SOX法遵守を楽にする製品〜CAガーディナー氏

2006/1/20

 CAは、2005年11月に新しい製品ビジョン「Enterprise Information Technology Management」(EITM)を打ち出し、セキュリティ管理やエンタープライズシステム管理など4本の柱に注力することを明らかにしている。特にセキュリティ管理分野では、内部統制やITガバナンスに必要なアイデンティティ管理に注力するという。ここでは、米CAでアイデンティティ管理部門を担当する米CA プロダクト・マーケティング シニア・マーケティング・マネージャー マシュー・ガーディナー(Matthew Gardiner)氏に話を聞いた。

米CA プロダクト・マーケティング シニア・マーケティング・マネージャー マシュー・ガーディナー氏
 ガーディナー氏によると、EITMのキーワードは「統一化」と「自動化」だという。この2つのキーワードを実現することで、初めてIT化の恩恵を享受できるという考えが根底にあるとした。例えば、先日発表されたID管理ソフトウェア「CA Identity Manager r8.1」は、既存インフラのさらに上に『ID管理レイヤ』を構築し、ERPやグループウェア、WebアプリケーションなどさまざまなアプリケーションのIDを統一し、一元管理を自動で可能にする。

 例えば、人事システムと連携させると、新入社員が入社した際に自動的に新規IDを作成し、新入社員用の権限を付与。その社員が出向した場合や退職した場合には、また自動でIDを削除するといったシステムを構築できる。さらに、このユーザーID1つで、メールやグループウェア、WebサービスといったさまざまなアプリケーションのIDを兼ねることが可能だ。ガーディナー氏は、「Identity Managerはセキュリティ管理分野に含まれている製品だが、実際の活用ではそのほかのさまざまな分野にまたがって利用されるものだ。また管理権限の委譲もできるので、社内外問わず、すべてのユーザーを統一・管理できる」と説明した。

 アイデンティティ管理は米SOX法の404条で触れられており、内部統制において重要な要素となっているほか、外部監査人が監査をする際に注目する分野の1つになっているという。ガーディナー氏は、「米SOX法では、監査役に証拠を提出しなければならないが、その様式が決まっていない点がポイントだ。提出様式が決まっていないため、監査役がどのような様式の証拠を求めてくるのか分からない」と説明。「つまり、あらかじめ監査役が求める様式を聞いておくか、すべてのデータを用意し、そこから求められる様式で出力するしかないのだ。従って『これがSOXレポート決定版!』というものは出せないが、Identity Managerですべてのデータを保管しておけば、あらゆる様式に対応できるだろう」と述べ、米SOX法対応への自信を見せた。実際、米CAでは米SOX法に対応するために、同製品などを用いて対応しているという。

 また、ガーディナー氏は米SOX法について、「セキュリティの評価が重要だ」と指摘する。同法では、セキュリティの評価を誰かが行わなければならないため、米国ではSOX法施行以後、監査役を増やす企業が増加し、米SOX法を「監査役雇用法」と皮肉る声もあるという。

 最後にガーディナー氏は、「IDの統合は、導入当初からすべてのアプリケーションに対応できるケースは少ないだろう。最初は電子メールやERP、Webアプリケーションなど、ユーザーの多いアプリケーションから始め、その後Active Directoryやグループウェアに広げるなど、段階的に行わなうのがよいだろう」と説明。日本版SOX法に関しては、「日本版SOX法の詳細は知らないが、日本版SOX法が米SOX法と同じだと仮定すると、Identity Managerは日本語版SOX法への遵守をより簡単に行えるようにする製品だろう。ユーザーIDの監視と管理ができるため、コンプライアンス全体を容易にできるはずだ」とコメントした。

(@IT 大津心)

[関連リンク]
CAジャパン

[関連記事]
CA、日本版SOX法の“核”となる製品を投入 (@ITNews)
コンピュータ・アソシエイツあらためCA、統合とオープンで勝負 (@ITNews)
ITIL執筆者が語る「ITIL VS 現場のヒーロー」 (@ITNews)
米CA新CEO、「日本でビジネスを拡大する」 (@ITNews)
日本には真の意味でのセキュリティ情報管理製品がない (@ITNews)
マネジメントの名のもとに、CA (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -