文書化の先にある内部統制を支援する「Symantec ESM」

2008年4月に始まったJ-SOX法の適用に伴い、多くの企業は対応を済ませているはず。だが、果たして万全なのか? 少しでも不安を抱える企業には、シマンテックのIT全般統制支援ツール「Enterprise Security Manager」でセキュリティポリシーの遵守状況を定期的にチェックすることをお勧めする。メールデータの保全および情報開示要求に最適なメールアーカイブ製品「Enterprise Vault」などのコンプライアンスツールを組み合わせることで相乗効果も期待できる。


photo シマンテック ソリューション&プロダクトマーケティング部 セキュリティグループ プロダクトマーケティングマネジャー 金野隆氏

 2008年4月1日から、J-SOX法(日本版SOX法)の適用が始まった。これまでは決算時に「財務諸表」と「財務諸表監査報告書」を提出すればよかった。だが2009年3月決算期から、これらに加えて「内部統制報告書」と監査を受けたことを証明する「内部統制監査報告書」を提出することが上場企業に求められるようになった。企業は、業務技術書や業務フローなどにポリシーを定め、業務プロセスのリスクとそれに対応する統制活動の状況をチェックする「リスクコントロールマトリクス」を作成し、情報の開示要求に対応しなければならなくなっている。

 ここで問題となるのは、内部統制監査の評価部分である。「多くの企業は文書化作業を終えているはず。だが、今後必要となる運用の評価などにかなりの時間を要することが予想されます」――シマンテックソリューション&プロダクトマーケティング部セキュリティグループの金野隆プロダクトマーケティングマネジャーは内部統制の今後をこのように分析する。

 ITで業務を運用する場合、誰がPCを利用しているのか、パスワードをどのように設定すればいいか、適切なアクセス権が設定されているかといったことに対して、企業は管理を徹底し、詳細なデータを残しておかなければならない。そのため、内部統制の監査を評価し、ITポリシーに対するユーザーの遵守について包括的に管理する「IT全般統制」のチェックを実施することが必要不可欠となってくる。ポリシーをあいまいに決めると、例えば、ユーザーが知らず知らずの間にポリシーに反するソフトウェアをインストールすることや、簡単に見破られるパスワードの設定、無効なユーザーIDの放置などが発生する。それが原因となり、企業情報が流出してしまうといった事態を引き起こしかねない。


image 「ITポリシー」を明確化してIT基盤を整備

文書化の後に必要となる「IT全般統制」

 ポリシーの遵守を管理する手法として一般的なのは、管理者があらゆる項目をマトリクスにまとめ、報告書に記入するといったものだ。だがこれは現実的ではない。J-SOX法の対象となる上場企業の多くが大企業であり、数百〜数万台規模ものサーバやPCを管理しており「PC1台のチェックに30分かけたとすると、すべてを調べるには膨大な時間がかかる」(金野氏)からだ。

「企業はJ-SOX法に対応してデータの文書化を進めるだけでなく、文書化の結果からITポリシーを改善することが求められる」(金野氏)というように、データ作成後も内部統制対策は続く。監査時間の削減は大きな課題となる。

 運用管理の負荷を減らして、効果的な統制管理を実現することが必要となる中、それらを効果的にサポートするツールがある。シマンテックの「Symantec Enterprise Security Manager」(ESM)だ。ESMを利用すれば、セキュリティチェックおよびITポリシー遵守チェックに必要な時間とコストを大幅に軽減できる。

image Symantec ESMとは

IT全般統制を可能にするシマンテック製品群

  • 「Symantec Enterprise Security Manager」

 ESMは、システム環境やデータベースなどの設定、利用の状態を調べられる製品だ。セキュリティレベルが一目で分かるため、企業システム環境におけるセキュリティ状況ならびにITポリシーに対する遵守状況を可視化できる。

 3000以上のチェック項目や、J-SOXを始め用途別にポリシーを作成できるテンプレートを備え、監査の結果を簡単に出力できるようになっている。ポリシーの作成、モジュールの追加・カスタマイズ、ポリシー実行のスケジュール作成までを実行し、統制の報告書となる根拠データを表やグラフなどで画面表示、またリポートを出力できる。表やグラフをクリックすると、データの詳細をドリルダウンで確認できる。テンプレートは用途ごとにカスタマイズ可能であるため、仮にJ-SOX法以降に新たな法令が出た場合も、それに応じたリポートをPDFなどで出力できるようになっている。

image 容易なセキュリティポリシー監査実行
  • 「Symantec Enterprise Vault」「Symantec Mail Security」

 J-SOX法の施行において重要な点は、企業が必要な情報を保存することに加え、監査などに応じて必要な情報をすぐに引き出せるかにある。監査における重要なデータをやりとりするツールとして、電子メールが挙がる。不正防止や約束の証明などで電子メールが使われているが、日々数多くの電子メールを受け取るユーザーにとって、その保存や管理は予想以上に手間がかかる。

 そこで有効なツールがメールアーカイブ製品の「Symantec Enterprise Vault」である。スパムメールやウイルスなどを防御する「Symantec Mail Security」と併せて利用することで、さらに効果的なメール保存環境を構築できるようになる。


 J-SOX法への対応は、対象となる一部上場企業だけの問題ではない。IT化の流れに伴い、内部統制はあらゆる企業で必要となっているからだ。内部統制は企業情報の文書化だけにとどまらない。今後より重要となるのは、ポリシーが正しく運用されているかをきちんと評価することだ。今回紹介したシマンテックの製品群は、企業の内部統制にかかるコストや人員、時間を節約する包括的なツールとして、支持を集めるだろう。


ホワイトペーパーダウンロード

内部統制のためのセキュリティ管理に求められるもの

内部統制では、IT全般統制にかかわる定期的な監査が求められるが、その作業には負荷やコストが掛かることが課題である。そこで、監査作業を自動化したりPCにセキュリティポリシーを適用する方法について紹介する。

 この4月より金融商品取引法(日本版SOX法)の実運用が始まり、企業は財務報告にかかわる内部統制に関して報告や監査が義務付けられた。内部統制の監査では、業務手続きの中のIT全般統制を含む内部統制手続きが有効に運用されているかどうかがポイントになる。

 それに伴い、企業はIT全般統制にかかわるチェックや監査を内部で定期的に実施する必要が出てきた。従って、今度はその作業に掛かる負荷・時間・コストの課題に直面することが予想される。

 こうした課題を解決すべく、本書ではセキュリティポリシー監査ツールの活用による監査作業の自動化、そして、クライアントPCに対して厳格なセキュリティポリシーを適用する仕組みについて紹介する。


TechTargetジャパン ホワイトペーパー ダウンロードセンターにて入手できます。




提供:株式会社シマンテック
企画:アイティメディア営業本部/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2008年5月7日

ホワイトペーパー

セキュリティ統制は3ステップで実現できる
内部統制対応上で必須となるセキュリティ統制を、簡単な3ステップのサイクルで実現する手法を紹介する。

内部統制のためのセキュリティ管理に求められるもの
内部統制では、IT全般統制にかかわる定期的な監査が求められるが、その作業には負荷やコストが掛かることが課題である。そこで、監査作業を自動化したりPCにセキュリティポリシーを適用する方法について紹介する。