シマンテック、JSOX対応支援の「IT リスクアセスメントサービス」を発表

急上昇ワード

[

]

　 [2006/03/07]

シマンテックは、いわゆる日本版SOX法への対応を支援する「IT リスクアセスメントサービス」の提供を発表した。同社がこれまで提供していた3つのコンサルティングサービス「セキュリティポリシーレビュー」「アプリケーション脆弱性レビュー」「システム運用状況レビュー」に、新たに「アプリケーション性能レビュー」「データ保管状況レビュー」を加えた、内部統制強化のための統合サービス。

「アプリケーション性能レビュー」は6日から提供を開始し、「データ保管状況レビュー」は4月から提供予定となっている。

シマンテック代表取締役社長・木村裕之氏は、日本版SOX法について「ITを全社的に見直す良い機会。数年間にわたる長期的なプロジェクトになるだろう」と語り、同社のSOX法への取り組みを説明した。

シマンテック代表取締役社長・木村裕之氏

同社は、SOX法対応支援サービスを前期・中期・後期に分けて展開する。今回発表されたIT リスクアセスメントサービスは前期の「課題掌握フェーズ」で提供されるサービスだ。この展開に伴い、同社は6日、日本版SOX法導入支援推進室を設置。当初は5人が業務にあたるが、「すぐにでも人員を増強する用意がある」(木村氏)としている。


同社の日本版SOX法に対する取り組みは、3期2フェーズに分けて展開される	推進室と連携するJapan Engineering Center(シマンテックジャパンエンジニアリングセンター)は、技術基盤の強化を目的として2005年8月に設立された

同社ソリューションマーケティング部部長・冨樫明氏は、IT リスクアセスメントサービスの概要を説明した。

シマンテックソリューションマーケティング部部長・冨樫明氏

「セキュリティポリシーレビュー」は、同社が米SOX法対応支援として提供していたテンプレートをベースに、セキュリティポリシーを監査するサービス。提供される監査ポリシーは、特定業界向けとしてSOX / FISMA / GLBAなどで、顧客が独自に作成したポリシーの監査にも対応する。

「アプリケーション脆弱性レビュー」は、Webアプリケーションを対象とする脆弱性検査サービスと、Webアプリケーションだけでなく企業が独自に開発したアプリケーションまでを適用範囲とする「セキュアアプリケーションサービス」からなるもの。Webアプリケーションを対象としたものは他のベンダでもサービスしているが、「我々はクライアントアプリケーションまで評価・診断する」(冨樫氏)としている。


Symantec Enterprise Security Managerを試用したポリシー監査フローの例	アプリケーションに関するセキュリティを包括的に提供する「アプリケーション脆弱性レビュー」

6日から提供が開始されている「アプリケーション性能レビュー」は、アプリケーションのレスポンスという観点からパフォーマンスを診断する。同社では、ITを適切に統制するためにはアプリケーションが確実に稼働することが前提であるとしており、アプリケーションがサービスを止めてしまうことがないか、潜在的な問題をチェックするとしている。具体的には、1週間のパフォーマンスデータからアプリケーションの傾向をレポートし、どの層・コンポーネントがボトルネックになっているのかを判明させ、解決を促進する。レビューで使用される製品はSymantec i3シリーズ。

4月提供予定の「データ保管状況レビュー」は、統制上重要な活動であるデータの保管・管理に関するサービス。どのデータをどれくらいの期間に渡って保管するのか、どんなデータがどこにあるのかといった点を明確にするため、データを最適に配置・保管・管理する。具体的には、ストレージ内データのプロファイリングと、ストレージ保管レポートの作成がある。

「システム運用状況レビュー」は、システムの「課題発見」から「課題分類・優先順位付け」を行い、「対策の立案」を行うサービス。このようにして立案された対策を導入、評価したのち、さらに「課題の発見」を行うことで、PDCAサイクルの運営を支援する。


4月サービス開始予定のデータ保管状況レビュー	システム運用状況レビューでPDCAサイクルを効率的に運営可能としている

冨樫氏は、コンプライアンス強化について、「ITが統制を支援する」面と「ITが適切に統制される」面の両面があるとした。冨樫氏は(1)日本版SOX法適応への課題を認識し、(2)課題未対応によって生じるインパクトを客観化、(3)内部統制強化に利用できる様々なツールを理解し、(4)内部統制強化のコストをビジネスバリューに一致させ、(5)内部統制強化を持続させる仕組みを確立・維持する――という5つのステップでコンプライアンスを両面から強化することが可能だと語った。

内部統制には2つの側面がある

(1)日本版SOX法適応への課題認識としては、ITのリスクを6つに分類。「コンプライアンスは、狭い意味では法令遵守。だが、企業の内部統制を強化する契機としてとらえることも可能だ」(冨樫氏)。

(3)内部統制強化で利用可能なツールの理解としては、4つのツールが提案された。IDS/IPSといったセキュリティ技術やポリシー管理ソリューションなど「統制強化のためのテクノロジー」と、脆弱性情報や最新の脅威に関する「情報ソース」、ITILに代表される「ITのベストプラクティスプロセス」、そして「組織と教育」としている。


(1)日本版SOX法適応への課題を認識	(2)インパクトの客観化


(3) 内部統制で利用可能なツールの理解	(4)コストをビジネスバリューと一致させる

冨樫氏は、内部統制を「業務プロセス」と「ITインフラ基盤」から強化することが可能であるとした上で、「(シマンテックでは)ITインフラ基盤の方を中心に様々なソリューションを提供していく」と語った。

同社が開催したIT リスクアセスメントサービスの説明会では、インターナショナルデーターコーポレイションジャパン(IDC Japan)のストレージシステムズリサーチマネージャー・鈴木康介氏が出席。「国内企業のSOX法対応～コンプライアンスを企業競争力に換えるために～」と題した講演を行った。

インターナショナルデーターコーポレイションジャパンのストレージシステムズリサーチマネージャー・鈴木康介氏

鈴木氏は、米SOX法(以下、単にSOX法)について「1970年代から企業の内部統制に関する議論があった」と説明。70年代の議論では企業に対する負担があまりに大きいため、厳しい制限をもうける法律は成立しなかったが、90年代前半にも議論が再燃し、「2001年10月に明らかになった米Enronの不正会計疑惑で一気に立法・施行されることになった」(鈴木氏)という経緯があった。

SOX法は2002年7月の制定。Enron不正会計疑惑の発覚後、1年を待たずに制定された。SOX法の中でも特に重要な404条の施行は延期が続き、米国登録企業が2004年11月、外国登録企業が2006年7月からとなっている。「外国籍企業に対する施行が遅れているのは、いかに(SOX法への)対応が難しいかを物語るものだ」(鈴木氏)。そのため、日本版SOX法へは、長期的戦略の中にコンプライアンスを埋め込み、十分な準備期間をとった上で良きパートナーと対応作業を進めることが成功の条件とした。

2005年11月に開催した「Symantec VISION*Xchange 2005」において、木村氏は、シマンテックとベリタスの統合ロードマップとして、2006年1月からの半年間をフェーズ2と位置付けていた。フェーズ2で予定されていた両社日本法人のオフィス統合は、2月下旬に実現され、組織的統合が加速している。