内部統制の要求の高まりとデータベースセキュリティ
内部統制の要求の高まりとデータベースセキュリティ
2001年に米国で発生したエンロン社の破綻は企業経営者が社員や多くの一般投資家を欺いたことにより大きな社会問題となりました。このような事件 の再発防止のために2002年に成立したのがSOX法(Sarbanes Oxley Act:米国企業改革法)です。
SOX法では企業の財務報告内容を経営者自身がレビューして、その内容が真正であることを宣誓すること、さらにそのための内部統制の仕組みが有効に機能していることについて評価報告を提出することが求められています。
このSOX法は米国国内の企業に適用されて、すでに2年目を迎えており、SOX法対応のための内部統制の仕組みを構築する際にCOSO(the Committee of Sponsoring Organization of the Treadway Commission)のフレームワークが広く採用されています。
日本版SOX法
日本においては2009年の3月期決算からの適用開始を目標にして日本版SOX法の整備が進んでおり、米国と同様に企業の財務報告に係る内部統制の仕組みの構築が求められることになるでしょう。
現時点ではまだ法律の最終的な条文がどうなるのかについてはっきりとはわかりませんが、米国で施行されているSOX法や2005年12月に企業会計 審議会の内部統制部会によって取りまとめられた『財務諸表に係る内部統制の評価及び監査の基準のあり方について』の資料によると、米国で施行された COSOのフレームワークに加えて「ITへの対応」という項目が追加されている点が大きな特徴となっています。
内部統制を構築するにあたり、まず既存のプロセスにおけるリスクを洗い出す必要があります。それらのリスクには当然ITに関するリスクが含まれており、データベースからの情報漏洩やデータの改ざんのリスクもその一部となります。
データベースセキュリティが占める分野
データベースセキュリティは企業の既存データベースシステムのリスクを洗い出し、必要な改善策を提示します。
またリスクの発生を防ぐために必要な内部統制の仕組みを構築することが必要となります。特にシステムに対して強い権限を持っているデータベース管理者が行った作業を後で第三者が確認する監査の仕組みが重要な要素です。
さらにSOX法対応のための内部統制の運用・評価は1回限りの作業でなく、毎年繰り返し行うことが求められます。この作業量は膨大なものになること が予想されるので、この作業を効率的に行うためには、ツールをうまく使いこなすことが企業にとって重要な課題となります。
このようにデータベースセキュリティは、企業の財務情報が保管されているデータベースに関する現状のリスク評価(脆弱性評価)、内部統制の監査、評 価報告書作成を支援し、今後施行されるであろう日本版SOX法が求める内部統制の仕組みにおいて重要な役割を占める分野の1つなのです。
次回は
次回は、データベースセキュリティの特徴や監視・監査ログ取得方式の違いによる比較について解説していきます。
関連記事
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
