Special Issue

<IT統制ソリューション特集> 2008年4月が目前に迫る 内部統制の構築・整備から運用のフェーズへ

2008/01/31 19:56

週刊BCN 2008年01月28日vol.1220掲載

 08年4月を目前に控え、日本版SOX法も運用のフェーズに入りつつある。IT統制の運用も不可避となり、IT統制に対応したソリューションへのリプレースやバージョンアップが進んでいる。そのようななか、注目されているのがロギングソリューションだ。内部統制を運用し、正しい操作を行った証跡をチェックする体制が必要とされている。新しいフェーズに移りつつあるマーケットの動向を追った。

■内部統制において、IT統制が重要なカギを握る

 いわゆる日本版SOX法により、内部統制を構築・整備している企業が増えている。膨大な業務プロセスの文書化を終え、内部統制を運用していくフェーズに移行しつつある。

 「金融商品取引法」により、09年3月期以降の決算から内部統制報告書の提出が義務づけられているためだ。つまり、08年4月以降、多くの企業は内部統制を運用していかなければならないのである。

 内部統制の監査において「財務報告に係る内部統制の監査に関する実務上の取扱い」が日本公認会計士協会より公開されている。

 これは、金融商品取引法をはじめとする財務報告にかかわる内部統制の関係法令および「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)」(07年2月15日 企業会計審議会)を踏まえ、監査人が実施する財務報告にかかわる内部統制の監査における実務上の取り扱いとして、具体的な監査手続き、留意すべき事項、監査報告書の文例などを取りまとめたものだ。

 これらの公開により、整備状況評価と運用状況評価が業務に組み込まれているかどうかまで監査されることが明確になっている。

 内部統制といえば、財務諸表にかかわる部分がフォーカスされがちだが、IT化が進む企業の内部統制において、IT統制は極めて重要な位置を占めている。IT統制を進める上で、その基盤となる企業システムのセキュリティを確保することは不可欠だ。また、セキュリティやIT統制ソリューションなどのパッケージ製品は、導入にさほど時間がかからないため、この時期に導入する企業が増えている。

■最新アーキテクチャを用いたロギングに注目が集まる

 活性化しつつある市場で注目されているのが、やはりロギングソリューションだ。なかでも、拡張性が高く、大規模企業で活用できる最新のアーキテクチャを用いたソリューションに人気が集まっている。現在、内部統制の構築・整備・運用を急いでいるのは上場企業である。つまり、企業規模も大きく、現在だけではなく今後も見据えたソリューションを求めている。今後、それらの企業と取引している中堅・中小規模企業においても、上場企業同様の内部統制の構築・整備・運用が求められるようになるだろう。内部統制の市場は、今後、さらなる広がりをみせることが予想される。

 これを新しいビジネスチャンスととらえ、セキュリティベンダーなどの動きも活性化している。
ページ数:1/1 キャプション:

クオリティ
IT統制実現をサポートするロギングソリューション 最新アーキテクチャを使って一から開発

■IT統制を実現するソリューションを検討

 2008年はいよいよ日本版SOX法に対応した企業システムを本番稼働させなければいけない。その対策として、文書化や業務フローなどの整理を進める企業が続々と増えている。これらの企業の中には、08年に入ってからセキュリティやIT統制への対応製品を検討し始めているところも少なくない。セキュリティやIT統制を実現するパッケージ製品は導入までにさほど時間を要しないため、1月から2月にかけてソリューションのピックアップを行い、春以降に即座に導入していく流れなのであろう。実際に、既存環境の見直しを進めている企業も多い。セキュリティベンダーに聞いても、セキュリティやIT統制を実現するソリューションに対する引き合いが増えているということだ。

 「個人情報保護法」が施行された05年に、情報漏えい対策としてセキュリティソリューションやロギングツールを導入した企業は多い。これまでは、情報漏えい事故が起きなければログを蓄積しているだけでよかった。しかし、日本版SOX法では、経済産業省が公表した「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」や企業会計審議会が公表した「財務報告にかかる内部統制の評価および監査の基準ならびに財務報告にかかる内部統制の評価および監査に関する実施基準案の設定について(意見書)」などを読み解きながら細かい要件に応える必要がある。

 正しい操作が行われているかといった証跡を残すことも不可避となる。そうなれば、操作ログを取得し、正しく活用されているかどうかをチェックする体制作りまでが必要不可欠となる。

■リスクを低減するQuality Operate Hawkeye登場

 情報漏えい対策を主とした当時にリリースされたソリューション、あるいは焼き直しや継ぎはぎのソリューションでは、IT統制に十分対応できない場合も多い。そのため、IT統制が実現できるソリューションへのリプレースやバージョンアップが進んでいるというわけだ。この市況において、クオリティはロギングツールの最新ソリューション「Quality Operate Hawkeye(クオリティ オペレート ホークアイ)」(以下、QOH)を提供する。QOHは、起動アプリケーションログ、ドキュメント操作ログ、WEB操作ログ、ファイルログ、プリンタ印刷ログなど、12の操作ログが取得できるロギングソリューションだ。ほかのロギングソリューションと異なり、最新のアーキテクチャを活用して一から開発しているため、最新の環境や今後の拡張などが行いやすいという特長がある。個人情報保護法が施行された当時のアーキテクチャによって開発された製品をバージョンアップしても、そのアーキテクチャが足かせとなり、今後の発展性という部分で劣ってしまう場合がある。日本版SOX法などの新しい法制度やWindows Vista、Windows Server 2008など環境が大きく変化するなか、最新のアーキテクチャを活用している優位性は高い。またユーザーの声を反映し、バージョンアップを重ねることで、より利便性の高いソリューションに進化していくという期待もある。

 さらに、QOHは同社のレポーティングツール「eX Report」に対応しており、蓄積したログを内部監査などに活用しやすいグラフやレポートにして出力できる。情報システム管理者が特に意識しなくても、設定したログを定期的に出力することが可能なため、作業工数を大幅に削減することができる。

 従来、ロギングツールやレポーティングツールは、システム管理者の作業工数の増大を招くとして、導入を躊躇する企業もあったが、QOHであれば、管理工数を削減しながらも、リスクを軽減させることが両立でき、企業システムを活用している社員が安心できる環境構築をサポートしてくれるだろう。(週刊BCN 2008年1月28日号掲載)

クオリティ=http://www.quality.co.jp/
  • 1