J-SOX対応は「主張の場」と心得よ――ログ保管ではどうする？：Tips of SOX（3/3 ページ）

J-SOX対応では、莫大な投資を余儀なくされるケースが散見される。適正な投資を行うには、求められている統制内容を吟味、理解することが大切だ。

[平安彦，ITmedia]

作業IDの切り分けで対象範囲を絞り込む

　ではアプリケーションを通さないアクセスについては全て記録を取り、事後の精査を行うべきなのか？ 現場の方にとっては残念なことだがイエスです。不定形な業務のアクセスについて、作業内容に問題や誤りがないかについてチェックすることは、チェックの精度の差があるとしても行うべきなのです。ただしここにも工夫の余地があります。SOXおよびJ-SOXではサンプルを抽出してチェックを行なうことも統制として主張することが可能です。SOXでは、と述べましたが、これはSOXに関わらない通常の業務でも同じでしょう。不正をチェックするために全ての取引をチェックしなければならないのであれば、そもそも定期的な事後のチェックではなく、取引毎の業務として設計されるべきなのです。

　ですから、事後に、問題ないことをチェックする業務においては、SOXに限らずサンプルから判断する方法が通常取られているはずです。ここで、本当に不定形な業務と、アプリケーションを通さないがある程度定型的な業務を峻別することが可能であれば、更に精査する範囲、さらには記録する範囲についても限定することが可能になるでしょう。

　例えば広く使われている手法としては、作業IDの切り分けが考えられます。開発者が本番環境にアクセスする際には、プログラムをリリースする以外にもさまざまな目的が考えられます。例えば日常的な運用行為であったり、問合せに対応するためだけの確認行為です。これらの業務を開発者のIDで行なうのであれば、どのような行為を行なったのかをログから精査し、実際に確認業務であったことを精査する必要が生じます。しかし、作業の目的とその行為だけに必要な権限にIDを限定しておけば、この精査は必要ないと主張することも可能になるかも知れません。システムの状況確認用のIDには参照権限のみを与え、変更が一切できないのであれば、システムに対して不正や誤った行為を行なう可能性はそもそも生じません。（顧客情報の持出しを防ぐなどJ-SOX以外の目的も絡めて解決されたいとの要望がある場合には当然この限りではありません。）また特定の危険ではない行為に限定したIDであった場合にも、同じような主張が可能でしょう。このように「網羅的なログの管理が必要である」という大きなテーマであっても、求められている統制を十分に吟味し理解することで、必要のない統制の導入を防ぐことが可能になります。ITに関して言えば、必ずしも「大が小を兼ねる」ことはないということを理解すべきなのです。

どのような統制を今後描くか

　最後にぜひ補足させて欲しいことですが、文中で「主張」という表現を使用していることに違和感を感じられる方も多いかと思います。しかしこの表現をあえて使用させていただいています。なぜなら、SOXおよびJ-SOXにおける統制とは、求められることに対して、こちらが十分に検討し対応できていることを、プロセスオーナーや監査法人に主張し、理解してもらう取り組みなのです。内容的にも、表面的にも十分であることが理想ですが、実態はそうではなく、あらゆる統制の新設や改善は実際の費用や稼働とのかね合いになります。前述させていただいたとおり、J-SOXを担当される方々にとっての重要な役割は、統制を形式的にも実質的にも充実させることなのです。しかし全てを同時に直ちにできるわけではないことから、現在の統制の有効性を主張するとともに、どのような姿を今後描くかが重要視されます。SOXおよびJ-SOXとは文書化の終了で終わる行為ではなく、改善を目指す絶え間ない取組みだと理解することが重要なのです。

プロフィール

たいら・やすひこ　大手コンサルティング会社、ITベンダー勤務を経て、独立。米国および日本企業のSOX対応プロジェクトに参画。現在、ITコンサルティング会社「ビジネスアクセル」代表。