今回の話題に入る前に、最近のInner Circleで解説してきた、サンの技術イニシアチブについてのトピックをおさらいしておきましょう。

• Vol.35では、チップマルチスレッド方式（CMT）プロセッサによる劇的なスループットの改善とWeb及びアプリケーション層統合の促進について書きました。
• Vol.36では、サンのBusiness Integration Platforms担当CTOのRoss Altmanと対談し、統合問題の緩和におけるミドルウェアとSun Java CAPS（Composite Application Platform Suite）の役割について意見を交換しました。
• Vol.37では、オープンソースソフトウェアの勃興と、Solaris OSによるサンのオープンソースアプローチに焦点を当てました。
• Vol.38では、サンでの3チップサーバ戦略をとりあげ、どのようにして、それぞれのチップが特定のデータセンタの問題に取り組むサーバの土台になるのかを解説しました。

これからは、サンの素晴らしい技術を利用して、企業が抱える実際の課題を解決する方法に焦点を当てます。最初に、SOX（Sarbanes-Oxley）法や企業コンプライアンスによってもたらされる課題と「チャンス」に目を向けます。

米国内で事業を営んでいる企業は、SOX法を遵守するために終わりがないと思われるような監査を経験していることでしょう。米国内で事業を行っていないとしても、非米国系企業は優れた企業統治のためのモデルとしてSOX法への取り組みの度合いを強めています。これは、優れた統治が財務の透明性、毎日の業務に対する統制のチャンスになることを世界中の企業が認識しているためです。

SOX法という難題に取り組むために、チーフ・インフォメーション・オフィサー（CIO）の、ボブ・ウォーラル（Bob Worrall）に、彼が、サンの情報システム・ガバナンス担当としてサン自身のSOX対応をした経験に基づいた話を伺います。ボブはサンのSOX法コンプライアンスに休むことなく取り組んでおり、次の事柄についてサン社内の視点を分かち合います。

• サンが規定したSOX法の影響範囲
• サン技術によるコンプライアンス労力の軽減
• その他の規制及び承認プロセスへの取り組みに対するプラスの影響

SOX法と統制項目について 

最初に、SOX法とその法律が求める要件のいくつかについて触れておきましょう。2002年に米国で制定されたサーベンス・オクスリー法（Sarbanes-Oxley Act of 2002、いわゆるSOX法）の目的は、財務の透明性と報告を改善することにありました。このために、SOX法は公に取引する企業に対して、会計監督や監査役の独立、企業の責任を促す新しい監査要件を課しています。SOX法の3つの主要条項は、コンプライアンス環境に劇的な影響を及ぼします。302条は、内部統制項目に関する重要事項の四半期報告と開示を求め、404条は内部統制項目の効果に関する管理報告を命じています。また802条は、これまでに増して記録保存と文書破棄の必要性をとりあげています。この3つの事例のどれにおいても、ITがコンプライアンスで極めて重要な役割を果たします。

技術が果たす役割に入る前に、SOX法に関する会話でよく使われる統制という言葉を定義した方が良いかもしれません。SOX法の文脈では、統制は、企業がその財務諸表を正確に報告できるようにすることに役立つ全てのことです。例えば、ユーザアクセスやアイデンティティ管理では、元帳あるいは売掛金システムにアクセス可能なユーザを統制することになります。また、データセンタでは、企業が正しくそのサーバを運用するための統制項目を導入することになるでしょう。そうでなければ、利益報告する企業の能力に影響するかもしれないためです。

SOX法についていえば、大体において統制の重点は、企業全体の財務情報に関係するあらゆることを報告、保護し、確保する能力にあります。これが明らかになれば、SOX法がなぜこれほど重要な法律であるかを理解し始めていることになります。

SOX法に対する過去のサンのコンプライアンス取り組みから得られた教訓

SOX法コンプライアンスの正確な内容について、当初、大きな混乱がありました。このような包括的な法律に直面したとき、必要となる取り組みの境界を定義するのは難しいことです。実際、はじめてコンプライアンスに取り組んだときには、SOX法はY2K規模の出来事で、全社にまたがる法外な量のリソースを消費すると思われました。

当初、サンは社内監査役と協力してSOX法の適用範囲を理解して絞り込み、サンの内部統制環境に置き換える作業に多くの時間を費やしました。大体において、これは優先順位をどうするかの問題に帰着します。法律の検討や財務チーム、社外監査役との協力に1年を費やしたあと、サンが始めたのは、特に大きな問題に対する統制項目やアプリケーションに焦点を当てることによってSOX法コンプライアンスの適用範囲を絞り込むことでした。

統制項目に優先順位を付けて、もっとも緊急なSOX法コンプライアンスの問題、すなわちユーザアクセスとアイデンティティの管理に取り組み始めました。ユーザアクセスとアイデンティティ管理は多くの企業で最大の関心事であり、かつ統制面で最大の難点になっていますが、このことは大して驚くことではありませんでした。幸いなことに、サンには、ユーザアクセスとアイデンティティ管理に関する統制項目の整備とテストにおいて、信じられないほど有用であることが立証されている多数の素晴らしい技術があります。

当時、サンは、新しいアカウントのプロビジョニングやパスワードの管理、情報及びシステムへのアクセス制御のかなりをSun Java Identity Management Suiteに頼っていました。Identity Management Suiteは、企業がディレクトリサービスやアクセス管理、プロビジョニング、連携など、アイデンティティ情報の利用や共有、管理に有用な製品です。この製品は、SOX法コンプライアンス要件に取り組むための、ユーザアクセスやアイデンティティ管理に関する幅広いITフレームワークの実現に不可欠であることが明らかになっています。

サンはまた、主要な情報及びアプリケーションへのユーザアクセスの管理で、Solaris 10 OSと役割に基づくそのアクセス制御機能に大きく依存していました。長い歴史を持つSolaris OSを受け継ぐSolaris 10には、独自のUser Rights Management（Role-Based Access Controlともいう）とProcess Rights Management（Privilegesともいう）があります。これらの技術は、仕事を必要な最低限の機能だけをユーザやアプリケーションに付与することによってユーザアクセス及びアイデンティティ管理の統制項目の基礎構築に役立ちます。

最後に、SOX法のセキュリティモデルの仕上げに役立ったのは、信頼できるネットワーク認証手段を提供するSun Java Cardテクノロジです。アプリケーションを利用するには、ユーザはまずJava CardとPINでネットワーク認証されなければなりません。Sun Java System Identify ManagerとJava Cardを組み合わせることにより、権限を持つ個人だけが主要アプリケーションやデータを利用しているという確信が得られ、この全てが信頼できる統制環境の実現に役立っています。

さらに重要なことに、サンは多くの企業が異機種環境であることを知っています。サンの権限付与技術はサンの製品と連携するばかりでなく、MicrosoftやSuSE、RedHat、HP-UX、AIXなどの、ほぼあらゆるベンダの提供するプラットフォーム、さらにはOracleやSAPなどのビジネスアプリケーションとも連携します。

アプリケーション統合に向けられているサンの現在のコンプライアンスへの取り組み 

SOX法に対する1年以上のコンプライアンスへの取り組みの経験を経て、サンはユーザアクセス及びアイデンティティ管理に関する統制項目の整備に向けて大きな前進をしました。今年は、アプリケーションの統合に目を向け、SOX法に準拠した統制項目のテストの合理化を図っています。今年から、全社規模の単一の統合ERPシステムの構築を目標とするIntegrated Business Information Solution（IBIS）という3年計画をスタートしています。

このIBISの一環として、大規模な整理統合を通じ単一のORACLEインスタンス化を実現することで、会社のあらゆるアプリケーションのサポートを図ろうとしています。過去2回データベース基盤を統合する一方で、サンは昨年SeeBeyondとStorageTekを買収し、現在は、継承した新しいシステムを使い込み、単一のOracleインスタンスで調整をしています。その理由は、他の多くの企業同様、サンは、継承している従来のアプリケーションにまで遡る統制項目に依存しているためです。

統合を行い既製のOracleを導入することにより、サンはテストに必要な統制項目数を劇的に減らすことができます。これは、それら統制項目がOracleとその監査役によってすでに保証されているためです。監査及びSOX法の視点から、標準で導入したOracleの一部である統制項目に頼れるのであれば、それら統制項目を再テストする必要はありません。

これは、アプリケーション統合が節約に役立つ（劇的ではありますが）、事例の1つにすぎません。無秩序なアプリケーションの拡大につながる成長や吸収合併を多くの人が目にしていますから、おそらく、CIOの誰もが統合を望むと言っても過言ではないでしょう。無秩序なアプリケーションの拡大は、冗長性で統制環境を複雑にするばかりでなく、ユーザアクセスやアイデンティティ管理にも影響します。例えば、社員が退社した場合、1つのアプリケーションではなく数百のアプリケーションにアクセスできなくなるようにすることははるかに難しいことです。

言い替えれば、一般に統合は素晴らしい考えですが、と同時に、SOX法に対するサンのコンプライアンスの具体化においても、統合は重要な役割を果たしています。

継続的な統制の範囲の絞り込み 

ITを使ったSOX法コンプライアンスの合理化の一環として、サンは統制項目の整備及びテスト活動の範囲を絞り込む方法を引き続き探っています。昨年、サンはコンプライアンスの範囲の絞り込みに1年を費やしました。しかし、それでもなお、SOX法承認の整合性を維持しながら、テストする必要がある統制項目数をさらに20〜30%排除できると考えています。

また、外注先の役割にもさらに注意を払う予定でいます。多くの企業同様、サンはかなりの程度アプリケーションの開発や保守ばかりでなく、データセンタの運用も外注しています。外注先と協力して統制項目がどのように実施されているのかを見ることは重要です。他の分野同様、業界規格（SAS70監査方式など）は、外注先の統制を検討、評価したり、最終的にその外注先の統制に頼ったりすることを可能にします。

同時に、サンはSOX法コンプライアンス回りのITでの半永久的な内部能力の構築に懸命に取り組んでいます。これまで学んだ主な教訓の1つは、IT専門家を採用して彼らを監査役にすることは難しいということです。その代わりに、サンでは財務と監査の専門家を雇い、必要なIT技術を習得してもらう方法を採用しています。その職業柄、彼らは統制項目やそれらの評価、定義方法、外部監査役にとって成功はどのようなことかを理解しています。サンには、統制環境を監督する社員が12人おり、近い将来、SOX法担当の正社員を育成、維持することになります。

SOX法コンプライアンスの利点 

SOX法コンプライアンスは課題というだけではありません。チャンス、好機でもあります。SOX法へのコンプライアンス取り組みから学んだ教訓を他の分野に広げて、他の規制や承認プロセスの合理化に役立てるという可能性があります。

SOX法によってIT企業に導入される追加規則は、多くの企業がより包括的な方法で監査の問題やその他の規制基準に対処するのに役立ちます。事実、米国内で事業を行っていない多くの企業も、良好な企業経営のための1つの手段としてSOX法への取り組みを強化しています。多くの米国企業がすでに気付いているように、海外企業、国際企業は、SOX法への取り組みが財務の透明性や基幹業務プロセスに対する統制の劇的な改善につながる可能性があることを認識しています。

SOX法は学習プロセスです。当然、その第一歩は、テスト、導入する必要がある重要な統制項目を理解することから始まります。その範囲を特定すると、適切な技術を実現して、コンプライアンスの負担を軽減できます。そして、SOX法適合能力を整備し、権限付与技術を選ぶ過程で、コンプライアンスへの取り組みを合理化する新しい方法を見つけ続けることができます。

幸いなことに、必ずしも全ての取り組みが無駄になるわけではありません。SOX法コンプライアンスに向けて旅を続けていく過程で、良好な企業経営の恩恵がもたらされるようになります。

ボブ・ウォーラル（Bob Worrall）
サン・マイクロシステムズ
チーフ・インフォメーション・オフィサー（CIO）

Reader Survey

この記事は参考になりましたか？ 参考にならない   参考になった   非常に参考になった コメントがございましたらご記入ください

ページ先頭へ