日本版SOX法の適用を控え、企業は対応を急いでいる。内部統制やBCP(事業継続計画)への関心の高まりを背景に、情報システムを含む企業リスク全般への関心も高まっている。こうした分野に力を入れる米シマンテックのジョン・トンプソン会長兼CEO(最高経営責任者)に、米国でSOX法対応時に生じた問題やリスク管理のあるべき姿について聞いた。
シマンテックは次々とソフト会社を買収していますが、最近の大型案件はストレージ管理のベリタスソフトウェアの買収だと思います。買収から約2年がたちましたが、その成果をどう評価していますか。
企業のITリスク管理において、幅広い技術を提供できるようになりました。大手企業のCIO(最高情報責任者)の最大の懸念は、社内インフラから、できるだけ複雑性とコストを省きたい、その負担を軽くしたいということです。さらに、コンプライアンスの観点から内部統制にも対応できるようにしたいという思いがある。ベリタス買収によって、ソフトウエアおよびサービスについて当社の提案力は大きく改善しました。
日本ではいよいよ、2008年4月から始まる会計年度で、日本版SOX法(J-SOX)が適用されます。一足先にSOX法(サーベンス・オクスリー法)が施行された米国では、ITに関してどんなことが起きたのでしょうか。
SOX法対応で最大の課題は、データやアプリケーションへのアクセスに関するコントロールの範囲と度合いです。また、アプリケーションの技術者とデータベースの責任者をどうコントロールしていくかという視点も必要で、これはITジェネラル・コントロールと呼ばれているものです。
ITはSOXの要件としては一部にすぎず、ほかにも満たさなくてはいけない要件がたくさんありますが、ITはSOXに準拠していることを図る重要指標の1つであることを企業は学びました。つまり、企業が導入すべきものの中で最も重要なのは、SOX法に準拠している証拠を持つことです。そこで、ITのコンプライアンス・ソリューションが必要になったのです。
米国企業のSOX法対応から学べる点は多い
 |
| 撮影:北山宏一 |
米国では、SOX法に過剰に対応して出資がかさんだと聞いていますが、実態はどうだったのですか。
最も大きな教訓は、それまで重要なビジネス・プロセスだと思っていたものが、そもそも多過ぎたということです。SOX法対応を3~4年ぐらい実施するのに伴い、最終的にはプロセスを50%以上減らした。最終的には、プロセス自体が少なくなり、負担もコストも減らすことができた、といったケースがたくさんありました。
長期的に成功している企業を見ると、成功の理由があります。すなわち、十分によく定義付けられたビジネス・プロセスを持っていてそれを実施している。しかし、SOX法対応で明らかになったことは、それを文書化して残していた企業が非常に少なかったこと。そこで、文書化するのにものすごくコストがかかりました。
もう1つ学んだことは、中小企業の負担が過剰にかかったことです。あまりにも努力した結果、競争力が弱くなってしまった。これは非常に悪い教訓です。
SOX法対応に関して、シマンテックはどのようなソリューションをユーザーに提供しているのですか。
1つはセキュリティに重点を置くESM(Enterprise Security Manager)。もう1つは、データ管理やビジネス・プロセスに特化したControl Compliance Suiteを提供しています。同時に、コンサルティング・サービスを通じて企業のコンプライアンス活動を評価することもしています。
日本の企業がJ-SOXに対応していくうえで、注意すべき点は何でしょうか。
自社の状況を幅広く評価することでしょう。システムのパフォーマンスや可用性、コンプライアンスのリスクの状況がどのような水準にあるのか、まず理解し、今後その水準を改善するための体制を考える必要があります。
さらに言うと、単にJ-SOXに対応するだけでなく、ITIL(ITインフラストラクチャ・ライブラリ)やITSM(ITサービスマネジメント)まで積極的に進むべきです。受動的ではなく、もっと能動的に進むことでメリットを享受できるでしょう。より高いゴールを目指して、よりよい統制、よりよいマネジメントを目指していくことが、結果としてSOX法にも準拠できることになるでしょう。
ホッケーに例えると、今あるパックを狙うのではなく、次の瞬間のパックの位置を狙っていくという戦略です。今のパックの位置がJ-SOXだとすると、先を見据えたものがITSMやITILであり、そちらを狙うことが長期的に持続可能、予測可能なパフォーマンスを生み出すことになるでしょう。
米国企業の多くは、ここ数年の活動を通じて、SOX法に準拠しないとどうなるか結果がある程度見えてきた。日本の企業は、こうした米国企業の結果から学べることがたくさんあります。そこから、自分たちが何をしたらよいのかを検討すべきです。米国企業は痛みを伴って対応してきたので、米国企業の教訓から学ぶことで、日本の痛みはかなり軽減されるのではないでしょうか。
CIOやCSOに加えて、CROが必要になる
SOX法以外のリスク管理に関して、気をつけるべき点は何ですか。
第一の課題は、最終目標に対して、自分たちがいる位置を把握することです。つまり、自分たちのITインフラはどれぐらいセキュアなのか、そして自分たちのネットワークの脆弱性はどの程度のレベルなのか、それからアプリケーションのアクセスはどうなっているか、さらにアプリケーション・アクセス、ユーザー・アクセスに関してベスト・プラクティスをどれくらい実施できているかをつかむことです。それらに対して自分たちのリスクのレベルはどのぐらいか、そしてその穴を埋めるためにすべきことを把握することが、最も重要です。
もう1つは、会社にとって生命線を握るアプリケーションの可用性がどうなっているのかをしっかり把握すること。例えば、東京で大地震が起こってシステムがダウンしたらどうなってしまうのか想定しているでしょうか。システムがダウンした場合のディザスタ・リカバリー、バックアップといった復旧プロセスをしっかり確立しておかなければなりません。
最近の米国のユーザー企業の動向で顕著なものはありますか。
最近、よく見るのは、セキュリティ管理をアウトソースするケースです。ファイアウォールの監視、侵入検知、コンテンツ評価、そういったものは外部の業者に任せて、IT部門はセキュリティー・ポリシーに特化して見ていくという形です。
これは米国だけでなく世界的に見てもそうですが、コンプライアンスだけに注力するのではなく、全体的なリスク管理を考えるようになってきています。これまでCIOやCSO(最高セキュリティ責任者)の重要性が言われてきましたが、今後はCROが必要になるでしょう。CROとは、コーポレート・リスク・オフィサーの略です。ITだけでなく、ディザスタ・リカバリーなどを含めたビジネス全体のリスクについて戦略を考える責任者が実際に登場しています。
最近、中国やインドなどの新興市場の発展が著しいですが、シマンテック本社から見て日本市場の位置付けは変わってきているのですか。
中国、インドが成長を続けているのは事実ですが、日本は消費という意味で最大のITマーケットです。ですから、日本における成功は我々にとって引き続き非常に重要です。我々のビジョンを実行するために、もっとたくさんやることがある。その中でも特に、ITリスク管理のソリューションをもっと提供していきたいと考えています。
|
(聞き手は,桔梗原 富夫=日経コンピュータ編集長,取材日:2007年11月1日)
