内部統制の鍵はセキュリティ、SOX法対応でシマンテック提言

2005/11/11

 「セキュリティが確保できて初めて内部統制は有効になる」。米シマンテックのワールドワイド サービス&サポート担当 シニアバイスプレジデント グレッグ・ヒューズ(Greg Hughes)氏はこう述べて、適切な内部統制にはITの効率的な運用管理によるセキュリティ確保が欠かせないとの考えを示した。

米シマンテックのワールドワイド サービス&サポート担当 シニアバイスプレジデント グレッグ・ヒューズ氏

 ヒューズ氏は旧ベリタスソフトウェア出身。ベリタスではサービスやコンサルティング、サポートなどを担当し、米国の企業改革法(サーベンス・オクスリー法、SOX法)にも詳しい。ヒューズ氏はSOX法と目的や内容が似た法整備が日本で進んでいることを受けて、「SOX法対応ではセキュリティとデータ保全が課題になる」と指摘した。

 SOX法では財務諸表の作成や企業内の意思決定のプロセスを定義し、文書化することが求められる。もちろん、ITシステムを使った業務プロセスも同様で、ITシステムの運用に内部統制の機能を持たせる必要がある。しかし、多くのITシステムは「長年、多くの社員が自由度を持ってシステムを運用してきたため、どのシステムやサーバが内部統制の基準に準拠していて、どれが準拠していないかを特定するのは難しい」(ヒューズ氏)。

 ヒューズ氏はSOX法などの法令にITシステムを準拠させる鍵は、ITILなど運用管理の標準を採用することとみている。シマンテックは運用管理プロセスを標準化、効率化するコンサルティングサービスを日本で提供。ヒューズ氏は「日本でもITILの認識は高くなってきている」と指摘し、「日本はサービスに対しての要求水準が高い。日本で成功すれば他国でも成功する。日本でのコンサルティングサービスを拡大したい」と述べた。

 シマンテックは、企業におけるアプリケーション開発のライフサイクル全般で、テンプレートの提供や構築支援、テスト、コード評価などを行う新しいコンサルティングサービス「シマンテック セキュアアプリケーションサービス」を開始した。「構築したアプリケーションがセキュリティ上のリスクにならないかをチェックするサービス」(ヒューズ氏)で、内部統制におけるリスク評価を支援する。

 米国でのSOX法対応では、企業が負担するコストの増大が課題とされた。ヒューズ氏はSOX法対応のコストについて「初期には、プロセスを文書化する作業に最もコストがかかった」と説明した。しかし、米国ではこの反省から内部統制の適用にITシステムを利用するケースが増えたとして「内部統制のプロセスが回り続けていけば、コストは下がるのではないか」と述べた。「SOX法準拠によってITシステムの運用管理が効率化し、最終的にはITシステムのTCOが削減できる」というのがヒューズ氏の考えだ。

(@IT 垣内郁栄)

[関連リンク]
ベリタスソフトウェア シマンテックコーポレーション

[関連記事]
シマンテックがソフト開発のセキュリティで新コンサル (@ITNews)
新生シマンテック初のジョイントソリューションは「電子メールのライフサイクル管理」 (ITmedia)
経営層にセキュリティ状況を報告、シマンテックの新コンサル (@ITNews)
SOX法対応で課題、ITコストをどうする? (@ITNews)
「日本版SOX法は7カ月以内に対応開始を」、オラクルが強調 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)