法令遵守の問題は、好むと好まざるとにかかわらず、多くの IT マネージャにとって重要な関心事となっています。それは、この問題がビジネス・プロセス全体に影響を及ぼすだけでなく、法令遵守の最終的な責任を負う経営陣から新たなプレッシャーを受ける要因にもなっているからです。今日、プライバシーを保護し、機密情報の安全性と完全性を守るために十分な対策を講じていることを証明するよう企業に求める法令や各種規制は、増加の一途を辿っています。
法令遵守においては、業務のプロセス管理や文書化を行うだけでなく、しかるべきソリューションを導入することも求められます。IT セキュリティは、これらの要求に応えるに際して重要な役割を担うようになっており、今日では、法令遵守を実現するために、多大な時間とコストがセキュリティ関連の技術やツール、リソースに費やされています。
では、情報を保護しつつ、増加する一方の各種規制に対応することのできる、実績ある統一されたセキュリティ・アーキテクチャを提供する IT セキュリティ・ソリューションは、どのようにして選べばよいのでしょうか。
SOX 法とは
法令遵守に関する規制の中で、近年特に注目を集めているのが、Sarbanes-Oxley Act
of 2002(サーベンス・オクスリー法: 米国企業改革法、略称SOX法)です。SOX 法は、著名な企業による会計スキャンダルが次々と明るみに出る中で、株主と一般市民を保護するために制定されました。この法律では、企業の責任の範囲を拡大し、開示される財務情報の妥当性を高め、企業による不正行為や粉飾決算を防ぐための、さまざまな改善策が定められています。
SOX 法は、企業の財務報告の質および妥当性を改善することを目的とした複数の条項から構成されています。IT の役割に最も直接的に影響するのは、第404条の「Management Assessment of Internal Controls(経営陣による内部統制の評価)」です。第404条では企業に対し、毎年次の事項を報告するように義務付けています。
- 財務報告に対する適切な内部統制を確立および維持するための経営陣の責任
- 財務報告に対する内部統制の有効性を評価する基準として用いるフレームワーク
- 財務報告および重大な欠陥の開示に対する内部統制の有効性についての経営陣の評価
第404条はまた、これらの報告書(その企業の CEO および CFO による署名がなされたもの)の正確性を、外部監査人が保証することも義務付けています。
内部統制について
SOX 法における内部統制は、財務報告、および外部向けの決算報告書の準備が、一般会計原則(GAAP)に従ったものであることを合理的に保証するためのプロセスです。統制には、取引の記録、取引記録の保持、報告に「不可欠」と考えられる資産の取得、使用または譲渡が含まれます。
一部の統制は、これらの行為に直接影響します。一般的な(「広範囲にわたる」)統制は、すべての行為に適用される汎用規則となります。広範囲にわたる統制には、IT セキュリティ全般の機能に対する統制、および財務報告に固有のものではないが情報の妥当性を保証するための統制として機能する統制が含まれます。
COSO フレームワーク
米証券取引委員会(SEC)では、内部統制の評価には、公開の適正手続を通じて確立された、適切かつ一般に認められたフレームワークを用いる必要があるとしています。SEC
は、この条件に合致するフレームワークの1つとして、COSO の「Internal Control-Integrated
Framework(内部統制の統合的フレームワーク)」を挙げています。
効果的なコーポレート・ガバナンスを通じて財務報告の質を向上させることを目的とする有志による民間組織である COSO は、実効性のある内部統制に必要な構成要素として、次の5つを挙げています。組織は、COSO フレームワークのすべての構成要素において IT 統制能力を備えている必要があるとされています。
- 統制環境: 実効性のある内部統制を行うための基盤となり、「tone at the top(経営者の理念)」を確立し、企業のガバナンス構造の最上位層を表すものです。この構成要素から生じる問題は、組織全体に影響します。
- リスク評価: (統制活動を決定する際の基盤となる)事前に設定した目標を達成するうえでのリスクを経営陣が識別および分析します。
- 統制活動: 企業の目標を達成し、リスク軽減計画を実施するためのポリシー、手続き、およびプラクティスです。統制活動は、各統制目標を達成し、識別されたリスクを軽減することを目的として策定します。
- 情報と伝達: 事業を運営し、その統制目標を達成するために、組織内のすべてのレベルで必要になります。
- 監視活動: 内部統制の効果を長期にわたって評価します。継続的な評価、およびある時点における評価を通じて、経営陣による内部統制の不備を補います。
SOX 法を遵守するには
SOX 法の規定を満たす内部統制を確立するうえで、IT および IT セキュリティは重要な役割を果たします。しかしながら、SOX
法と COSO フレームワークのどちらも、企業が IT セキュリティを活用して内部統制を確立するための具体的な方法には言及していません。
COSO フレームワークと併せて用いるフレームワークの1つに、COBIT(Control Objectives for IT)があります。COBIT は、企業レベルおよび活動レベルの目標と、それに伴う統制に関するガイドラインを提供する IT ガバナンス・モデルです。COBIT を用いることで、SOX 法を遵守するためのIT統制の仕組みを設計することが可能になります。しかし、いずれのフレームワークやドキュメントでも、SOX 法を遵守するための確実な方法論が示されない中で、正しい方向に向かって歩みを進めることは容易ではありません。
そこで以下では、各要件を正しく理解し、COBIT の各目標を用いて SOX 法を遵守するためのガイドを示します。適切なセキュリティ・ソリューションを適切な領域で用いることで、SOX 法を遵守することができます。
ID 管理
COBIT では、すべてのユーザを一意に識別できるようにする必要があるとされています。そのためには、ユーザ
ID およびアクセス権を中央リポジトリで管理する必要があります。
ユーザの識別、認証の実施、およびアクセス権の運用管理を行うための費用対効果に優れた技術的・手続き的な方策を導入し、これらを常に最新の状態に保つ必要があります。
このため、IT ソリューションにはアクセス制御の機能が搭載されていることが重要となります。また、きめ細かなアクセス・ルールと権限付与ルールを作成し、境界および内部ネットワーク内でアクセス・ポリシーを実施できる必要があります。これは、セキュリティ関連技術の改ざんを防ぐことにもつながります。
ユーザ・アカウント管理
ユーザ・アカウントおよびそれに付随するユーザ権限の申請、作成、発行、一時停止、変更、抹消と、全アカウントおよび付随権限の定期レビューの実施は、ユーザ・アカウント管理のための一連の手続きに基づいて行うことが推奨されます。
使用する管理ツールによっては、グループ(ユーザとエンドポイント)のリソースへのマッピングおよび割り当てなどを行うためのポリシーを作成することができます。また、インラインでリアルタイムのパスワード・ポリシー検証(長さや文字種に関する要件をパスワードが満たしているかどうかの確認)を行える場合もあります。
セキュリティの検査、監督、監視
COBIT では、IT セキュリティの実装に対する予防的テストや監視が非常に重要であるとされています。ロギングおよび監視の機能を使用することにより、何らかの対応が必要となる例外的・異常な活動を抑止、あるいは早期に発見し、適宜報告できるようになります。
ソリューションでは、システム・イベントおよびアクティビティのアップデート、監視、レポーティングにより、セキュリティ・アクティビティおよびネットワーク・アクティビティの全体的な傾向を把握できる必要があります。組織全体のデータを統一形式で表示できると、より効率的なデータの収集、分析、および対応が可能になります。
セキュリティ・インシデントの定義
インシデント/問題管理プロセスにおいて適切な分類と対応を行えるように、起こり得るセキュリティ・インシデントの特性を明確に定義し、関係者に周知する必要があります。
そのためには、セキュリティ・インシデントの発見、処理、レポーティングを包括的にサポートするソリューションを選択することが重要です。このようなソリューションでは、ログ・データをリアルタイム分析してネットワークで発生した重大なインシデントを発見したり、発見されたインシデントの影響を軽減する適切な対策を実施できるようアラートを自動的に生成したりすることができます。
悪意あるソフトウェアの抑止、検出、是正
COBIT では、マルウェアから情報システムや技術を保護するため、組織全体にわたり、それらを抑止、検出、是正するための対策を講じることが推奨されています(最新のセキュリティ・パッチやウイルス・シグネチャを適用するなど)。
エンドポイント PC からウイルスなどのマルウェアを検出・除去する高性能なアンチウイルス機能を統合したソリューションであれば、この課題に対処することができます。特にウイルス検出が、シグネチャ、振る舞いブロック機能、およびヒューリスティック分析機能を組み合わせて行われる場合は、非常に高い検出率が期待できます。
ネットワーク・セキュリティ
セキュリティ技術およびそれに付随する管理手続き(ファイアウォール、セキュリティ・アプライアンス、ネットワークのセグメント化、侵入検出など)を用いて、ネットワークへのアクセス許可とネットワークの情報フローを制御することが推奨されます。
そのためには、ネットワーク・トポロジを集中的に管理、承認、および表示し、すべての外部ネットワーク接続やファイアウォール設定の変更を検証することのできるソリューションが必要となります。
機密データの受け渡し
機密データのやり取りは、内容の真正性確保、受信証明(受領証明)、送信証明(発送証明)、および送り手側の否認防止が可能な、信頼できる経路またはメディアを使用して行うことが重要です。
このような目的に最適なのは、デスクトップ PC およびノート PC 向けの強力なフルディスク暗号化機能とアクセス制御機能を備えた高性能なデータ・セキュリティ・ソリューションです。これらのソリューションは、データの完全性と真正性を保証することにより、機密データを安全にやり取りできるようにします。
また、暗証番号や医療記録、機密扱いのファイルなど、特定の構造を持つデータをインラインで検出し、アラートを生成するソリューションも存在します。
成果の評価
COBIT では、目標に対する達成度を定期的に検証し、目標未達があった場合はその原因を分析して、原因に対する是正措置を実施することを推奨しています。また、ビジネスに対する
IT の貢献度についてのレポートを経営上層部に提出し、レビュー後のフィードバックを求めるべきだとしています。これにより、成果を監視、評価、および報告した結果に基づいて是正措置を策定し、実施することが可能となります。
自社のセキュリティ・アクティビティとネットワーク・アクティビティの全体的な傾向を把握できるソリューションを導入すると、これらのことを容易に行えるようになります。組織全体のデータを統一形式で表示できると、より効率的なデータの収集、分析、および対応が可能になります。
今こそ遵守を
多くの IT 組織にとって、SOX 法第404条は、財務報告を行うために必要な IT セキュリティの統制とプロセスを確立して文書化するうえで、重要な転換点となっています。情報の完全性を確保し、リソースへのアクセスを制御することは、企業を維持していくために不可欠な要素であると同時に、法令を遵守するために必要なことでもあります。
適切なセキュリティ・ソリューションを適切に活用すれば、SOX 法第404条の規定を遵守するための基盤となる COBIT の多くの統制目標を達成することができます。またこれらのセキュリティ・ソリューションを導入することで、IT 担当者と経営上層部は共に、境界からエンドポイントに至るまで、法令や各種規制に対応した堅牢なインフラストラクチャで守られているという安心感を得ることができます。