TOP情報セキュリティ> 内部統制の要求の高まりとデータベースセキュリティ
データベースセキュリティとコンプライアンス〜個人情報保護法から日本版SOX法へ〜
データベースセキュリティとコンプライアンス〜個人情報保護法から日本版SOX法へ〜

第1回:データベースセキュリティによる内部統制の構築
著者:アイピーロックス ジャパン  渡辺 良一   2006/4/7
前のページ  1  2  3   
内部統制の要求の高まりとデータベースセキュリティ

   2001年に米国で発生したエンロン社の破綻は企業経営者が社員や多くの一般投資家を欺いたことにより大きな社会問題となりました。このような事件の再発防止のために2002年に成立したのがSOX法(Sarbanes Oxley Act:米国企業改革法)です。

   SOX法では企業の財務報告内容を経営者自身がレビューして、その内容が真正であることを宣誓すること、さらにそのための内部統制の仕組みが有効に機能していることについて評価報告を提出することが求められています。

   このSOX法は米国国内の企業に適用されて、すでに2年目を迎えており、SOX法対応のための内部統制の仕組みを構築する際にCOSO(the Committee of Sponsoring Organization of the Treadway Commission)のフレームワークが広く採用されています。


日本版SOX法

   日本においては2009年の3月期決算からの適用開始を目標にして日本版SOX法の整備が進んでおり、米国と同様に企業の財務報告に係る内部統制の仕組みの構築が求められることになるでしょう。

   現時点ではまだ法律の最終的な条文がどうなるのかについてはっきりとはわかりませんが、米国で施行されているSOX法や2005年12月に企業会計審議会の内部統制部会によって取りまとめられた『財務諸表に係る内部統制の評価及び監査の基準のあり方について』の資料によると、米国で施行されたCOSOのフレームワークに加えて「ITへの対応」という項目が追加されている点が大きな特徴となっています。

「財務報告に係る内部統制の評価及び監査の基準のあり方について」
http://www.fsa.go.jp/news/newsj/17/singi/f-20051208-2.pdf

   内部統制を構築するにあたり、まず既存のプロセスにおけるリスクを洗い出す必要があります。それらのリスクには当然ITに関するリスクが含まれており、データベースからの情報漏洩やデータの改ざんのリスクもその一部となります。


データベースセキュリティが占める分野

   データベースセキュリティは企業の既存データベースシステムのリスクを洗い出し、必要な改善策を提示します。

   またリスクの発生を防ぐために必要な内部統制の仕組みを構築することが必要となります。特にシステムに対して強い権限を持っているデータベース管理者が行った作業を後で第三者が確認する監査の仕組みが重要な要素です。

   さらにSOX法対応のための内部統制の運用・評価は1回限りの作業でなく、毎年繰り返し行うことが求められます。この作業量は膨大なものになることが予想されるので、この作業を効率的に行うためには、ツールをうまく使いこなすことが企業にとって重要な課題となります。

   このようにデータベースセキュリティは、企業の財務情報が保管されているデータベースに関する現状のリスク評価(脆弱性評価)、内部統制の監査、評価報告書作成を支援し、今後施行されるであろう日本版SOX法が求める内部統制の仕組みにおいて重要な役割を占める分野の1つなのです。


次回は

   次回は、データベースセキュリティの特徴や監視・監査ログ取得方式の違いによる比較について解説していきます。

前のページ  1  2  3   


アイピーロックス ジャパン  渡辺 良一
著者プロフィール
アイピーロックス ジャパン株式会社  マーケティング本部長
渡辺 良一

これまでに国内の自動車会社、米国系銀行においてデータベースシステムの開発と運用を経験。その後ERP、BPMツール、SOX法の監査支援ソフトの販売とサービスビジネスに従事した後、2005年11月にマーケティング本部長としてアイピーロックス ジャパンに入社、現在に至る。
http://www.iplocks.co.jp


INDEX
第1回:データベースセキュリティによる内部統制の構築
  情報セキュリティの変遷とデータベースセキュリティ
  個人情報保護法とデータベースセキュリティ
内部統制の要求の高まりとデータベースセキュリティ