ドクターQがお届けするIT統制ブログ　ITサプリ

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第9回目。今回はシステム構築のロードマップ作成に大きく関わる適用時期に関してです。

すでにご存知の方も多いかと思いますが、先日、金融商品取引法案（通称：投資サービス法案）が閣議決定され、ついに国会へ提出されました。同法案の中に、日本版SOX法が企業の情報開示に規律を与える制度として盛り込まれました。

※金融庁のWebサイト／金融商品取引法案の内容を確認できます。
　http://www.fsa.go.jp/common/diet/index.html

さらに、システム管理者のみなさんに朗報が。当初、日本版SOX法の適用時期については2007年4月（2008年3月期）と言われてきました。しかし、実質的に1年先延ばしになるようです。適用開始期日は2008年4月(2009年3月期)の模様。1年間の猶予でトータル2年間の準備期間ができましたが、これによって「間に合わない」という企業側の逃げ道も無くなりました。

さらに今回の金融商品取引法案で、原則すべての上場企業に内部統制システムの構築を義務づける内容が明記されています。また、有価証券報告書とあわせて「内部統制報告書」の提出も義務づけられました。しかも、内部統制報告書の記載内容虚偽に対する罰則も盛り込まれました。内部統制システムを構築させ、継続的に安定運用させていくことが極めて重要になります。

「期日まで2年もある」ではなく、「期日まで2年しかない」とここで再度認識することが大切です。しっかりとしたロードマップを作成して、一日も早く内部統制システム構築に着手してください。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第8回目です。

ご存知の通り、各省庁でも情報漏洩対策を急務と位置づけ具体的な対策をはじめました。例えば外務省の場合、3月9日付で個人が所有する私物パソコンの庁内や在外公館での業務使用の原則禁止を決め、全職員に通知しました。また、総務省は3月３日、官房長名で「私物パソコンの業務利用の制限について」とする文書を作成。プライバシーに触れるなど「秘密文書に相当する機密性を要する情報」は、私物パソコンでの処理を禁止しました。
しかし「通達」や「厳令」だけではヒューマンエラーを完全防止することはできません。

特に、実質的に2007年4月からの運用開始が濃厚な日本版SOX法では、こうした情報漏洩対策をITによって永続的に禁止できる仕組みの導入が要求されます。

そこで、極めて重要になるのがクライアントPCの脆弱性を定期的に、かつ自動的に監査できる仕組みの導入です。
例えば、クライアントPCに、Winnyなどのファイル交換ソフトがインストールされていないか、またOSやIEなどで最新のセキュリティパッチが当てられているか、さらにはユーザーIDとパスワードで同一のものが利用されていないかなど、全てのクライアントPCに対して脆弱性を定期監査できる体制を整備することが大切です。
策定されたセキュリティポリシの徹底は、各自の良識に任せるのではなく、やはりITで。

日本版SOX法対策は、財務・会計システム強化と同等にセキュリティ強化も重要であることを忘れないでください

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティWEBサイトでは、クライアントの脆弱性を定期監査できる「QND Plus」をご紹介しています。
興味をお持ちの方は、こちらから。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第7回目です。

昨日3月7日、沓掛国家公安委員長の閣議後会見で、衝撃的な状況が公表されました。会見によると、全国の警察官や警察職員の約４割が私物PCを使用しているとのこと。沓掛委員長は「本当は全部公的なものにできればいいが、財政上の理由もあり私物のパソコンを公務に使用せざるを得ない。」ともコメントしています。今後、警察庁は職場で使うPCの管理徹底や、岡山県で捜査資料流出の原因となった「ウィニー」などのファイル交換ソフトを削除させるなどの緊急措置を取る方向です。

しかし確実に驚異になりつつある私物PCに対して、単に「通達」だけでは不十分です。特に2007年4月期からの実質的な運用開始が予想される日本版SOX法では、こうした機密情報漏洩のリスクを想定した強固なセキュリティ対策を導入しておくことが要求されます。

そこで、ウィニーなどがインストールされてしまっている私物PCへの具体的な対応策の一つとして「検疫ネットワーク」をあげることができます。検疫ネットワークによって、一定のポリシーが遵守されていないクライアントPCは、物理的に社内ネットワークに接続されても、論理的にネットワークに接続させないということが可能になります。

例えば、ウイルス対策ソフトのパターンファイルが最新版に更新されていないクライアントPCや、必要なセキュリティパッチが適用されていないクライアントPCは、社内ネットワークへのアクセスが拒否されます。つまり、ポリシーを遵守していなければセキュリティ的な問題があるクライアントPCとして社内ネットワークから排除し、ネットワーク内の他のクライアントPCを守ることができる訳です。

単一のセキュリティ対策では、日本版SOX法に対応できません。何重もの対策を講じることが必須と言えます。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティWEBサイトでは、「検疫ネットワークソリューション Secure Controller連携キット」をご紹介しています。興味をお持ちの方はこちらから。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法、内部統制に対応した、より安全性の高いシステム構築に向けての具体的な対策、第6回目です。

商業的機密データや知的所有権の漏洩防止対策を絶対条件として要求する、日本版SOX法。持ち歩くモバイルPC自体を盗難や紛失した場合も想定して、あらかじめ明確な対応策を導入しておくことも、極めて重要なポイントになります。

対応策として推奨できるのは、やはりHDの暗号化。HD自体を暗号化しておけば、万一、盗難や紛失が発生しても第三者への情報漏洩を防止できます。ただし、運用面の配慮も重要です。ユーザーにストレスを感じさせない、スタンドアロンで活用できるクライアントプログラムを選択すべきでしょう。

ご存知の通り、ここ数年個人情報などの重要データが保存されたモバイルPCの盗難事件があとを断ちません。事実、アメリカでは回答者の約50％が2005年にモバイルPCなどの盗難を経験しているとのことです(※FBI実施調査)。日本版SOX法の制定もひかえ、企業にとって、PCの盗難や紛失は確実に一つの脅威になりつつあります。

「その場しのぎ」的対策では不十分です。長期展望にたって、いま一度セキュリティ体制を再検討してください。

クオリティWEBサイトでは、HD暗号化ツール「秘文AE IC」の円滑な導入と運用をサポートする「QND秘文連携ソリューション」をご用意しています。
興味をお持ちの方は、こちらから。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。