SOX法対応はこうやって進めろ!!事例紹介 日東ロジスティクス(3/3 ページ)

» 2007年01月25日 12時00分 公開
[大津心,@IT]
前のページへ 1|2|3       

ERP側に求められる要件とは?

 一方のERP側では、米国SOX法対応に際してどのような作業が必要だったのだろうか。菊池氏は、「ERPの宿命ともいえるが、いわゆる初期設定である権限設定やマスタ設定が大変だった。通常のERP導入とは異なり、米国SOX法に対応するための権限設定やマスタ設定が必要だったために、より工数が掛かった。米国SOX法対応を考えていなかったら、権限やセキュリティ設定はもっと楽だっただろう。ただし、今回は極力パッケージ側に業務を合わせてもらった。業務に合わせていたら、個別開発やカスタマイズが発生し、さらに工数が発生しただろう」と説明した。

 米国SOX法対応で求められるアプリケーションコントロールは、「不正データ入力の防止と発見」「未承認アクセスの防止」「必要に応じたアクセス権限」「ログ管理」の4点。中でも現在、アプリケーション側で一番の問題となるのは「アカウント/パスワード」への要求の高さだという。

 米国SOX法では、アカウント/パスワードを暗号化して保存しなくてはいけないほか、最低文字数の設定やパスワードの有効期間、複数回連続してパスワードを間違えた場合に使用禁止にするロックアウト機能、過去に使用したパスワードを使用禁止にするパスワード履歴機能など、数多くの要件を満たす必要があるのだ。現在、これらの要件を満たしているERPパッケージはGRANDIT以外にはないという。

 一方、GRANDITが満たしていなかったのは、「ログ管理」の部分。GRANDITがログ管理機能を備えていなかったため、GRANDITのコンソーシアムに要請。ベータ版ながら、実装することができた。

社内教育も手の掛かる部分の1つ

 米国SOX法対応において、文書化と同様に手間暇が掛かるのが「社内教育」だ。日東ロジスティクスの場合、社員200人強を3カ月かけて、リーダー、管理者、担当者の3段階に分けて行った。

 教育内容は、米国SOX法に関するものから、GRANDITの具体的な使用方法、アカウントやパスワードの運用方法まで、幅広く行った。教育環境の整備にも配慮し、講習用ノートPCの用意や、講習会場の電源やLAN回線の用意など幅広い作業が発生したという。また、講習ではマニュアルが必須であるため、対象者ごとに異なったマニュアルを作成する作業に相当苦労した。

 実際の教育は、プロジェクトリーダーはGRANDITや米国SOX法に対するさまざまな知識を吸収しなければならないため、外部教育機関を利用して10日間以上かけて実施。業務リーダーに対しては、アイディーエスが教育を行った。しかし、それ以降の管理者や業務担当者に対しては、日東ロジスティクス自身が行った。システム管理者は、システム運用面だけなので、比較的短く1日コースを、業務担当者は主にGRANDITの操作方法やアカウント/パスワードの運用方法を中心に2日コースを受講した。

 また、日東ロジスティクスでは、米国SOX法に対応するため「自分の業務に必要な項目の講習を受けないと、その業務に必要な権限を与えない」というポリシーを実施。このために社員が受けなければならないメニューが増加し、かなりの負担増になったという。ただし、このポリシーの下では、全社員が必要な講習を必ず受けるため、セキュリティ意識は相当上昇するというメリットも生まれている。

 最後に、現在の日本におけるSOX法対応や内部統制の実施状況について聞いたところ、「日本のSOX法対応はまだまだ。11月に金融庁からガイドラインが出てきたので、やっと少しずつ進んでいくだろう。まだ、ユーザーの多くは『内部統制をやらなきゃいけないみたいだけど、具体的には何をすればいいのか?』という段階だろう。われわれのような、実際にSOX法対応案件のノウハウを持ったベンダが先頭に立って、SOX法や内部統制に未対応の企業をけん引していかなければならない」(高野氏)という答えが返ってきた。

著者紹介

▼著者名 大津 心

@IT情報マネジメント編集部


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.