NTTグループのソリューションガイド

ICTソリューション総合誌 月刊ビジネスコミュニケーション

ビジネスコミュニケーション

日本版SOX法の対応準備を支援するシマンテックの「ITリスク アセスメント サービス」

日本企業は今、来るべき「日本版SOX法」の対応に迫られている。日本版SOX法で求められる内部統制の確立には、ITの効果的な活用が不可欠である。シマンテックは、日本版SOX法への対応に向けて、現状分析や評価を行う「ITリスク アセスメント サービス」の提供を開始した。

 
「日本SOX法対策」が多くの企業での最優先・上位課題に

現在、多くの日本企業で、2008年に施行するといわれている「日本版SOX法」の対応策が求められている。しかし、日本版SOX法の全体像が見えない段階で、各企業は具体的にどのような対応策が必要かを明確に判断しにくいのが現状である。IDCの調査によれば、日本版SOX法への対応をいつから始めるか上場企業に質問したところ「わからない」という回答が全体の60%以上を占めていた。この調査から予測されるのが、実施直前での駆け込み個別ソリューション導入である。企業がそのような混乱を回避するためには、早期の段階から全体的なITソリューションの構築が必要である。

シマンテックは各企業のIT担当者における日本版SOX法への認識や理解度を把握するため、約500名の企業のIT担当者(内100名が決済権あり)に対して独自の調査を実施した。その調査結果によると、全体の54.8%が日本版SOX法を社内の経営課題として「最優先課題」及び「上位課題」であると位置付けていた。また、日本版SOX法へのITシステムの対応を円滑に行うために最も必要なことは何か、という質問の回答には「ビジネスプロセスの見直し」、「セキュリティポリシーや脆弱性の見直し」、「データ保護ポリシーの見直し」といった項目が上位に挙がった。特にセキュリティポリシーやデータ保護ポリシーへの認識の高さは、近年発生している情報漏洩事件に起因していると想定される。さらに、多くの企業が、まだ法律が明確に制定されていない中、現状の対応策として情報収集に徹していることも、調査の中で明らかとなった。

(株)シマンテック 代表取締役社長 木村 裕之氏
(株)シマンテック
代表取締役社長
木村 裕之氏

このような調査結果を踏まえてシマンテックは本年3月6日に、日本企業の内部統制を支援する「ITリスク アセスメント サービス」を発表した。

(株)シマンテック代表取締役社長の木村裕之氏は、次のように語っている。「日本版SOX法の導入にはITの支援が不可欠であると同時に、IT活用を見直す絶好の機会でもあります。セキュリティとストレージのソリューションを統合したことで、IT全体の統制を我々がサポートさせていただくことができます。」

シマンテックで「日本版 SOX法導入支援推進室」を開設

シマンテックは、企業の内部統制をITの面から支援するサービスを推進するため、「日本版SOX法導入支援推進室」を開設した。シマンテックのあらゆる事業部門やパートナー会社と、顧客との間を仲立ちし、内部統制の提案を推進していくものである(スライド1参照)。推進室は2006年3月に、ソリューション営業本部長の伊藤一彦氏を推進室長として、5人体制でスタート。伊藤推進室長は「推進室は、お客様の日本版 SOX法導入へのアドバイス、コンサルティングの提供を行ってまいります。また、将来的には会計監査法人との連携も視野に入れています。」と語っている。

スライド1 日本版SOX法導入支援推進室の体制
スライド1 日本版SOX法導入支援推進室の体制
(株)シマンテック 執行役員 ソリューション営業本部 本部長 伊 一彦氏
(株)シマンテック
執行役員
ソリューション営業本部
本部長
伊藤 一彦氏

IT統制を強化するための5つのステップ

企業内のIT統制を実施するには、アプリケーションやシステム管理を自動化し、ビジネスが常に継続していくことが必要である。すなわち、ビジネス情報の内容を正しく記録し、どの場所にどの期間、どのくらいの量で管理されているかを明確にし、所在を明らかにした後、アクセスや削除、書き換えを禁止することによるデータ保護を行う。このようにして、情報が生まれてから保存されるまでのライフサイクルにわたり保護する。ITによる内部統制を強化するために、シマンテックが考えたのが以下の5つのステップである。

  1. 日本版SOX法適応への課題を認識する。
  2. 課題未対応によって生じるインパクトを分析し、客観化する。
  3. 内部統制強化に利用できる様々なツールの利用法を理解する。
  4. 内部統制強化のコストをビジネス/バリューに一致させる。
  5. 内部統制強化を持続させる仕組みを確立し、維持する。
スライド2 シマンテックの日本版SOX法への取組み
スライド2 シマンテックの日本版SOX法への取組み

日本版SOX法への取組みは長期化が予測されるため、数年間に渡る長期のプロジェクトが必要である。そこでシマンテックは、プロジェクトの各取組みをフェーズ毎に区切って、各フェーズで適切なソリューションを提供していく(スライド2参照)。プロジェクト前期である「課題掌握フェーズ」において、企業の現状分析を行うのに効果的なのが、シマンテックが提供する「ITリスク アセスメント サービス」である。

「ITリスク アセスメント サービス」で企業の根本的な課題を明確にできる

日本版SOX法の対応準備として、企業は内部ポリシーや業務プロセスの評価と同時に、業務プロセス管理を支援する適切なIT構築が必要となる。そこでシマンテックは、企業内で効率的な内部統制を実現することができる「ITリスク アセスメント サービス」の提供を開始した。

(株)シマンテック ストラテジー&ソリューション マーケティング部部長 冨樫 明氏
(株)シマンテック
ストラテジー&ソリューション
マーケティング部
部長
冨樫 明氏

「アセスメント」サービスとしているのには理由がある。企業内でセキュリティやIT基盤整備、システム管理といった仕事に携わる現場の社員は「IT統制を強化する」というミッションについて、個別の対策が必要であるという認識を強く持っている。「しかし、対策を立てるのと同時に、企業内の根本的課題を解決することが重要です。シマンテックのアセスメントサービスには、同社が培ってきた経験と能力を総動員して、企業内の根本的な課題の明確化をお手伝いしたいという思いが込められています。」((株)シマンテック ストラテジー&ソリューションマーケティング部 部長 冨樫 明氏)

このサービスでは、以前からシマンテックが提供していた既存のコンサルティングサービスに、「アプリケーション性能レビュー」、「データ保管状況レビュー」の2つの新サービスを追加している。このようにしてパワーアップした5つのサービス内容により、内部統制強化のために体系的に構成されており(スライド3参照)、総合的な評価サービスとして企業を支援することができる。以下、5つのサービスの構成内容を解説する。

スライド3 ITリスク アセスメント サービスの全体図
スライド3 ITリスク アセスメント サービスの全体図

1.セキュリティポリシーレビュー

セキュリティポリシーレビューは、米国SOX法対応で実績のあるセキュリティポリシーのテンプレートと、ベストプラクティスに基づく Symantec Enterprise Security Manager(ESM)を活用し、セキュリティポリシーの整備、運用状況を評価するものである。

セキュリティポリシーのテンプレートには、お客様企業独自のセキュリティポリシーの他に、シマンテック作成のポリシー、業界向けポリシーなどが用意されている。このようなセキュリティポリシーが全社で守られ、なおかつセキュリティポリシーに合ったインフラが維持・運用されているかが評価の対象となる。

ESMの活用によって、ポリシーの遵守状況監査の自動化を支援することができる。セキュリティポリシーの策定が完了していない企業でも、製品出荷時にデフォルトで用意されている5段階のセキュリティポリシーを利用することにより、監査プロセスの導入と実行を容易にできる。さらに、監査内容のレベルを段階的に上げていくことで、セキュリティ意識の向上と目標とするセキュリティレベルの実現が可能となる。ESMはコンソール/マネージャー/エージェントの3階層のアーキテクチャで構成されており、監査対象となるホストに配置された実行用のエージェントと実行の管理を行うマネージャーが連携することによってポリシー監査を実施することができる。なお、監査結果は管理用のコンソールからレポートとして表示される。

2.アプリケーション脆弱性レビュー

アプリケーション脆弱性レビューでは、実績のあるツールと2つのサービスにより、アプリケーションの脆弱性および開発環境の課題を評価し、セキュアなアプリケーション構築が実現できる。

まず「脆弱性検査サービス」により、企業が運営するネットワークサーバやWebアプリケーションにおける脆弱性の評価を、同社がインターネット経由でリモートから行える。脆弱性が発見された場合、重要度順に書面にてユーザーに通知する。リモートから評価を行うため、外部ネットワークから接続できるものに限られる。評価結果は発見された脆弱性の重要度別一覧表、及び上位10項目の詳細を報告する。また、必要に応じてマニュアルによる確認作業も実施する。

また、Webアプリにとどまらず、クライアント/サーバのアプリケーションを含めた広範な適用範囲で脆弱性のレビューを行う「セキュア アプリケーションサービス」を実施している。一連のシステム構築ライフサイクルの中で固有に発生するセキュリティの問題を防ぐため、シマンテックは自社のベストプラクティスにより、どの部分に問題があるかを成熟度モデルに基づき診断し、セキュリティを確保できるシステム構築環境作りを支援していく。

3.アプリケーション性能レビュー

IT統制ではアプリケーションが確実に作動することが前提となる。不完全なトランザクション処理やシステムのパフォーマンス低下は業務統制の妨げとなり、不完全なデータログ発生の原因となる。

そこでシマンテックのITリスクアセスメントサービスには、アプリケーション性能管理ツールである Symantec i3ソリューションを活用しアプリケーション性能の潜在的な問題を明確にする「アプリケーション性能レビュー」が用意されている。

Symantec i3ソリューションにより、多くのコンポーネントが相互に依存しあう多層アーキテクチャ環境において、全社的なパフォーマンスをEnd to Endで把握できるので、ユーザー環境におけるパフォーマンスの問題を解決することができる。

アプリケーション性能レビューは、アプリケーションのレスポンスの観点から、パフォーマンスを可視化し、初期診断を行う。ボトルネックを洗い出し、アプリケーションの健全性を保つために具体的な対応策を提案し、新たなハードウェア投資を極力抑えて、今ある資源を最大限活用するために、何をすべきかを明確にする。さらに、一週間のパフォーマンスデータを出力し、アプリケーションの傾向をレポートする。

4.データ保管状況レビュー

従来の企業データ管理では、サーバ内に適切なストレージ容量を確保しているか、無駄にストレージを使用していないかどうかをユーザーが把握できなかったり、ストレージの使用状況やデータ保管状況が、ユーザーの想定と大きく異なったりする状況であることが少なくなかった。

2006年4月にサービスを開始するシマンテックの「Stored Content Review」は、包括的なストレージリソース管理を行う「VERITAS CommandCentral Storage」 とストレージデータ管理の自動化を行う「VERITAS Storage Exec」を利用し、電子データの保管状況とストレージ利用状況を具体的に評価することができる。

Stored Content Reviewは、データ種別・所有者毎にデータ保管状況を調査し、データをストレージ内に最適に配置し、保管・管理を行う。さらに、ストレージ内保管データのプロファイリングを実施し、プロファイリング結果とユーザー環境のヒアリングを基にストレージ保管レポートを作成することができる。

これにより現場の企業は、具体的なストレージ内のデータ保管状況、ファイル種別と使用状況、データアクセス傾向、増加傾向等を把握することができる。さらにストレージを効果的に管理し、なおかつ将来のストレージシステム変更計画に必要な情報を得ることができる。従って、ストレージTCO削減に必要なソリューションの明確化と、無駄なストレージシステムの導入を回避することができる。

5.システム運用状況レビュー

ITILフレームワークに基づく評価テンプレートを利用して、現状のシステム運用の課題を明確にするのが「システム運用状況レビュー」である。

企業内部で、似たようなプロセスが増え、それにより複雑化することで人為的なミスが発生し、標準化する必要に迫られる、というケースが少なくない。内部統制を実施するにあたり、このような状況がボトルネックになる可能性が高い。シマンテックはシステム運用状況レビューを実施することで、このような課題がどの程度ビジネスに影響を与えるかを明らかにし、ユーザー企業にインタビューを行い、ワークショップを活用することによって明確化することができる(スライド4参照)。

スライド4 システム運用状況レビュー
スライド4 システム運用状況レビュー

評価の基準として、まずサービスレベルの見直しがある。企業としてサービスレベルをどのように捉えているのか、それは現状のビジネスの観点から適正と言えるのかを判断し、運用の中で様々な改善ができているのかを再確認する。そこで様々なシステムから出力される情報をきちんと分析できるような体制になっているか、情報が過不足なく流れているか、運用は適切か、ビジネスインパクトの観点から正しくできているか、といった分析をユーザー企業とともに行い、最も有効な対応策を追求していく。

お問合せ先

株式会社シマンテック
〒107-0052
東京都港区赤坂1-11-44
赤坂インターシティ9F
コーポレート・カスタマーサービスセンター
TEL:03-3476-1426
FAX:03-3476-1159

会社概要 NTT ソリューション 広告募集 ページ先頭へ
Copyright:(C) 2000-2017 BUSINESS COMMUNICATION All Rights Reserved. ※本サイトの掲載記事、コンテンツ等の無断転載を禁じます。