日本版SOX法が、ついに運用のフェーズに突入した。これまで内部統制は、上場企業など一部の企業のみ対応に追われていたが、今後はその取引先である中堅・中小企業も、同様の対応を求められることになる。内部統制の構築は、かなりの時間がかかり、とても一朝一夕で完成できるものではない。日本版SOX法の対象ではない企業も、今から内部統制の準備を進めておかなければ、後で慌てることになるだろう。セキュリティソリューションは、内部統制を実現する最も基盤に近いソリューションである。ここでは、内部統制という視点でも注目されているセキュリティソリューションを紹介しよう。

中堅・中小規模企業でもセキュリティソリューションは必須に

セキュリティは企業システムの基盤に

　2008年4月から始まる事業年度から、いわゆる日本版SOX法が適用される。上場企業やその関連企業は、すでに内部統制を構築し、本番環境での運用フェーズに入っているだろう。しかし、内部統制に着手してはいるものの、完全に稼働していないという企業も少なくない。内部統制はプロセスを文書化するだけではいけないのだ。

　内部統制を進める上で、IT統制を行い、その基盤を確立することは大変重要だ。日本版SOX法では、財務諸表の正確性を担保することが求められるため、会計システムや基幹システムに目がいきがちだ。しかし、いくらそれらのシステムを堅牢にしたところで、データの入出力を行っているクライアントPCから正しいデータが入力されていなければ、最終的に財務諸表の正確性は担保できない。

　つまり、その対策は企業システムの基盤に近い部分にまで手を入れる必要がでてくる。一例だが、企業には数多くの業務システムが稼働している。それらのID・パスワード管理は煩雑だが、正しく行われていなければならない。4月は人事異動なども多く、役職や部署が変わる社員も多い。それらに紐づいたアクセス権管理なども適切に行われていなければならない。この部分に不備があれば、企業システム全体の信頼性が揺らぐ。企業システムを可視化するIT資産管理ツールやロギングツール、ドメインコントローラーなどが、企業システムの基盤ソリューションとして導入が進んでいるのは、以上のような理由からだ。

　正しく管理されたユーザーが企業システムに正しくアクセスできる環境を整えることは、大変重要だ。こうしたことから、不正なユーザーやアクセスを遮断するシステムへのニーズが高まっている。これらは、検疫ネットワークや認証ソリューションなどを活用することで実現できる。検疫ネットワークは、セキュリティレベルの低いクライアントPCや企業が管理していないPCを社内ネットワークに接続させないことでクリーンなネットワークを実現するというもの。これを導入することで、セキュリティポリシーを一定以上に保つことができるというメリットもある。以前は、検疫ネットワークを構築する際、ネットワーク環境を変更したり検疫用のサーバを用意しなければならないなど、敷居が高かったが、クライアントファイアウォール方式やNAPといった導入しやすいソリューションも増加し、中堅・中小企業などへの市場を広げている。

　また、ロギングツールも注目されている。大規模企業に導入されるロギングツールでは、いかに正確かつ大量のログを取得するか、それをどのように生かすかが重要視される。多機能なだけではなく、使いやすさを重視し、誰でも使える情報セキュリティソリューションを提供しているベンダーも登場している。

複合型の脅威が増加　操作ミスなどにも対応を

　インターネットや電子メール経由での脅威なども大きな問題となっている。迷惑メールが、それらの脅威の呼び水となっていることもあり、複合型の脅威として認知され始めている。犯罪に悪用されているボットなどは、その最たるものだろう。複合型の脅威は、ウイルス対策ソフトだけでは防ぎきれなくなりつつある。

　そこで、スパムメール対策やWebフィルタリングが活用され始めている。Webフィルタリングは、これまでインターネットの私的利用を防ぐ目的で導入されてきたが、犯罪目的でインターネットが悪用されることが増えるにつれ、情報漏えい対策やセキュリティ対策としてWebフィルタリングが活用され始めている。こうしたWebフィルタリングソリューションの肝となるのは、URLデータベースの精度だ。

　電子メールセキュリティは、情報漏えい対策という切り口でも語られる。電子メールはビジネスコミュニケーションツールとして活用されているが、電子メールの誤送信などで、情報漏えい事故を引き起こしてしまうケースもある。そのような誤送信対策も、これからの企業には重要なキーワードとなってくるだろう。

[次のページ]