 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
「SOX法のあいまいさにはリスク分析で対応すべき」-日本オラクル |
||||||||||||
|
||||||||||||
|
米SOX法に関する視察ツアーの成果を説明
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
ツアーでは米Oracleの顧客によるセッションが多数行われたが、一様に認識されていたことの1つに、「米SOX法(企業改革法)のあいまいさ」があるという。これは、「明確な基準を政府が示していないことが原因」(日本オラクルのシステム事業推進本部 セキュリティ&コンプライアンス担当ディレクター、西脇資哲氏)になる。 しかし基準がないからといって、何もしなくていいわけではない。そこで米国企業は「自社内のリスクを排除するためのプロジェクトをいくつか立ち上げた」(西脇氏)という。なぜリスクを明らかにしなくてはいけないかというと、SOX法では問題が発見できない環境があること、リスクがどこにあるのかがわからないこと、が一番の“問題”にされるからだ。 この対策の具体的な例として、同ツアーでも紹介されたという米Lehman Brothersを取り上げた西脇氏は、ID管理を徹底した同社のやり方を説明した。同社では、多い月には1000名以上の社員が入社してくるとのことで、大変人の出入りが激しい環境だ。こういう環境ではIDの管理が非常に煩雑になり、すきも生まれやすい。そこで、人事システムとLDAPと各アプリケーションが連携して自動でID登録・削除などの作業を行うシステムを構築し、各工程できちんとログを残すようにしたという。この結果、同社では退社したユーザーのIDが“幽霊化”するのを防ぐとともに、「どのアプリケーションに」「いつまで」権限があったかもきちんとレポートできるようになったというのである。 加えてこのツアーでは、米国でのSOX法対応状況を監査法人のKPMGが説明する機会も設けられた。その内容について西脇氏は、「米国での大半の仕組みが適用される可能性が高いという指摘があった」と述べる。ただし、「米国とは異なり、監査法人が、内部統制報告書に対して第三者的な立場で意見をいうことはない」ため、監査人は詳細な監査をしない可能性もあるという。 また、KPMGが内部統制監査で指摘した項目のうち、IT関連が全体の20%にも及ぶというデータを示し、特に「職務分掌に関しては、犯罪や情報漏えいが起きやすいので注意する必要がある」「権限がなくてもアクセスできる、やめた人にアクセス権がある、など、アクセスコントロールの問題」という点を指摘している。 ■ URL 日本オラクル株式会社 http://www.oracle.co.jp/
( 石井 一志 )
|
