米国sox法現地視察ツアーレポート写真欄> 日本オラクル株式会社...
TRANSCRIPT
<写真欄>
日本オラクル株式会社
システム事業推進本部
セキュリティ&コンプライアンス担当 ディレクター
西脇 資哲
米国SOX法現地視察ツアーレポート
2006年8月21日
米国SOX法現地視察ツアーレポート
Copyright© 2006, Oracle. All rights reserved.
以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。
3Copyright© 2006, Oracle. All rights reserved.
米国SOX法現地視察ツアーご報告
7月9日(日)~16日(日) 6泊8日
ニューヨーク・サンフランシスコを視察
お客様を含め 約40名のツアー
事例顧客・SIer・コンサル・会計監査法人
– Lehman Brothers– KPMG– Network Appliance– Accenture– Oracle Corporation コンプライアンス政策
– Oracle Corporation SOX対応チーム
4Copyright© 2006, Oracle. All rights reserved.
米国SOX法現地視察ツアーに
同行いただいたお客様の概要
都市銀行(メガバンク)
金融
自動車 2社
小売/コンビニエンス 2社
製造/流通
医療
ベンチャー
SI/IT 企業
5Copyright© 2006, Oracle. All rights reserved.
米国SOX法制定までの道のり
会計不祥事(エンロン・ワールドコム)
財務報告の正確性・透明性の必要性
2001~2002年
SOXSOX法(企業改革法)制定法(企業改革法)制定 2002年
• 財務報告書の記載に関する正確性• 内部統制の構築の義務化• 内部統制の維持の義務化• 重大な欠陥の報告• 内部統制報告書の提出の義務化• 違反経営者の罰金もしくは禁固刑
6Copyright© 2006, Oracle. All rights reserved.
会計不祥事(エンロン・ワールドコム)
財務報告の正確性・透明性の必要性
2001~2002年
SOXSOX法(企業改革法)制定法(企業改革法)制定 2002年
• 財務報告書の記載に関する正確性• 内部統制の構築の義務化• 内部統制の維持の義務化• 重大な欠陥の報告• 内部統制報告書の提出の義務化• 違反経営者の罰金もしくは禁固刑
SOX法のあいまいさ(実施基準が無い)
膨大なコスト
米国SOX法対応で企業が抱える問題点
7Copyright© 2006, Oracle. All rights reserved.
SOXSOX法対応をより強化していくために法対応をより強化していくために
セキュリティ基盤の強化セキュリティ基盤の強化 ローコスト、効率化の実現ローコスト、効率化の実現
• 膨大な文書による煩雑な業務を効率化• 文書では把握しきれない散在するリスクを正確かつ網羅的に管理
• 散在する文書、ITリソースの統合化によりコストを
削減
Lehman Brothers は Oracle Identity Manager を選択 Oracle Corporation は業務システムとデータ
のグローバル統合を実現
• SOX法対応には、セキュリティの強化が最重要項
目となる
米国SOX法対応の先進企業がたどった道
8Copyright© 2006, Oracle. All rights reserved.
SOX対応における重要課題In
fras
truc
ture
AMR Researchの調査でセキュリティはSOX法の最大の課題
AMR ResearchAMR Researchの調査でセキュリティはの調査でセキュリティはSOXSOX法の最大の課題法の最大の課題
9Copyright© 2006, Oracle. All rights reserved.
1. 特定できない、もしくは解決できてない職務の分掌
2. 保護されていないOS上で会計のアプリケーションやポータルが動作
している。
3. 会計アプリケーションを支えているデータベースが保護されていない。
4. 開発者が実システムにアクセスする。
5. 実システムにおいて不要な過度のアクセス権がある。
6. アカウントの付与・削除のプロセスが不完全である。
7. G/L (総勘定元帳) アプリケーション内での記帳期間が制限されていない。
8. プログラムやテーブル、インターフェースなどがセキュアでない。
9. マニュアルのプロセスが存在しない、または文書化されていない。
10. システムに関連する文書と実際のプロセスの間に不整合がある。
SOX法関連 ITインフラ欠陥 10項目
報告された欠陥の70%が役に立たないIdentity & Access管理に 直接的に関係があった – Ernst &Young LLP
会計監査法人 E&Y が指摘するIT全般統制の70%がセキュリティ
会計監査法人会計監査法人 E&Y E&Y が指摘するが指摘するITIT全般統制の全般統制の70%70%がセキュリティがセキュリティ
10Copyright© 2006, Oracle. All rights reserved.
SOX法対策のキー項目
会計監査法人会計監査法人 KPMG KPMG が内部統制監査でが内部統制監査で指摘する指摘するITIT統制は全体の統制は全体の 20%20%にも及ぶにも及ぶ
11Copyright© 2006, Oracle. All rights reserved.
なぜSOX法対策にセキュリティが重要か?
AMR Researchの調査でセキュリティはSOX法の最大の課題AMR ResearchAMR Researchの調査でセキュリティはの調査でセキュリティはSOXSOX法の最大の課題法の最大の課題
会計監査法人 KPMG が内部統制監査で指摘するIT統制は全体の 20%にも及ぶ会計監査法人会計監査法人 KPMG KPMG が内部統制監査で指摘するが内部統制監査で指摘するITIT統制は全体の統制は全体の 20%20%にも及ぶにも及ぶ
会計監査法人 E&Y が指摘するIT全般統制の70%がセキュリティ会計監査法人会計監査法人 E&Y E&Y が指摘するが指摘するITIT全般統制の全般統制の70%70%がセキュリティがセキュリティ
SOX法対策にはITITセキュリティセキュリティが重要なKeyとなる 中でも最重要項目は、IDID管理管理//アクセス・コントロールアクセス・コントロールに関するIT統制
監査法人、調査会社が声をそろえて指摘
「SOX法対応にあたり、業務とIT両面からの職務分掌(SoD:
Segregation of Duties)の問題が急浮上している。業務上、
過剰なアクセス権限が与えられていないか、IDは適切に運用
管理されているか、日本版SOX法でもこれが1つの大きなポ
イントになる」
「財務報告は財務アプリケーションから出力される。
企業のトップはその正確性を証明せねばならない。そのた
めには財務アプリケーションへのアクセスが正しく行われて
いることの証明が必要となる。これが、SOX法とITセキュリ
ティが深く関わる理由」
米国SOX法に関連するIT統制について、「100ほど設定され
るコントロール(統制)のうち、4~5割はアクセスコントロール
がかかわってくる」と説明した。ITシステムへのアクセスコン
トロール、アイデンティティ管理は、いわゆる日本版SOX法
(金融商品取引法の一部)でも重要になるとされ、ラティフ氏
は「対応の鍵になる」と強調した。
プログラムとデータへのアクセスに関してKPMGが設定して
いるコントロールは、「セキュリティ・ポリシーの整備、認識」
「ITリソースへの物理的、論理的な認証、承認の仕組み」「ユ
ーザー・アカウントの作成、変更、削除がタイミングよく行われ
ているか」「アクセス権限の定期的な確認」「適切な職務分掌
(Segregation of Duties:SoD)」など。ラティフ氏は特に
SoDについて監査で指摘することが多いと語った。
(米KPMGのパートナー シャヘド・ラティフ氏) (米KPMGのパートナー シャヘド・ラティフ氏)
12Copyright© 2006, Oracle. All rights reserved.
SOX法の対応レベル
業務プロセスとシステムの統合
– 内部統制監査に向けた透明性のある会計管理システム
– 受発注業務や入金・支払プロセスの標準化・適正化
– その他、全社業務プロセスの効率化・最適化
業務プロセスの業務プロセスの視点視点
内部統制内部統制監査の監査の視点視点
ITIT基盤の基盤の
視点視点
標準アプリケーションの徹底活用•Oracle Applications
基幹システムのオペレーション統合•GSI、SSC(シェアードサービス)
組織一丸となって遂行するものであると同時に、経営管理の視点も必要
•BSC、BI/Analytics
標準アプリケーションの徹底活用•Oracle Applications
基幹システムのオペレーション統合•GSI、SSC(シェアードサービス)
組織一丸となって遂行するものであると同時に、経営管理の視点も必要
•BSC、BI/Analytics
13Copyright© 2006, Oracle. All rights reserved.
SOX法の対応レベル
内部統制監査への対応
– 文書化およびその変更管理
– ワークフロー
– 職務分掌
– 評価分析
業務プロセスの業務プロセスの視点視点
内部統制内部統制監査の監査の視点視点
ITIT基盤の基盤の
視点視点
既存のIT環境・情報も最大活用•Internal Control Manager
内部統制コンサルティング•Protiviti, NSS, TIS, ISID, HP 他
組織全体への教育徹底•Oracle iLearning
内部統制管理システムコンサルティング•Quick Startサービス
既存のIT環境・情報も最大活用•Internal Control Manager
内部統制コンサルティング•Protiviti, NSS, TIS, ISID, HP 他
組織全体への教育徹底•Oracle iLearning
内部統制管理システムコンサルティング•Quick Startサービス
14Copyright© 2006, Oracle. All rights reserved.
SOX法の対応レベル
システム基盤の強化– IDおよびアクセス管理
– セキュリティ対策、情報漏えい対策
– 全社レベルの文書管理
– データの保全
業務プロセスの業務プロセスの視点視点
内部統制内部統制監査の監査の視点視点
ITIT基盤の基盤の
視点視点
内部統制監査時に要件はどんどん厳しくなる煩雑化するID管理をシンプルに
•Oracle Identity Manager増え続ける非構造化データを管理
•ファイルサーバでは限界・リスク大•Content DB / Records DB
データセキュリティ•Database Vault / Audit Valut•暗号化
内部統制監査時に要件はどんどん厳しくなる煩雑化するID管理をシンプルに
•Oracle Identity Manager増え続ける非構造化データを管理
•ファイルサーバでは限界・リスク大•Content DB / Records DB
データセキュリティ•Database Vault / Audit Valut•暗号化
15Copyright© 2006, Oracle. All rights reserved.
SOX法の対応レベル
システム管理体制の確立
– システム統合・集中管理によるリスクの回避
– 物理セキュリティ(Physical Serurity)の確保
– 事業継続性(Business Continuity)の担保
業務プロセスの業務プロセスの視点視点
内部統制内部統制監査の監査の視点視点
ITIT基盤の基盤の
視点視点
情報システムを集中管理する•Oracle Enterprise Manager
効率的なデータセンターの運用•Oracle Austin Data Centerの例
ディザスタリカバリへの対応•Oracle Data Guard•Application Server Guard
情報システムを集中管理する•Oracle Enterprise Manager
効率的なデータセンターの運用•Oracle Austin Data Centerの例
ディザスタリカバリへの対応•Oracle Data Guard•Application Server Guard
16Copyright© 2006, Oracle. All rights reserved.
事例顧客より得られたポイント
Negative– どこから手をつけてよいか分からない
– 高コストになりがち
– IT統制の方法に具体的な指針がない
Positive– 受身ではなく、常に経営メリットのある上位の監査・管
理手法を模索する(毎年見直しを繰り返す)
– 経営者をはじめ、多くの部署の理解と協力
– コスト削減とリスク管理とコンプライアスの一体化
17Copyright© 2006, Oracle. All rights reserved.
日本オラクル株式会社 無断転載を禁ずこの文書はあくまでも参考資料であり、掲載されている情報は予告なしに変更されることがあります。日本オラクル社は本書の内容に関していかなる保証もいたしません。また、本書の内容に関連したいかなる損害についても責任を負いかねます。Oracle、PeopleSoft、JD Edwards、及びSiebelは、米国オラクル・コーポレーション及びその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標の可能性があります。