IT業界のJ-SOXブームは一段落!?
一時期のJ-SOX対応ソリューション花盛りの状況が、ここにきて少し沈静化してきたような印象がある。もちろんベンダー各社は相変わらず、内部統制や日本版SOX法対応を旗印にしたプロモーション活動に忙しい状況にはあるようだが。
あまりに多種多様な日本版SOX法対応のソリューションが提供されており、受け取り側は、「で、いったいなにを採用すればいいの?」という状況にあるのではないだろうか。いまさらビックバーンでERPを入れるわけにもいかず、まずはできるところからというところで、ビジネスプロセスの整理と文書化に、どちらかというと人海戦術で勤しんでいる姿が見えてくる。
多少時間とリソースに余裕のあるところは、これに加えてアクセスコントロールとログ管理の仕組みを新たに導入しようとしている状況が、いくつかのベンダーやユーザーの話を聞いていると見えてくる。とはいえ、これを実施していれば監査にも完璧に対応できるという確証をもっているというよりは、手探りの状態のようにも思われる。
昨日、インサイトテクノロジーのPISOというデータベース監査ツールの話を聞く機会があった。とにかくログをとればいいかというとそういうものではなく、職務分掌とアクセスコントロールを意識して監査に必要となるログを確実に取得していかないと、実際の監査の場では役に立たないと言う。膨大なログはあるのだけれど、監査人が求める証左がそのなかから確実に見つけ出せなければ意味がないのだ。監査人はログをとることを求めるのではなく、監査に耐えうる証左を提供することを求めるのだから、これは当たり前と言えば当たり前の話だ。
これからの1年半ほどの間は、とにかくいまできることで内部統制を確保し、「初めての監査」を迎えることになるのだろう。そこで、改めて日本版SOX法に現実として対応することがどういうことかが理解され、その段階を経て再びIT業界に「日本版SOX法対応の第二のブーム」がやってくるのではないだろうか。その際には、失敗や混乱がいくつか発生し、それを乗り越えることになるのだろう。そうすると、ソリューションを選ぶ側の目も、だいぶ厳しいものになっているに違いない。