内部統制にもJSOXにも最終的に必要なもの【サンの製品発表】
サンの発表リリース
Sun.com のトピックス(特別記事)
Sun Java System Identity Manager
オンラインセミナー
「内部統制だ、JSOXだと、IT部門がやらなきゃならない事が多すぎるゾ」、とお困りのIT部門の方も多いか、と思います。しかし、いまが踏ん張りどころ。IT化推進が、IT部門の地位を会社内で向上させ、会社全体の効率を上げ、透明性を確保し、企業の力を底上げし、最終的に会社の売り上げに貢献していくものであれば、いまこそ頑張りましょう。
さて、IT部門の観点から内部統制、JSOXでは重要になってくるのは、「情報と業務プロセスの管理」 と 「アクセスの管理」に集約されてきます。「情報と業務プロセスの管理」とは、
1.情報を電子化する
2.情報が適切に保護される環境にある(サーバ側、クライアント側)
3.電子化した情報を保管する(アーカイブ)
4.業務プロセスを明確にする(見える化)
などが重要です。次に「アクセスの管理」とは
5.情報にアクセスする際にユーザIDとパスワードでアクセス権限を確認する(認証)
6.情報にアクセスした記録を残す(アクセスログ)
7.職務に応じたアクセス権限を持たせる
となるでしょう。ひとつのユーザIDとパスワードを複数のひとが共有するなどというのは「論外」なので、いますぐ是正する必要がありますね。
さて、4を除いて、1から6までは、一般の企業であれば程度の違いはあるでしょうが、徐々に実施されていると思われます。たとえば、SAPやOracleなどのERPパッケージやLotus Domino、Microsoft Exchangeなどのメール・グループウェアなどを導入すると、ユーザIDとパスワードによるアクセス権限を付加したり、アクセスのログを残す機能がついています。
すると、次に何をすべきか、となると、最後の7番と4番に手をつける事となります。4番については後で述べるとして、この「職務に応じたアクセス権限を持たせる」を実現させる仕組みですが、これを、
アイデンティティ管理
と呼んでいます。この仕組みはエンロンのような不正や米国におけるSOX法実施に対応してできたシステムです。
人事移動や新しく入社したひとには、メールのユーザや業務上必要なシステムへのアクセス権限付加が必要です。また、退職したひとのユーザIDや権限はすみやかに剥奪しなければなりません。いままで、こういった作業は手で行ってきた企業が多いのではないでしょうか。人事異動で、経理だった人が営業に移ったのに経理システムにアクセスできるのであれば、不正は簡単です。
また、アクセスの権限ですが、ひとつのシステムのなかでも、たとえばパートナー・業者登録の機能と支払い業務機能へのアクセス権限を同じ人が持っていたら、架空の業者を登録し、架空の支払いを作成し、お金をおろしてしまうことができます。
「企業はひと。人を信じなさい。」は、いっさいは通じません。米国のSOX法の場合、こういった間違いが見つかった場合、監査人は承認しません。このアクセス権限と間違いのレポートは提出するよう義務付けられています。このレポート自体を捏造した場合は罰せられます。
さて、こういった間違い、不正ができないようにする仕組みが「アイデンティティ管理」で、サンではその仕組みを構築するシステム「Sun Java System Identity Manager 7.0」を昨日発表しました。なおオンラインセミナーも2月16日まで、このWebで開催中ですので、ぜひ、ご覧下さい。
以上のご説明でお分かりかと思いますが、シングルサインオン(SSO)やメタディレクトリーだけでは、内部統制やJSOXに対応することはできません。アイデンティティ管理を実現するシステムの導入が必要です。この仕組みを構築できる製品は実はたいへん限られており、あまり多くはありません。その中でも、サンのこの製品は、ガートナー社やフォーレスタといったアナリストの会社から、実力、ビジョン、シェアとも最高であるとの評価を受けています。
ぜひ、ご検討ください。私が所属するチームが担当しています。
「高橋、説明に来い。」とおっしゃれば、お伺いします(弊社営業にご要望ください)。
さて、残りの4番ですが、これは、SOAなどで注目をあびている「ビジネス・プロセス管理(BPM)」にあたります。サンはこの製品とソリューションも持っていてSun Java CAPSといいます。これについては、また別の機会にご説明しますね。