SOX法(サーベンス・オクスリー法): ITコンプライアンスの導入ガイダンスとして

avatar

 2018.08.01  Japanブログ編集部

ソックスと言えば、MLBのレッドソックスやホワイトソックス、それに児童書のフォックス・イン・ソックスなどありますが、ソックス繋がりで、SOX法(サーベンス・オクスリー法)についてその重要性を認識しておきましょう。

本規制は、不正会計・粉飾決算が企業破綻へと導いたエンロン事件などがきっかけとなり、大企業による不正な財務処理への対策として、2002年に米国連邦法として制定されました。

本規制の目的は、米国における企業会計、および財務報告の正確性、および信頼性を向上することにあります。財務報告がITと何の関係があるのかと疑問に思う方も多いでしょう。

分厚い会計簿にペンで記入していた時代はもはや過去のことで、ITは現代の会計処理に大いに関係しています。手作業による簿記や会計監査とは違い、現代の財務システムは、大規模なERPアプリケーションを導入し、サーバとデータベースの領域にあるのです。

SOX法でITとの関連が最も高いのは、第404条で、「内部統制の管理評価」が義務付けられています。これは、法案のわずか一部に過ぎないですが、企業の財務監査では重要な意味を持っています。監査人は、財務システムとそのプロセスに関して、企業の内部統制の有効性を検証、評価し、報告する義務があります。

これをIT的な観点から読み解くと、具体的には企業はシステムを往来するデータが改ざんされる恐れがないこと、および情報のリスク管理に向けた実践的なコントロールを実行することを求められています。

主なコントロール分野を以下に示します。

  •    管理変更
  •     アクセス管理(物理的、および論理的)
  •     障害復旧(バックアップの実施、事業の継続性)
  •     プロセスの自動化(定期ジョブ)

 監査人にとっての監査対象はポリシーと手続きですが、そのポリシーと手続きが実行されている証拠も必要としています。変更管理のプロセスを例に挙げてみましょう。変更要求は承認が必要で、しかるべき担当者が変更を行い、検証され、実装されなければなりません。

プロセスの各工程では、変更が財務システムを不当なリスクに晒していないこと、また、万が一、障害が発生する場合は、容易に是正またはロールバックできる必要があります。監査では、この行程が適宜実施されている証明を求めます。その為、IT担当者は、サービスデスクのチケット(リクエストの記録)、承認、および変更実施のレポートを作成する必要が出てきます。

ところで、監査の実施に当たっては、変更プロセスの一部のみならず、全てのプロセスが分る一連の書類を求められます。このことから、相当な量の文書作成作業に備える必要があります。またこれは、ITコントロール業務の一部に過ぎません。つまり、監査の実施に当たっては、IT運用の中核的業務でないにもかかわらずITスタッフに多大な事務作業を課すことになるのです。しかしこれは事業経営を左右する非常に重要な取り組みであることも事実です。

監査の負荷を軽減するために

 ゴールデンゲートブリッジに繰り返し塗装を施すのと同様に、SOX監査は、繰り返し実施されます。年間を通した継続的なコントロール実施の必要性は言うまでもありません。監査人は1月に実施した変更、またはアクセス管理が、その後も継続的に実施されていることの確認する必要があるのです。そこで、定期的な証明の収集に備える必要があります。

監査報告は年次で作成されるにも関わらず、監査関連の作業が年間通してあることは珍しくありません。すでに多くの作業を担うIT担当者にとっては、重い負荷がかかります。そこで、業務負荷の軽減には自動化が大きな効果があります。監査人に分かり易い報告書を自動生成する有益なコントロールが自動化されると、IT担当者にとっても監査にとっても利益があります。

アクティブディレクトリ、データベースサーバ、または共通のデータベースをバックエンドとするアプリケーションなどのシステムでは、Tripwire Enterprise のようなツールを活用することで、比較的容易に変更内容の確認、および変更レポート作成が出来ます。さらに機密性の高い情報を処理するシステムではユーザーの追加や管理者特権に変更がある場合のアラート機能を付加することができます。

監査人からアクティブユーザー、および削除されたユーザーのサンプル提示を求められる場合には、監視ツールを活用すれば、アクセスコントロールの裏付けが可能です。すでに、ServiceNowやJiraなどの、ITサービスマネジメントツールを導入されていれば、変更の要求からエンドツーエンドでなされた変更管理、および処理結果に至るまで、全てを提示することができます。これで電子メールやチケットシステム(リクエストの記録管理)から変更実施の経緯を探し当てる手間も省かれます。

アプリケーションの変更についても同様です。所定の変更コントロールに準じたアプリケーションおよびプロセスの変更がなされているかについても監査が入ります。この点でも、ファイル整合性監視ツールが効果的で、システム全体を通してなされた変更を容易にレポート出力することが可能です。こうした企業の変更コントロールに対する姿勢は、監査人にとっても安心材料となるものです。また、監査とは別にして、これらコントロールを実施することで、誰が、いつ、何を変更し、またその変更が承認されたものなのかどうかを適切に把握できるので、セキュリティの強化、および安定したIT運用に繋がります。

これらのコントロールを実施し、ツールを実装することと、セキュリティアナリストによる一連の管理とは別です。監査報告の作成には時間がかかります。それ以外の業務も普段からいろいろあるのです。また、自動化を導入しても、ツールを実行するシステム管理者が不在といったケースも出てくるでしょう。

こういったケースでは、専門のサービスに業務を委託することが考えられます。これにより、システムの総保有コスト(TCO)を低減する効果だけでなく、セキュリティ専任者が他のプロジェクトに専念できる時間を増やす効果が期待できます。Tripwire ExpertOps のサービスソリューションは、企業コンプライアンスの面でSOX法対策を含む監査の分野で企業の支援を行っています。

SOX法遵守の重要性

やらなくてはならないことがまた一つ増えたように感じてらっしゃるかもしれません。しかし、企業のコンプライアンスに適切な姿勢で取り組むことは、セキュリティを確保し、事業経営の有益性を高めるものです。CIS クリティカルセキュリティ コントロール トップ20 の適用は、企業コンプライアンスに有効なだけでなく、サイバー攻撃の脅威を未然に阻止することにも繋がります。実効的で確立された変更管理のプロセスを備えることは、システムのダウンタイムを削減すると共に、IT運用の品質向上を確実にします。また、実施する取り組みが監査証明を受けることは、実装するコントロールが適切に実行されていることの証となります。

SOX法の遵守は、信頼性の高い財務情報へのアクセスを確保するのに有益なだけでなく、文書改ざんに対する予防にもなります。監査証明を受けることは、信頼のおける第三者が、企業の実践するコントロールの適正性・有効性を証明することを意味し、また、行き届いていなかった部分は適切に是正されたことを証明するものです。監査による制裁義務を気にするのではなく、IT運用環境の健全性を確認するツールとして、また、IT運用の向上、およびセキュリティ強化のツールとして監査を取り入れることが期待されます。

トリップワイヤのPCI DSSソリューション

RECOMMEND関連記事


この記事が気に入ったらいいねしよう!