日本版企業改革法(日本版SOX法)の法制化をにらみ、内部統制のポリシー違反を自動検出する分析/レポート・ツールが1月から2月にかけて相次ぎ登場している。情報システムへのアクセス履歴(ログ)などを分析し、違反を見つけると警告を発する仕組みだ。
ポリシー違反の分析/レポート・ツールを発売したのは東京エレクトロン、コンピュータ・アソシエイツ(CA)、サン・マイクロシステムズ、日本オラクルの4社(表[拡大表示])。各製品とも、システム・ログなどを基に企業の業務プロセスやワークフロー、データ処理操作について、内部統制のポリシーに対する違反がないかどうかを自動的に分析し、違反があれば警告を発する。
これらの製品は、主に内部統制の“運用フェーズ”を支援するものだ。企業はSOX法に対応するために、内部統制のポリシーを策定したうえで、「どんな業務プロセスが存在するか」、「そのプロセスにどんなリスクが存在するか」などを文書化しなければならない。さらに、日常業務の中で権限に合わせた役割分担が徹底されているかをチェック・是正し、その記録を残す必要がある。これが運用フェーズに当たる。
業務プロセスなどの記述に多大な手間がかかるのと同様、内部統制の運用もすべて人手で進めるのは困難になるとみられている。業務状況の監視や文書の作成・改変といった作業に手間がかかりすぎるからだ。監査などで問題点を指摘された場合も、対応が遅れてしまう。分析/レポート・ツールは、こうした負荷の低減を狙っている。
各社が販売する製品は、分析対象の違いで大きく2種類に分かれる。東京エレクトロンが1月23日に出荷した「SenSage Enterprise Security Analytics」(開発は米センセージ)は、アプリケーションやファイルの操作ログを分析対象とする。サーバーやネットワーク機器からログの生データを収集し、独自形式のデータにして保存しておく。この操作ログ・データを分析して、文書の改ざんなど不審な操作がなかったかをレポートする。
システムの操作履歴を記録するシステムとしては、ログ管理システムや、ネットワークを流れるすべてのデータを収集・保管する、いわゆるフォレンジック・システムがあるが、SenSageは、よりSOX法を意識した仕組みを持つ。長期間のデータ保存を意識して、操作ログのデータ容量を生データのログの10分の1程度の容量に圧縮できる。加えて、分析対象にするログの項目や分析の仕方について、SOX法対策用テンプレート「SenSage Analytics Package」(別売)を提供する。
一方、サンが1月11日に出荷した「Sun Java System Identity Auditor」は、アイデンティティ管理システムの設定情報やログを分析対象とする。アイデンティティ管理ではユーザーIDの発行・削除やシステムへのアクセス権限の設定を一元化する。その操作履歴から、業務プロセスに合わせて社員の権限が適切に割り当てられているか、承認なく権限が変更される不正行為がないかを分析し、レポートを生成する。CAの「CA Identity Manager r8.1」とオラクルの「Oracle Identity and Access Management Suite」も、分析対象は同じ。両製品はアイデンティティ管理ソフトだが、SOX法対応をうたった分析/レポート機能を備える。
