一方のERP側では、米国SOX法対応に際してどのような作業が必要だったのだろうか。菊池氏は、「ERPの宿命ともいえるが、いわゆる初期設定である権限設定やマスタ設定が大変だった。通常のERP導入とは異なり、米国SOX法に対応するための権限設定やマスタ設定が必要だったために、より工数が掛かった。米国SOX法対応を考えていなかったら、権限やセキュリティ設定はもっと楽だっただろう。ただし、今回は極力パッケージ側に業務を合わせてもらった。業務に合わせていたら、個別開発やカスタマイズが発生し、さらに工数が発生しただろう」と説明した。
米国SOX法対応で求められるアプリケーションコントロールは、「不正データ入力の防止と発見」「未承認アクセスの防止」「必要に応じたアクセス権限」「ログ管理」の4点。中でも現在、アプリケーション側で一番の問題となるのは「アカウント/パスワード」への要求の高さだという。
米国SOX法では、アカウント/パスワードを暗号化して保存しなくてはいけないほか、最低文字数の設定やパスワードの有効期間、複数回連続してパスワードを間違えた場合に使用禁止にするロックアウト機能、過去に使用したパスワードを使用禁止にするパスワード履歴機能など、数多くの要件を満たす必要があるのだ。現在、これらの要件を満たしているERPパッケージはGRANDIT以外にはないという。
一方、GRANDITが満たしていなかったのは、「ログ管理」の部分。GRANDITがログ管理機能を備えていなかったため、GRANDITのコンソーシアムに要請。ベータ版ながら、実装することができた。
米国SOX法対応において、文書化と同様に手間暇が掛かるのが「社内教育」だ。日東ロジスティクスの場合、社員200人強を3カ月かけて、リーダー、管理者、担当者の3段階に分けて行った。
教育内容は、米国SOX法に関するものから、GRANDITの具体的な使用方法、アカウントやパスワードの運用方法まで、幅広く行った。教育環境の整備にも配慮し、講習用ノートPCの用意や、講習会場の電源やLAN回線の用意など幅広い作業が発生したという。また、講習ではマニュアルが必須であるため、対象者ごとに異なったマニュアルを作成する作業に相当苦労した。
実際の教育は、プロジェクトリーダーはGRANDITや米国SOX法に対するさまざまな知識を吸収しなければならないため、外部教育機関を利用して10日間以上かけて実施。業務リーダーに対しては、アイディーエスが教育を行った。しかし、それ以降の管理者や業務担当者に対しては、日東ロジスティクス自身が行った。システム管理者は、システム運用面だけなので、比較的短く1日コースを、業務担当者は主にGRANDITの操作方法やアカウント/パスワードの運用方法を中心に2日コースを受講した。
また、日東ロジスティクスでは、米国SOX法に対応するため「自分の業務に必要な項目の講習を受けないと、その業務に必要な権限を与えない」というポリシーを実施。このために社員が受けなければならないメニューが増加し、かなりの負担増になったという。ただし、このポリシーの下では、全社員が必要な講習を必ず受けるため、セキュリティ意識は相当上昇するというメリットも生まれている。
最後に、現在の日本におけるSOX法対応や内部統制の実施状況について聞いたところ、「日本のSOX法対応はまだまだ。11月に金融庁からガイドラインが出てきたので、やっと少しずつ進んでいくだろう。まだ、ユーザーの多くは『内部統制をやらなきゃいけないみたいだけど、具体的には何をすればいいのか?』という段階だろう。われわれのような、実際にSOX法対応案件のノウハウを持ったベンダが先頭に立って、SOX法や内部統制に未対応の企業をけん引していかなければならない」(高野氏)という答えが返ってきた。
▼著者名 大津 心
@IT情報マネジメント編集部
Copyright © ITmedia, Inc. All Rights Reserved.