日本版SOX法(金融商品取引法)による内部統制構築・評価の義務化が来年4月に迫るなかで、ITベンダーが対応を急いでいる。野村総合研究所は、「ライブラリー・リリース管理システム」を社内で構築した。今年4月から、10の情報システム開発・運用プロジェクトで試行を始める。

 各プロジェクトの顧客企業は日本版SOX法に基づく内部統制を構築する必要に迫られており、システムの開発・運用を受託する野村総合研究所の側でも対応が必要になる。「ライブラリー・リリース管理システム」は、情報システムの内容(ソースコード)が誰の承認でいつどのように変更されて稼働に至ったかという変更履歴を管理する。

 野村総研が新システムを構築した狙いについて、安田守・生産性向上推進部長は、「日本版SOX法によって、内部統制の監査に耐え得る証跡を確実に残さなければならなくなった」と説明する。従来は、プロジェクトごとに異なる方法で変更履歴を管理していた。野村総研として標準的な方法で管理することで、生産性を高める。

 これに関連して、野村総研は昨年12月に、情報システムの開発・運用の過程で発生する各種文書を保管・共有するシステム「Developers Net 2(DevNet2)」を稼働させた。投資額は約6億円。

 以前は、ワープロや表計算ソフトなどで作成したシステム設計書などの文書類は、部署ごとのファイルサーバーに保管することが多かった。現在は原則としてDevNet2上に保管している。保管データ量が膨大になるため、DevNet2は最大20テラバイトのデータを保管でき、さらに拡張できる特別な設計にしている。既に社内の約400プロジェクトで活用しており、毎日30ギガバイトのペースでデータが増えているという。「1時間停止するだけでも相当な損失になるため、バックアップは3重に取っている」(安田部長)

 操作履歴(ログ)の件数も億単位と膨大になり、通常の方法ではログ抽出だけでも数十分かかる。そこで、日本ルシーダ(東京・千代田区)の「Lucida JetQuest」というデータ抽出ツールを採用した。利用者やプロジェクト名などを指定すれば、数秒で操作履歴を抽出できる。「誰かが不正に設計書を書き換えている」といった兆候がある場合、内部監査部門やプロジェクトの責任者が迅速に調査できる仕組みを整備した。

 前述の「ライブラリー・リリース管理システム」と連携して、内部統制の評価を行う際に、情報システム変更の経緯や関連文書を調べるといった使い方も想定している。