Loading
|
|
|
|
Loading
|
| @IT > オラクル・コンプライアンス・アーキテクチャを実現して日本版SOX法に備える |
 |
|
|
|
日本版SOX法が成立に向けて、着実に歩を進めている。この法律は、企業における会計監査制度の充実と、内部統制強化を目的として米国SOX法に倣って作られたものだ。もともとは米国で頻発した企業の不正会計への対策だが、日本においても、株式公開企業で会計不祥事が相次いだことから本格的な罰則強化を盛り込んで、2009年3月の決算期からの導入が予定されている。 ここまで読んだエンジニア諸兄は、“このような政府や法律や会計の問題には自分には関係ない”と、この記事から離れようとしているのではないだろうか。ちょっと待ってほしい。日本版SOX法の制定は、エンジニアの仕事と人生を根本から変える可能性を持っている。 現在、草案に盛り込まれている内部統制の6つの基本的要素のうち、「IT統制」は、米国のSOX法にはない、日本版ならではの項目である。この「IT統制」をさらにブレークダウンしていくと、「全般統制」と「業務処理統制」の2つがあり、前者はITの導入、開発、運用、プランニング、セキュリティ、システムの変更管理など、業務処理プロセスを支える仕組みであり、後者はビジネスフローの中で起こり得るリスクへの統制となっている。まさにエンジニア抜きでは対応できない法律なのだ。
図1を見ていただきたい。これは、米国の調査機関「AMR Research」が2005年にSOX法の対象となっている米国企業にアンケート調査した結果である。設問は「SOX法対応において、最も戦略的に改革を行った技術分野は何か?」というものだ。ご覧いただければお分かりのように、回答は上位3つに集中した。セキュリティ管理、ドキュメント(コンテンツ)管理、ビジネスプロセス管理である。
SOX法への対応だけを考えるなら、会計部門データの正当性と透明性を上げて、内部統制の在り方を強化するだけでよかったのかもしれない。しかし、これら調査対象となった企業は、この法律の制定をある意味好機と受け止めて、抜本的な社内改革を行い、企業経営そのものの安全性や生産性の向上を成し遂げている。 日本においては草案に「IT統制」が盛り込まれていることを考え合わせると、さらにこの傾向が強まることが予想される。どうせ投資を行うのなら、単に一法律の対応のみに終わるのではなく、何かリターンが見込める形で、と考えるのが自然な方向性だからだ。
米国企業がSOX法対応を変革の好機ととらえたように、これはエンジニアが市場価値を上げる好機ととらえてもいいかもしれない。高い業務知識を持つエンジニアはどこへ行っても売り手市場だが、実際に即戦力となる業務知識を体系的に獲得するのは座学では難しく、運と縁に任せるしかない部分がある。 しかし、このSOX法対応という、いまここにある現実から知識と技術を身に付ければ、極めて実践的で強力な武器になりやすい。また、流行に左右されることなく、この先、ずっと必要とされる分野でもある。いちはやく自分のものにすればするほど、業界で厚遇されるエンジニアに自らをステップアップできるというわけだ。
問題はそのような知識と技術をどのように身に付けるか、である。日本版SOX法の中身を知るだけなら、昨今そのようなタイトルを冠したセミナーはたくさん開かれている。しかし、それらは「求められている対応をITで具体的にどのように実装するか?」まではなかなか教えてくれない。 そこでふと振り返っていただきたいのが、エンジニアにとって最も身近な存在であるオラクルである。同社は、2006年1月にオラクル・コンプライアンス・アーキテクチャ(図2)を発表した。これは、日本版SOX法対応のみに止まらない企業内部のコンプライアンス(法令遵守)、ガバナンス(統治)を効率的に達成するとともに、コンプライアンスの維持を容易に証明できるようにするために、オラクル製品の機能要素や技術要素を体系化したものだ。
具体的には、「データ管理」「セキュリティ、認証管理」「エンタープライズ・コンテンツ管理」「業務プロセス、コントロール」「プロセス・リンク管理」「コミュニケーション、教育」「事業戦略、業務目標の設定と測定」の6階層7項目で構成されており、それぞれの項目に対して同社の製品が割り当てられている。特筆すべきは、製品といってもソフトウェアに止まらず、教育やコンサルテーション、パートナリングなどナレッジやソリューションも盛りこまれた包括的な内容になっていることだ。 この発表を受けて、研修教育パートでは、早くもオラクル・コンプライアンス・アーキテクチャに基づいた新コース(図3)が次々と登場している。ご覧いただければお分かりのように、内部統制強化に直接かかわるプロセス・リスク管理のみならず、業務プロセス/ワークフロー、コンテンツ/レコード管理など、企業コンプライアンスを達成するうえで鍵となる内容が学べるメニューが包括的にラインアップされている。
中でも、エンジニアがこの分野の知識と技術を身に付けるスタートとしてお勧めなのが、セキュリティ/個人認証管理だ。
そして後半では、企業コンプライアンス達成のための主要要件であるセキュリティ対策を、Oracle Database 10gデータベースでどのように実装していくかを学ぶ。具体的には、データファイルやバックアップファイルの解析によるデータ盗用を防ぐためのデータの暗号化機能や、不正にデータベースのID・パスワードを取得したユーザーからデータベースを守るために、そのアクセスの制御をテーブル単位、列単位で行うファイングレイン・アクセスコントロール。またユーザーの不正アクセスを監視するファイングレイン監査などの機能を見ていくというものだ。
企業などの組織が情報を適切に管理し、機密を守るための包括的な枠組みとしてISMSが注目されている。ただし、このISMSも全社を巻き込んだ取り組みであるが故に、SOX法への対応と同様になかなか次の一歩を踏み出せていないのが現状だ。 研修ではISMSを切り口にしながら、「セキュリティに対する意識を高めることが重要である」という気付きの場を提供する。実際にWebシステムにおける脆弱性や脅威について、演習で体感。OSやネットワークといったIT基盤のみならず、アプリケーション開発およびそのプロセスにおいても堅牢なセキュリティ対策が必要であることを理解していく内容となっている。 システムのセキュリティを確保する最後の砦は、実はIT基盤でなくアプリケーションなのだ。それ故に、開発者にこそセキュリティの知識を身に付けていただきたい。セキュリティについて学ぶことで、スペシャリストの視点に加えゼネラリスト(アーキテクト)的な視点が必要になることを感じるだろう。セキュリティを真剣に取り組むことは自身のエンジニアの幅を急速に広げるための第一歩となる。
理論ではなく実践重視で学びたいというエンジニアには「内部統制管理(ICM)」という研修コースがお勧めだ。これは文字通り、企業の内部統制を達成するオラクル製品である「Oracle Internal Controls Manager」の機能とともに、提供するソリューションも合わせて学習するというものだ。
そう遠くない未来に確実にやってくる、日本版SOX法の施行。対応しなければいけないというプレッシャーはあっても、どこから着手していいか分からないという茫漠としたエンジニアの不安をオラクルは解決する。 企業コンプライアンスの包括的な達成のために構築されたオラクル・コンプライアンス・アーキテクチャ、そしてこのアーテクチャに準じた形でラインアップされた研修教育コースを体系的に学習することで、必要な知識と技術を確実に血と肉にすることができる。市場で歓迎される旬のエンジニアとして活躍するために、いますぐステップアップの道を踏み出そう。
提供:日本オラクル株式会社 企画:アイティメディア 営業局 制作:@IT 編集部 掲載内容有効期限:2006年5月25日 |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
