SOX法対応、米国企業の「教訓」：Symantec Vision 2006 Report

米Symantecは、SOX法をはじめとするさまざまな法的規制に対するコンプライアンス対応を支援するソリューションを発表した。

[高橋睦美，ITmedia]

　米Symantecは5月8日、SOX法やGLB（グラム・リーチ・ブライリー法）、HIPAAといったさまざまな法的規制に対するコンプライアンス対応を支援する「IT Compliance Solution」を発表した。

　このソリューションは、シマンテックの統合セキュリティ対策ソフト「Symantec Client Security」や旧ベリタスのバックアップソフト「NetBackup」、アーカイブシステムの「Enterprise Vault」といった製品に加え、エンドポイントセキュリティ／ポリシー準拠を実現する「Symantec Sygate Network Access Control」、インスタントメッセージ向けのセキュリティ対策製品「IM Logic」といったさまざまな製品群から構成される。

　中でも重要な役割を果たすのは、やはり買収によって製品ポートフォリオに加わった旧BindView Developmentのポリシー管理製品「Symantec BindView Policy Manager」や、コンプライアンスに適合したセキュリティ設定を実現する「Control Compliance Suite」だ。いずれも、企業のITシステムがさまざまな法的規制やポリシーに準拠しているかどうかを監査し、レポートする機能を提供する。法規制の準拠状況の把握とそのレポートといった作業を自動化することで、効率的にコンプライアンスを実現できるよう支援するものだ。

　ただし同ソリューションには、日本ではまだリリースされていない製品も含まれているため、国内での提供時期は未定という。

　米Symantecのシニアコンプライアンスアナリスト、デビッド・スミス氏は、Securitycompliance.comが行った調査結果を引き合いに出し、米国企業がコンプライアンス実現に苦慮している状況を紹介した。「さまざまな規制によって、情報セキュリティ対策は大きな影響を受けることになる。しかし、それを実現するためのリソースは限られている」（同氏）

　たとえば回答企業のうち80％は、1つではなく、複数の法規制へのコンプライアンスに取り組んでいるという。しかし、規制に準拠した形でしっかりしたセキュリティ対策を実現できていると回答した企業はわずか11％にとどまった。

　というのも、コンプライアンス実現には多くのリソースが必要になるからだ。「コンプライアンスを成功させる鍵は、頻繁に監査を実施し、その結果を改善につなげていくこと」（同氏）。毎月、毎週どころか、場合によっては週や日単位の一貫した監査が重要だという。

　しかしながら、そうした作業を人海戦術で進めいくのは非現実的だ。「コンプライアンスを実現するには、監査プログラムの実施と検査、レポートといった作業を自動化し、効率的に取り組みを進めていくことが重要だ」（スミス氏）

評価と改善に要する時間を十分に

　Symantec Vision 2006で行われたセッションの1つでは、米PriceWaterHouse Coopersのマイケル・パール氏が、自らコンサルタントや監査人としてクライアント企業のコンプライアンス対応に携わった経験を元に、SOX法対応におけるいくつかの「教訓」を披露した。

　まず重要なのは、2000年問題対応の時と同様「プロジェクトマネジメントの実行力」だという。「大きな組織の場合、経営や組織のあり方、プロセスに変更を加えるのは大変な作業。経営トップがからみ、イニシアティブをとっていくことが必要だ」（パール氏）。同時に、IT部門だけが突出して取り組みを進めるのではなく、ほかの事業部と連携して進めていくことも必須という。

　パール氏はさらに、テストに十分な時間をかけることが肝要だとも述べた。「テクノロジに変更を加えるのには時間がかかる。テストを行い、結果を見ながら再度修正、改善を加えていくとなると、数カ月単位の時間を要する」（同氏）。米国の企業の中には、評価および改善のプロセスに気づくのが遅れ、改善しようとしても手遅れになってしまったケースもあったという。

　一方、SOX法対応に要するコストを絞っていく上で重要になるのは「簡素化」「標準化」だとパール氏。たとえば、各拠点ごとにばらばらなシステムやプロセスを採用していると、それぞれに監査を行わなければならない。これに対し、全社で標準化されたプロセスを採用していれば、コストも時間もリソースも大きく節約できるという。

　さらに「多くの企業では、SOX法対応を標準化を進めるいいチャンスだととらえている。人は変化を望まないものだが、SOX法への準拠を機に、企業の標準化、簡素化を進めている」（パール氏）

　同時に、SOX法コントロールの中でも自社にとって「鍵」となるものを見いだし、その監査／改善作業を自動化していくこと、重複したり無駄な部分を省く最適化作業も重要だという。

　米Symanceの最高情報セキュリティ責任者、ティム・メイサー氏は、自らのSOX法対応の経験を踏まえ、「1年目は特に大変な思いをした」と述べた。

　中でも大変だったのは、プロセスのドキュメント化だ。「企業内には多くのプロセスがあるが、そのほとんどすべてに、たとえて言えば『部族の知恵』のような文書化されていない知識が含まれている。これらをすべて文書にまとめなくてはならない」（メイサー氏）さらに「そのテストと改善、再テストと改善の繰り返しに多くの時間を要した」（同氏）。

　メイサー氏によると、SOX法対応に際して企業にかかる負担は相当なもの。「顧客が期待する作業をいったん止めてまでも、SOX法対応作業を優先しなければならない場合もある。したがって、SOX法対応は時間と労力を非常に費やすものである、という現実を顧客に説明しておくことも必要だろう」と述べた。ただ同時に「SOX法対応にすべての予算を投じるのではなく、通常のオペレーションや他の規制準拠などとバランスの取れた、合理的な取り組みを行うべき」と言う。

　またパール氏は「企業の多くは、SOX法対応によって生じる作業量の増加やオペレーションの効率に与える影響を過小評価しがちだった」と述べ、日本版SOX法対応に当たっては、米国の教訓を生かしてぜひ今から検討を開始してほしいと述べた。