エムオーテックス
内部統制の整備を支援する　次期バージョンでSOX法404条に対応へ

■SOX法に着手している企業が選んだ『LanScopeシリーズ』

　金融庁企業会計審議会は、2007年2月15日「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」を公表した。この基準により、09年3月期以降、すべての上場企業とその子会社、関連企業、業務委託会社において、内部統制報告書の提出を義務づけられることになった。これは、いわゆる日本版SOX法と呼ばれるもので、この法の施行により多くの企業で内部統制の構築が不可避となった。

　「内部統制の構築」を実現するための方法として、多くの企業はまず「文書化」から着手するようだ。具体的には、専門家のコンサルティングを受けながら、全社的な内部統制構築における規定などを文書化するほか、業務プロセスの内部統制における文書化を進めている企業が多い。しかし、IT統制に対する管理ツールの検討やバージョンアップなど、具体的な動きはほとんどないのが現状だ。一方、海外進出している企業をみると、すでにSOX法対策に着手している企業も少なくない。監査や評価基準を設け、具体的な対策としてサーバのアクセスを記録するため、エムオーテックスの『LanScopeシリーズ』を導入しているケースが増えているようだ。

　『LanScopeシリーズ』は、導入クライアント数303万クライアント（07年10月末現在）を記録し、クライアント監視ツール市場をリードしているソリューション。セキュリティ市場で3年連続のトップシェア（07年富士キメラ総研調べ）を獲得しているソリューションとしても知られている。

■次期バージョンではIDの発行・変更ログも取得

　『LanScope Cat5』は「人が操作したログのみ」を取得する。必要な情報だけがユーザーに提示されるため、ほかに解析ツールを用意する必要がない。また、取得したログを元にセキュリティレベルを数値でレポートする「セキュリティ診断レポート」などを備えており、企業システムを可視化するソリューションとして活用されている。

　『LanScope Cat5』は運用性が高いため、業務に影響を及ぼすことなく継続してログを取得できるというメリットもある。また、問題行動はWebコンソールから容易に特定できるため、毎日のチェックにも手間がかからない。管理・運用の工数を削減することによって、常にセキュリティレベルを確認できるようになるため、企業のセキュリティレベルを格段に向上させることができる。さらに、Pマーク取得企業などの更新審査や立ち入り調査が行われる際も、Webコンソールから特定のログの抽出を行って必要な情報を簡単に取り出せる。専門知識がなくても操作できることから、専任の管理者を配置していない中堅・中小企業にとって心強いツールとなっているようだ。

　SOX法404条では、IDの発行、権限の変更、JOBの実行についてのログを取得し、不正が行われていないか監査することが求められている。しかし現状では、これらのログを取得するソリューションは、ほとんど存在しない。また、企業の中には多様なシステムが構築されており、それらのシステムをSOX法404条に対応させるためには膨大な工数とコストがかかる。この404条への対応こそが、内部統制に費用がかかる原因になっている。

　現在の「LanScope Cat5」は、画面操作の記録やファイル操作記録などを保存するが、次期バージョンではIDの発行、変更についてのログ収集も行う予定だ。「LanScope Cat6」がSOX法404条に対応することにより、既存システムのアプリケーションやデータベースに依存することなくIDが一元管理できるようになる。

　まずは文書化に着手し、次のステップとして「LanScope Cat6」を用いたIT統制を行えば、実行力のある内部統制を構築できるはずだ。

エムオーテックス＝http://www.motex.co.jp/

[次のページ]