中小企業にまで襲いかかる内部統制の荒波を乗り越える「ISM」の実力とは

J-SOXや新会社法の施行などで大手企業が中小・中堅企業に対しても内部統制を求めるようになってきている。従来のセキュリティ対策を含めた内部統制を、気軽に、低コストでサポートできるのが「ISM」だ。

内部統制が中小企業にも波及

　内部統制の強化を目指したJ-SOXの施行から1年以上が経過し、大手企業自身の対策は進展を見せているが、それに伴って大手企業が取引する中小・中堅企業に対してセキュリティ統制の推進を求める例が多くなっている。

　これは、取引に際して一定のセキュリティ基準を満たさない企業とは契約をしないことが、大手側のセキュリティ対策、内部統制の強化につながるからだ。実際、一部の大手企業では、取引企業のセキュリティ対策を格付けし、取引を継続するかどうかの基準としているところもあるのだ。特に大手企業との取引が多い中小・中堅にとっては、セキュリティ統制の充実は喫緊の課題となっている。

　一般的なセキュリティ対策というと、ウイルス対策ソフトの導入といった対策があるが、こうした対策は比較的中小企業でも進んできている。しかし、それでも社内から持ち出したパソコンの個人情報や機密情報が漏えいするといった事件は後を絶たない。また、ライセンスのないソフトウェアを不正に利用しているという問題も発生しており、こうした事例では最高3億円の罰金や不正利用期間分のライセンス料の徴収などの負担が発生するなど、大きな被害を伴ってしまう。

クオリティ
アドバンストビジネス営業部
アカウントマネージャー
楠田大輔氏

　それに対して中小・中堅企業側からは「何をしたらいいのか分からない」「対策の効果が見えない」といった声も聞こえてくると、クオリティのアドバンストビジネス営業部　アカウントマネージャーの楠田大輔氏は話す。

　クオリティは、セキュリティ管理ソフトなどで実績があり、最近のこうした問題について、「中小企業にとっても内部統制は人ごとではない。まずは最低限の対策が必要だ」（楠田氏）と指摘する。

　それでは、最低限の対策とは何か。「大手企業でも、自社内にあるパソコンの台数を答えられない場合が多い。対策すべきPCが一台でも把握できていないと、社内すべてにリスクが拡大する可能性がある。まずは対象となるPCの台数と所在を把握する必要がある」（楠田氏）。

　管理対象となるPCを、きちんと把握できていないから、社員が勝手に持ち込んだ私用パソコンにデータを持ち出してしまったり、どんなソフトウェアがPCにインストールされているか把握できないといった問題が起こってしまうので、まずはPCを手始めにIT資産を管理することから始めるべきだというのだ。

　とはいえ、中小企業などでは、リソースの問題で、専任のIT管理者を設置することが難しく、システム管理者が兼務する例も多い。セキュリティ統制は、単にツールを導入しただけでは終わらず、その後の運用が重要になってくるが、専任の管理者がいない場合はその運用がおろそかになりがちである。景気後退の中、「中小・中堅企業は人材のリストラ、予算の削減で、パソコン管理まで人手が回っていません。初期コストだけでなく、運用コストの低減、リソースの削減が必要になっているのです」（楠田氏）。

　「リソースは削減するが、セキュリティレベルは向上させる」、こうした難しい要望に応えようとしているのが、クオリティがエンジン提供する「ISM（IT Security Manager）」だ。