米国SOX法対応実績に基づくKCCSの内部統制ソリューション
　京セラコミュニケーションシステム

　京セラコミュニケーションシステム（以下、KCCS）は、米国ニューヨーク証券取引所に上場する京セラのグループ会社として、2002年より米国企業改革法（米国SOX法）にICTを活用し対応してきた。この実績から、『KCCS内部統制ソリューション』として、内部統制を支援するための製品・ソリューションを提供している。その中でも現在、ID管理システムとコンフィグレーション変更管理ソリューションに注目が集まっているという。同社の活動をグリーンオフィス事業部・ソリューション部長の徳毛博幸氏とセキュリティ事業部・セキュリティ営業2部長で公認情報システム監査人（CISA）でもある内山英子氏に話を聞いた。

■幅広く提供される内部統制ソリューション

　前述のように、京セラコミュニケーションシステム（以下、KCCS）は、米国企業改革法（米国SOX法）に基づく内部統制を経験している。この経験を元に、2008年4月の事業年度から適用される金融商品取引法（日本版SOX法）への対応が求められる企業向けに『KCCS内部統制ソリューション』を提供している。国内で“内部統制”の強化といえば、日本版SOX法への対応を目的として、新システムを検討する会社も多い。しかし「私たちが提供する『KCCS内部統制ソリューション』は、日本版SOX法に対応するために作られたものではない」と内山氏は言う。

　KCCSは、自社の経営課題を解決するという目的で、情報通信技術（ICT：Information and Communication Technology）を活用し、情報システムの運用を行ってきた。さらには、自社と同様の課題を持つユーザに対しても、この経験を元に開発した製品やサービスを『KCCS内部統制ソリューション』として、内部統制の強化、特にIT全般統制を図る上で適したソリューションとして提供し、ユーザとともに課題解決に取り組んでいる。

■自社開発のID管理システム

　IT統制の観点から、「ユーザIDを統合管理したいというニーズは非常に高まってきています」と、徳毛氏。

　KCCSでは、増え続ける情報システムのユーザIDを一元管理するID管理システム『GreenOffice Directory（グリーンオフィス ディレクトリ）』を提供している。「社内システムのアクセス権管理を個別に行っていては、設定ミスや不要IDの削除漏れが起こる可能性があります。そこで、煩雑なID管理業務のセキュリティの確保と、管理コスト軽減を実現するために『GreenOffice Directory』の開発を進めました」（徳毛氏）

　『GreenOffice Directory』が生まれた背景には、京セラグループの“アメーバ経営”という経営管理手法がある。“アメーバ経営”では、ビジネスの変化に応じて人事・組織が頻繁に変更されるため、そのたびに各システムへの変更を手作業で行っていては、ミスを誘発する“リスク”が高くなる。ビジネスの変化に即座に対応する企業としては、セキュリティレベルを維持しつつ効率的にID管理を行う仕組みが必要不可欠だったのである。『GreenOffice Directory』では、変更したユーザ情報を本番環境への登録前に準備環境で確認することができる。そして、スケジュール設定を行うことで、人事異動や組織変更日にあわせて自動的にIDの変更や削除・追加が可能となる。また、派遣社員や契約社員などの情報は一般的に人事システムに登録されていないため、手作業で改廃作業が行われている。しかし『GreenOffice Directoryワークフローオプション』を活用すれば、人事システムに登録されていない社員情報であっても、ワークフロー申請にてIDの改廃作業および承認履歴の管理が可能となる。さらに、申請時にIDの有効期限設定が可能なため、期日指定でIDの自動失効が行え、IDの削除漏れのリスクを回避することもできる。「海外製のID管理システムが多いなか、『GreenOffice Directory』は国産ですので、ユーザ個人だけではなく、組織や役職でのアクセス権管理が可能であるなど、職務分掌の確立を支援するID管理システムになっています」（徳毛氏）。

■米国SOX法で使われている70種超のテンプレート

　また日本版SOX法により、IDの統合管理にとどまらず、正式に承認されたシステムのみが業務に利用されていることを証明する必要がある。

　そのため、プログラムの変更管理やコンフィグレーション変更管理の自動化が必須となった。KCCSでは、企業システムのコンフィグレーション監査システムとして『Ecora Auditor Pro.（エコラ オーディター プロ）』を提供している。『Ecora Auditor Pro.』は、業務アプリケーション（プログラム）の変更履歴管理や、OS・アプリケーション・ファイルへのアクセス権の棚卸しなど、システムの設定情報のモニタリングもできるようになっている。また、実際に米国SOX法対応で使用された70種類を超えるレポートテンプレートを搭載しており、これらテンプレートを利用して監査に必要となるレポート（証憑）の出力ができる。

　「SOX法対策というと構えてしまうケースも多いと思いますが『Ecora Auditor Pro.』では、監査レポート作成が自動化でき、ヒューマンエラーの回避と情報システム部門の作業時間や手間を大幅に軽減できます」（内山氏）。

　日本版SOX法対応や内部統制の強化は、初年度の対応だけではなく、継続的かつ適切な対応が必要である。「そのためには初年度から、運用に重点を置いた基盤整備が必要不可欠」（内山氏）という。

　各企業は日本版SOX法対応を“単なる義務”ではなく、企業システムの再整備の機会、さらには新たなビジネス展開のチャンスと捉えている。そのため、ITの活用は不可欠となり、自社の対応経験に基づき開発、提供されている『KCCS内部統制ソリューション』は市場の注目を集めている。

　「今」だけではなく「これから」も見据えたさまざまな製品、サービスを提供していくKCCSの今後の活躍に注目したい。

京セラコミュニケーションシステム＝http://www.hitachi-system.co.jp/

（週刊BCN　2007年8月27日号掲載）