート処理をする機能も重要です。特に何千人もの社員を抱える会社では、管理者のチェックだけでは、どこで何が起こったのか把握しきれません。コンテンツウォッチャースマートでは、充実したアラート機能を備えており、時間アラートだけでなく、ファイル操作やプリント操作など、禁止事項が発生した場合にアラート表示で警告してくれます」(神山氏)。
さらに、情報漏えい対策として欠かせない機能が端末制御機能だ。CD/DVD/USBなどの外部デバイスへの書き込み可能・禁止、読み込みのみ、といった設定を制御できる。これによって情報漏えい事故を防ぎ、IT統制の実現を支援する。
神山氏は、「コンテンツウォッチャースマートは、国内で自社開発した製品です。そのため、ユーザーの現場のニーズに合わせて柔軟にカスタマイズ対応できるのも大きな強みです」と述べた。
| 【ホワイトペーパー】 混在環境にも対応する日本版SOX法向けセキュリティツール 日本版SOX法対応の現場でやらなければならないことと、現場で役立つインテリジェントワークスのツールを紹介した際の講演資料。 |
|
|
セッション3:NEC |
●内部統制の文書作成から運用評価までをトータルで管理可能に
日本版SOX法の適用後、本格的に内部統制の運用を開始している事例はまだ少なく、業界全体で日本版SOX法対応に関するノウハウが不足しているのが現状だ。こうした背景の中、日本電気(NEC)は、今回のセッションで、実際に同社が内部統制文書化ツールを導入した事例をベースに、現場で生じたさまざまな課題や運用方法について紹介した。
まず米山氏は、内部統制でのシステム導入の意味・目的について、(1)整備評価の効率化、(2)運用評価の効率化、(3)文書の維持管理の効率化−の3点を挙げた。そして、その効果として「内部統制事務局における進ちょく管理、不備集計、改善管理の実現、監査部における監査作業の効率化、さらには、文書の作成やメンテナンスに関して、版管理による改善の履歴管理、排他制御による複数名での作業効率化などが期待できます」と説明した。
 |
|
NEC 第二システムソフトウェア事業部 エンジニアリングマネージャー 米山英晴氏 |
NECでは内部統制文書化ツールとして、「iGrafx FLOWCHARTER 2007 SOX+」の拡販展開に注力しており、同ツールの国内導入社数約1000社に対してNECの販売実績は約500社を占め、50%近くのシェアを獲得している。そして、この「FLOWCHARTER 2007 SOX+」と、NECの内部統制評価支援ソフトウェア「StarOffice X Audit Manager」を連携することで、内部統制の文書作成から整備評価、運用評価までをトータルで管理することが可能となるという。
「StarOffice X Audit Manager」は、内部統制評価の全行程の負担軽減を実現するソフトウェアで、統制評価および進ちょく管理の機能を提供するとともに、高機能なセキュア文書管理機能も備えている。これにより、毎年度繰り返し実施が必要な評価作業を効率化できるほか、汎用文書フローによる各種申請書類の証跡の記録が可能となる。さらに、日本の業務にマッチした組織ベースのアクセス権を搭載しており、文書をセキュアな状態で一元管理することができるのも特徴だ。
米山氏は、これら内部統制支援ツールの導入事例をベースに、実際に顧客が内部統制の運用においてどんな課題に直面し、ツールを使ってどうやって課題を解決していったのか、いくつかのサンプルケースを紹介した。
例えば、「RCMを基にした整備評価調書・運用評価調書を1000枚以上作成しなければならなくなってしまい、この準備作業だけで手一杯になってしまった」というケースでは、Audit Managerを利用することで、その会社固有の様式の整備評価調書・運用評価調書を自動作成することが可能となり、内部統制事務局の負担が大幅に軽減した。
また、「現在のテストの進ちょく状況と不備の発生状況を把握したい」といったケースでは、Audit Managerを活用することで進ちょくが一目で分かるようになり、進ちょく管理の労力を大幅に削減。さらに、不備の発生や改善が必要なものについても、リアルタイムに状況が把握できるようになったという。
とはいえ、すべての課題がツールで解決できるものとは限らない。例えば、「証憑の電子化を行いたいが、伝票類のスキャナでの読み込みには手間がかかり、現実的ではない」といった課題に対しては、スキャナだけでなくデジカメを併用することで解決したり、「現場でのサンプリングは困難なため、結局はすべて監査部門が対応しなければならない」という状況に対しては、サンプリングツールを配ることで現場での実施を実現するなど、運用面を工夫して課題解決を図ったケースも紹介した。
最後に米山氏は、「IT統制では、証跡管理、ID管理、そしてシステム変更履歴の管理が必要不可欠となります。これらは手作業で管理することもできますが、ツールを導入して管理することで、監査人に対しての提示が容易になります。当社では、証跡管理としてWebSAM LogCollector、ID管理ではWebSAM SECUREMASTER、システム変更履歴にはWebSAM ClearSoXitと、それぞれに効果的なツールを用意しています」として、内部統制に対するトータルソリューションをラインアップしていることをアピールした。
| 【ホワイトペーパー】 内部統制担当者が直面する10の課題&ツール活用法 賢い内部統制担当者は、抱える業務量を削減するためにどのようにツールを活用しているのか?ツールの活用法や解決できなかった場合の対応など、困難な局面での対処法を紹介する。 |
|
提供:エヌ・アール・アイ・セキュアテクノロジーズ株式会社
株式会社インテリジェントワークス
日本電気株式会社
企画:アイティメディア 営業局
制作:@IT 情報マネジメント編集部
掲載内容有効期限:2008年10月31日
|
イベントレポート インデックス
|
| 「J-SOX IT統制の鍵となる『アクセス管理』の必要性とは」 NRIセキュアテクノロジーズ |
| 「J-SOXのIT現場で必要なソフトウェア資産管理とITセキュリティについて」 インテリジェントワークス |
| 「困難な局面にある内部統制担当者のための『ツールの効果的な活用事例』のご紹介」 NEC |
|
スポンサー |
ITmediaはアイティメディア株式会社の登録商標です。
