日本版SOX法の柱となる金融商品取引法が可決し、いよいよ実施のカウントダウンが始まっている。ガイドラインとなる実施基準の公開が遅れる中、業務プロセスの文書化を始めとする期限までの対応に懸念を抱く企業も多いが、それと同様に問題となっているのがプログラムやデータへのアクセス権限が定義されていないという実態である。そこで本連載では、日本版SOX法が施行されるに当たって、企業が直面する課題と、実際に実施しなくてはならない事項について6回に渡りみていくことにする。第1回目の今回は、業務プロセスにおけるアクセス権管理の重要性をIT内部統制における問題点を照らしながら考察していきたい。
実施基準公開に大幅な遅れが
日本版SOX法対策に向け、各企業での模索が続く中、6月7日に「金融商品取引法(改正証券取引法)」参議院本会議で可決・成立した。上場企業に財務諸表の適正性の確保と内部統制報告書を提出する義務が課せられ、その内部統制報告書の内容に重大な虚偽の記載がある場合、経営者には「5年以下の懲役または500万円以下の罰金」という重い罰則が科せられる。「平成20年4月1日以後に開始する事業年度から適用する」(附則第15条)と示されているように、ようやくスタートラインに向けた動きが現実感をともなってきたようだ。
ただし、昨年12月8日に金融庁の企業会計審議会内部統制部会が発表した「財務報告に係る内部統制の評価及び監査の基準案」(基準案)を基に、作業部会が策定中の「実施基準」が実務上のガイドラインとなるため、関係者からはその発表を待ち望まれているのだが、当初の予定(6月)より大幅に遅れ、「早くても秋以降」との見方が部会関係者より明らかになった。そのため、7月に実施基準の公開草案を公開し、一般からの意見を募集するパブリックコメントの機会を設けて内容を確定する手順を踏む可能性も出てきている。
その作業内容の膨大さが懸念される中、この実施基準を確認して具体的な対応を開始しようとしていた企業も多く、この遅れは各社の対応プロジェクトの大幅なスケジュール変更を強いる結果となりそうだ。
この日本版SOX法対応で各企業が懸念しているのが、内部統制で求められる業務プロセスの文書化である。業務フローを文書化することに慣れていない日本では、文書化の作業だけで膨大な工数がかかると予想され、その後に内部統制への対応を進めても、2008年4月1日からの施行に間に合うのかという心配もささやかれている。実施基準の公開も遅れる中、作業部会では当初のハードルを下げるべきなのかの議論もなされているようである。
企業の多くはアクセス権の混沌状態に
ところで、その業務プロセスの中でITが関係する内部統制の柱となるのは、IT業務処理統制(アプリケーション統制)と、IT全般統制の2つである(図1)。アプリケーション統制とは、大規模なERPパッケージや、より小さなベストオブブリードのシステムなどの業務プロセス自身をIT化してしまうものに組み込まれた統制をいう。それには、網羅性、正確性、正当性、承認、職務の分離といった目的を、アプリケーションの中にプログラミングで作っていくことが考えられる。
IT全般統制とは、使われたアプリケーションが正しく作られていて、かつ正しく運用されることの保証となる。その例としては、プログラム開発、プログラム変更、コンピュータ・オペレーション、プログラムとデータへのアクセス(セキュリティ)の4つの領域が重要とされている。特にこの中で最も問題が出やすいといわれているのが、最後のセキュリティの部分である。
日本CA株式会社セキュリティマネジメント
プリセールス カスタマーソリューションアーキテクト
中島 浩光氏
その点について、日本CAのキュリティマネジメント プリセールスで、カスタマーソリューションアーキテクトを務める中島浩光氏は次のように指摘する。「日本の企業では、関係者に権限以上のアクセス権、もしくは不要な権限を付与しているケースが非常に多いのです。誰がどのシステムにアクセスできるのか、もしくはそのシステムにはどのような権限でアクセスを認めるのか、ということがしっかりと定義がされず、アクセス権が業務プロセスと一致していない状態といえるのです」(図2)
業務プロセスを文書化した際に、システムへのアクセス管理がしっかりと定義されているかが重要で、それが確立しない限り不要なアクセス権が発生する。例えば、人事異動後もアクセス権の更新を放置しているケース。管理職が交代したが、元管理職もいまだに以前と同じ権限を持っているなどだ。これではまさに、アクセス権の混沌状態にあるといえる。
したがって、IT内部統制には次の2点が不可欠となる。1つは、各システムでどのようなアクセス権を誰に付与するべきかを整理すること。また2つ目は、それに従ってしっかりとしたアクセス制御を組み込むことである。よく耳にする、“ログだけ収集していれば安心”というのは誤った考え方で、本来はしっかりとしたアクセス制御を施して、その上でログを収集するのが筋というものだろう。
「セキュリティ」 の新着情報
-
Mac OS Xにパッチ:40件のセキュリティホールを修正
AppleがMac OS Xに対する大量のパッチをリリースした。全部で40件の脆弱性に対する修正を施している。 - アップル、「Security Update 2008-007」を公開
- マイクロソフト、セキュリティ情報の開発者向け先行通知を開始
- Adobeがクリックジャッキング問題に対する対策を公開、NoScriptにはClearClick機能
- 予想通り:MSはWindows 7でUACを微調整する予定
- セキュリティ 一覧へ »
「アクセス制御によるSOX法対策」 のバックナンバー
-
【第6回】攻めのISOはビジネスチャンスを広げる
BSIジャパンが促進する情報セキュリティとIT運用のフレームワーク
内部統制整備に向け、情報セキュリティマネジメントシステムの有効性が改めて注目され始めている。国際的な認証市場で最も長い歴史を持つBSI(英国規格協会)グループのBSIジャパンは、この分野における国際規格であるISO/IEC27001(JISQ27001)(以下ISO27001と略す)と、ITサービスマネジメントシステムのISO/IEC20000(以下ISO20000と略す)のセットによる活用が有効な対策だと提案する。「IT部門が日本版SOX法を乗り切るためのポイント」の5回目となる今回は、この2つのマネジメントシステムが、どのように日本版SOX法対応で役立つかについてを見ていくことにする。 -
【第4回】日本版SOX法などのコンプライアンス要件に対応できる基礎体力を備えるために必要なこと
-
【第3回】IT内部統制を支援するセキュリティ製品の位置づけと役割
-
【第2回】アイデンティティ管理とアクセス制御の関係、およびID統合管理の難しさ
-
【第1回】 アクセスコントロールを用いた日本版SOX法対策のポイント
〜日本版SOX法で企業が実施すべきこととは?〜
- アクセス制御によるSOX法対策 一覧へ »
ZDNet Japan Essential Topic
-
【一流企業が用意する活躍の舞台】
各社のキーマンが考えるキャリア*公開中! -
コラボレーション基盤特集
Notes置換とバージョンアップの情報はこちら
企画特集
-
エンタメCGM「gooメーカー☆メーカー」
【第2回】メーカー/占いのコンテンツを作ってみた! -
ERPパッケージの導入を成功させるコツ
成功させるコツをクイズ形式のWebcastで配信中 -
Techno Exchange
RackableとCTCの地球にやさしい関係 -
グリーンITの第一歩は見える化です
経営・財務・情報システムの3つの視点から環境対応を考える -
これからの時代のセキュリティ対策
くるぞ!in the cloudソリューション -
ZDNet Japan Green IT
サミットだけでは終わらせない!エンタープライズの取り組みはこれからだ! -
なぜ社内文書は無秩序に分散するのか?
真の文書管理を考える3か条に迫る!
ZDNet Japan イベント
- 開催日:2008年10月23日(木)
- イベント一覧へ»
