SOX法を誕生させた2人の議員が語る――たった1つの規制がもたらした衝撃：サーベンス氏とオクスリー氏が明かす（2/3 ページ）

ポール・サーベンスとマイケル･オクスリーの両議員が法案を提出した「サーベンス･オクスリー（SOX）法」は、情報セキュリティ分野において、過去10年間で最も重要な改革となり、サーベンスとオクスリーの名を歴史にとどめるものとなった。

[Michael S.Mimoso，ITmedia]

　「私が資本市場の民主化と呼ぶ流れは、すでに始まっていた。マーケットでは数多くの人々が投資していた。一般の人々も、投資信託やポートフォリオでエンロンやワールドコムの株を購入していたため、同じように衝撃を受けた」

　エンロン事件は米国議会を動かした。オハイオ州選出の共和党議員とメリーランド州選出の民主党議員の2人が、それぞれ委員長を務める委員会で、画期的な法案を作成した。

　それらの法案は表面上、情報技術や情報セキュリティとはまったく関わりのないものだった。だが、それらは法律として成立したとき、他のいかなるものよりもセキュリティ市場を活性化し、セキュリティ担当者の声を企業構造に色濃く反映させる力を秘めていた。

サーバ室から役員会議室へ――驚異的なITの加速

　エンロンとワールドコムは、あらゆる面で実に「壮大な破綻」だった。エグゼクティブ、会計士、役員会、アナリスト、格付け機関……。さまざまな関係者が共謀して、不正経理を生み出す土壌を作り出してしまった。SOX法の目的は投資家保護であり、マーケットの信頼回復だ。

　「投資家が資本市場への信頼をなくしたら大問題になる。当時、多くの企業が社内体制、言い換えれば、指揮命令系統や正確な報告義務といった企業の基本構造を蔑ろにしていた」とサーベンス氏（民主党、メリーランド州選出）は語る。「ITはそうした構造を補強する重要な技術だ」

　SOX法第404条は、情報セキュリティのプロが待ち望んでいたものだった。それはCISO（情報セキュリティを統括する担当役員）にとって神の恵みであると同時に、容赦のない苦役でもあった。彼らは突然、有無を言わさずコンプライアンスのデッドラインを押し付けられたからだ。CISOたちはサーバ室から役員会議室へ出向き、外部監査の円滑な受け入れを命じられ、役員会への報告義務を負うとともに、財務報告書を厳密にチェックするためのコーポレートポリシーの策定を指導するよう求められた。

　支出は急速に膨れ上がり、締りのないシステムパッチング、見掛け倒しのアクセス制御、忘れ去られた従業員意識改革プログラムは、ほとんど一夜にして許容されないものとなった。セキュリティ専業ベンダーもそうした変化に反応し、コンプライアンスとリスクマネジメント製品のマーケティングに走り出した。ARMリサーチが06年に発行したリポートによると、SOX法が要求するコンプライアンスを実現するための企業の技術支出は、年間60億ドルを突破したという。

　「SOX法のように、特定の技術を大きく発展させ、具体的に促進するイベントはめったにない」と語るのは、システム・エキスパーツのコンサルティング担当副社長、ディク・マッキー氏だ。「たった1つの規制が、技術導入をこれほど加速させるとは驚くべきことだ」

　第404条の規制は最近、監査基準第5号（AS5）によって多少緩和されたが、この条項は株式公開企業に対し、内部統制の構築および運用効率性の評価、トランザクションフローの理解、不正リスク評価の実行、そして不正防止あるいは不正検出のために構築された統制の評価など、第3者の監査人によるトップダウンのリスク評価を義務付けている。

　新しい監査基準は、SOX法に基づいて設立された公開企業の監査人を監督する公開会社会計監視委員会（PCAOB）のガイドラインに準拠している。