SOX法対応はこうやって進めろ!!：事例紹介 日東ロジスティクス（3/3 ページ）

[大津心，＠IT]

ERP側に求められる要件とは？

　一方のERP側では、米国SOX法対応に際してどのような作業が必要だったのだろうか。菊池氏は、「ERPの宿命ともいえるが、いわゆる初期設定である権限設定やマスタ設定が大変だった。通常のERP導入とは異なり、米国SOX法に対応するための権限設定やマスタ設定が必要だったために、より工数が掛かった。米国SOX法対応を考えていなかったら、権限やセキュリティ設定はもっと楽だっただろう。ただし、今回は極力パッケージ側に業務を合わせてもらった。業務に合わせていたら、個別開発やカスタマイズが発生し、さらに工数が発生しただろう」と説明した。

　米国SOX法対応で求められるアプリケーションコントロールは、「不正データ入力の防止と発見」「未承認アクセスの防止」「必要に応じたアクセス権限」「ログ管理」の4点。中でも現在、アプリケーション側で一番の問題となるのは「アカウント／パスワード」への要求の高さだという。

　米国SOX法では、アカウント／パスワードを暗号化して保存しなくてはいけないほか、最低文字数の設定やパスワードの有効期間、複数回連続してパスワードを間違えた場合に使用禁止にするロックアウト機能、過去に使用したパスワードを使用禁止にするパスワード履歴機能など、数多くの要件を満たす必要があるのだ。現在、これらの要件を満たしているERPパッケージはGRANDIT以外にはないという。

　一方、GRANDITが満たしていなかったのは、「ログ管理」の部分。GRANDITがログ管理機能を備えていなかったため、GRANDITのコンソーシアムに要請。ベータ版ながら、実装することができた。

社内教育も手の掛かる部分の1つ

　米国SOX法対応において、文書化と同様に手間暇が掛かるのが「社内教育」だ。日東ロジスティクスの場合、社員200人強を3カ月かけて、リーダー、管理者、担当者の3段階に分けて行った。

　教育内容は、米国SOX法に関するものから、GRANDITの具体的な使用方法、アカウントやパスワードの運用方法まで、幅広く行った。教育環境の整備にも配慮し、講習用ノートPCの用意や、講習会場の電源やLAN回線の用意など幅広い作業が発生したという。また、講習ではマニュアルが必須であるため、対象者ごとに異なったマニュアルを作成する作業に相当苦労した。

　実際の教育は、プロジェクトリーダーはGRANDITや米国SOX法に対するさまざまな知識を吸収しなければならないため、外部教育機関を利用して10日間以上かけて実施。業務リーダーに対しては、アイディーエスが教育を行った。しかし、それ以降の管理者や業務担当者に対しては、日東ロジスティクス自身が行った。システム管理者は、システム運用面だけなので、比較的短く1日コースを、業務担当者は主にGRANDITの操作方法やアカウント／パスワードの運用方法を中心に2日コースを受講した。

　また、日東ロジスティクスでは、米国SOX法に対応するため「自分の業務に必要な項目の講習を受けないと、その業務に必要な権限を与えない」というポリシーを実施。このために社員が受けなければならないメニューが増加し、かなりの負担増になったという。ただし、このポリシーの下では、全社員が必要な講習を必ず受けるため、セキュリティ意識は相当上昇するというメリットも生まれている。

　最後に、現在の日本におけるSOX法対応や内部統制の実施状況について聞いたところ、「日本のSOX法対応はまだまだ。11月に金融庁からガイドラインが出てきたので、やっと少しずつ進んでいくだろう。まだ、ユーザーの多くは『内部統制をやらなきゃいけないみたいだけど、具体的には何をすればいいのか？』という段階だろう。われわれのような、実際にSOX法対応案件のノウハウを持ったベンダが先頭に立って、SOX法や内部統制に未対応の企業をけん引していかなければならない」（高野氏）という答えが返ってきた。

著者紹介

▼著者名　大津 心

＠IT情報マネジメント編集部

「事例紹介」バックナンバー

• 実際に“全社員在宅勤務”を実施してみたら
• いまは正当な権限を持っている人が不正する時代
• グリーンIT事例：グリーンITへの取り組みは企業の義務で使命だ
• グリーンIT事例：いま、グリーンデータセンターが苦労すること
• SOX法対応はこうやって進めろ!!