昨日はあるパートナーさんとのエグゼクティブ・ミーティングがありました。先方は会長さん、社長さん、専務さん、こちらは日本法人の社長をやってます Dan Miller 以下パートナー・セールスの人たちと我々ソフトウェア・チーム。基本的に年始の挨拶を主旨としていたのですが、表敬訪問撲滅委員会長としては、それでは詰まらないだろうってことで、私も強引に参加させてもらい、ご一緒させていただいているアイデンティティ・マネージメント分野に関する協業ステータスをお話させてもらいました。前段の話はこんな感じ (もちろん差し支えない限りで)。

先方の会長曰く 「新年の挨拶って悪しき風習ですけど、こうして定期的にお会いしてお話するっていうのは大切ですね。」

弊社社長の話 「興味ある最近の日本のビジネス・トレンドでは、やっぱり某社を始めとした企業の不祥事があります。一方サンはちゃんと真面目に経営してますので、ご安心を（笑）」

先方の社長 「J-SOX の動きは企業家としての課題ですが、その反面 Y2K 時のようなビジネス機会としても非常に注目しています。その中で我々がどのような価値を提供できるのか模索してます。」

いやー、この時点でキターって感じです。丁度そんな流れを予測してそれ関係の資料を準備して来ていたので。アイデンティティ・マネジメントが内部統制においてどのようなことができるのか、両社の協業実績がどこまで来ているのか、すかさず、説明させてもらいました。それとこの機会を利用して、いろいろなお願い事項をこちらの想いのままお話させてもらいました。ミーティングの最後に先方も；

「これまでは単なるハードウェア販売の関係だけだと思ってたけど、サンのソフトウェアやソリューション戦略に非常に注目しているし、そこの協業をもっと強化したい。」

と仰ってくれました。

また帰る際のエレベーターの中で、Dan が；

「This is the meeting I really want to have with partners!!」

って興奮気味に語ってました。(よっぽど普段、ゴールもその後のアクション・アイテムも何もない退屈なパートナー・ミーティングをさせられてるに違いない。。。かわいそう。)

J-SOX などの対応に向けた内部統制システムの構築はどの企業にとっても大きな課題であり、一方で IT 業界の経営者はそれを大きなビジネス・チャンスだと強く認識してるということを、私自身改めて実感しました。またもや、仮説に対する実証がなされたわけで。

というわけで、今後このパートナーさんとは、更に良好かつ強力な関係を築けそうです。鉄は熱いうちに打てってことで、すぐに具体的なアクション・アイテムに落とし込んでドライブしていかなくては。。。

というわけで再度；

Let's start "Compliance Talk" to high touch sales!
It's the biggest pain point for your customers' CXO.

Sun Japan will join in a seminar corvering how Identity & Access Management works for Japanese Sarbanes-Oxley on St. Valentine's Day. Axio, a leading IdM System Integrator in Japan, hold this seminar and BearingPoint also join with us. I will speak on efficient functions for so-called J-SOX in Sun Java System Identity Manager & Identity Auditor with demonstrations. Stay tuned!!

---

来月 2/14 にセミナーやります。

「日本版SOX法に向けたITによる内部統制」セミナー開催
注目されるアイデンティティ＆アクセス・マネジメント

開催日時：　2月14日 （火） 14:00 ～ 16:50
会　場：　品川 東京カンファレンスセンター 402 号室
主　催：　株式会社アクシオ
協　賛：　ベリングポイント株式会社、サン・マイクロシステムズ株式会社

アクシオさんがどのような会社か知らない人のために申しますと、このアイデンティティ管理の分野では、リーダー的存在のシステム・インテグレーターです。構築実績に関しても国内で一番多いのではないでしょうか。現在 Sun Java System Identity Manager を利用したプロビジョニング・システムの構築において密な協業をしています。当日は、ID 管理システムの構築手法について、実際の経験に基づいたお話が聞けると思いますので、ID の整備に関してご検討されている方、問題を抱えている方は必聴です。

ベリングポイントさんは国内で先駆けて "内部 / IT 統制ソリューション" を立ち上げているコンサルティング・ファームです。業務と IT の両側面から、内部統制システムの構築の中で、ID 管理とその監査がいかに重要な部分を占めるのかをお話されるかと思います。

で私はといえば、当日は Valentine's Day なので、受付で女装してチョコレート配ってます。で、そのあとすかさず Identity Manager と先日発表した Identity Auditor が SOX と (いわゆる) J-SOX の要件に対してどのようなことをしてくれるのかを、デモンストレーションを交えご説明させて頂きます。

このブログではいつもふざけていますが、予想はしてたけど今月から異様に増えてきている他の「日本版 SOX 対応ホゲホゲ セミナー」みたいに題名だけ大それいて中身のないセミナーではなく、ちゃんと地に足着いた真面目でためになるセミナーになるかと思います。皆様奮ってご参加下さい。

話は変わりますが、、今月から "エバンジェリスト" というたいそうな肩書きになりました。まぁ、IBM の 9 人だか 16 人だかのエバちゃんたちに対するある意味冒涜ですね。

因みに、やることは変わりません。給料も変わりません。

Actually, DoD is one of huge reference customers of our Directory Server, Java Card, Sun Ray & so on, but in addtion to them, I think they need user provisoning solutions...

eWeek.com: Security Audit Flags Thousands of Military User Accounts

U.S. Department of Defense have a An ongoing audit of user accounts in the armed services has uncovered an epidemic of expired and unauthorized accounts, including 3,000 in DISA (Defense Information Systems Agency), 1,500 in the U.S. Army's Korean operation, and thousands more spread throughout the military services.

The weak account management, in addition to slow patch distribution, could be exploited by hackers to gain access to military systems, and has prompted a wholesale review of the military's IT infrastructure, according to Lt. Gen. Charles Croom Jr. Security Audit Flags Thousands of Military User Accounts

---

以下ちょっと前の ITmedia からの記事の抜粋です。

ITmedia エンタープライズ: 米軍に多数の不適切なアカウント、セキュリティ監査で明らかに

　米軍が使用しているコンピュータアカウントのうち最大で20％が許可されていないか停止されたもので、これがハッカーや外国政府によるスパイ活動への悪用を招いていると、軍当局の幹部が発表した。

　軍が利用するユーザーアカウントの監査が行われているが、これにより、認証を得ていない期限切れのアカウントが大量にあることがわかった。国防情報システム局（Defense Information Security Administration：DISA）で3000件、陸軍韓国部隊で1500件、その他の機関で計数千件の不正アカウントが利用されているという。

　チャールズ・クルーム・ジュニア中将は、ずさんなアカウント管理とパッチ適用の遅れが、ハッカーの軍部システムに対する不正アクセスを招いており、軍部はITインフラの大幅な見直しを迫られていると述べた。

そしてそれに対する、トーマツの丸山先生のブログ・エントリです。コメント欄も併せてご覧下さい。このブログは情報セキュリティや監査に関してあらゆる側面から述べられているため、非常に勉強になります。

まるちゃんの情報セキュリティ気まぐれ日記
2006.01.16: 米軍 情報セキュリティ監査 多数の不要アカウントが存在？

　民間企業でも、このような問題は少なからずありますね。私の個人的経験ですが、米国企業より日本企業のほうがこのあたりの意識は低いので、米軍でもこういう問題があるのであれば、日本でも心配ですね。

　米国企業の例で言えば、人事異動の度に人事データとともにIDの休止、廃止の申請処理が行われることになっているだけでなく、システムの重要性に応じて定期的（1ヶ月、3ヶ月毎）にIDの棚卸がされていました。

　IDの棚卸は、システム運用をしている責任者から、システムオーナに対して、現在発行されているIDの一覧を送付し、システムオーナが不要なIDがないことを確認し、システム運用責任者に回答をしていました。

　つまり、発見的コントロールも利用して、不要なIDが存在しないように内部統制を整備・運用していたということです。

「発見的コントロール」、つまり複数のシステムに対するアカウントのライフサイクル管理の徹底とその監査、つまり ID プロビジョニング・ソリューション、もっと言ってしまうと Sun Java System Identity Manager のような製品の導入が必要なわけです。

因みに、米国国防総省は、Sun Java System Directory Server (400 万ユーザ) と Java Card、Sun Ray のリファレンス・カスタマーなのですが、それだけでは足りないので Identity Manager を導入すべきという観点から、これから US に飛んで売り込みにいこうかしら。

あ、オチが甘かったようなので、今日来てたオモシロ Referrer を一つ。

"Livedoor independent auditors" from Google Rossia

ロシアの投資家も今回の Livedoor の件を心配しているようです。

既に販売パートナーさん向けには昨年の秋に発表させて頂いておりましたが、Sun Java System Identity Auditor を本日パブリック・リリースしました。弊社の内部統制ソリューションの中核をなす製品になります。

■ 新製品「Sun Java System Identity Auditor」の主な機能

　本製品を利用することで、複数のシステムに渡るアイデンティティ情報とアクセス権限情報を、予め設定された監査ポリシーに基づき評価し、監査プロセスをより高いレベルに移行することができます。「誰がどこになぜアクセス権を持っているのか」「職務の分掌は、複数の業務プロセスやシステムで徹底されているのか」といった、今まで人手を介して確認していた作業を自動化することにより、永続的に求められる煩雑な監査の手間を省き、コストを削減することが可能になります。さらに、社内の ID 管理基盤を予防措置的に統制し可視化することで、企業のビジネスリスクを大幅に低減します。主な機能は以下のとおりです。

プレスリリースの機能一覧はスペースの関係上要約したものなので、もう少し詳しい一覧を以下に記載しておきます。

• 監査ポリシー
  
  • アイデンティティ監査ポリシー (例：承認のないアクセス権限変更の防止、職務分掌、変更管理 等) の定義
• アイデンティティ情報のキー・コントロールと IT 統制の評価基準の取り込み

• 監査スキャン
  
  • 監査ポリシーの定期的、またはオン・デマンドでのスキャン
• ポリシー違反情報の自動的な検知、通知、是正 (リメディエーション) 、緩和 (ミティゲーション) 処理

• 認定審査 (Certification Review) の自動化
  
  • 例外処理や是正処理に関する監査証跡の取り込み
• ユーザのアクセス権やポリシーの違反に関する自動化かつ委譲された証明とそのプロセスの把握

• コンプライアンス・ダッシュボード
  
  • ユーザのアクセス権やポリシー違反に関するレビューの実施とそのプロセスの把握
• ポリシー、対象業務、組織、ユーザごとのコンプライアンス状況を柔軟に表示

• リポーティング機能
  
  • SOX 等の法的規制が一般的に求めるレポート作成を標準サポート
• ポリシー違反や強制処理 / 例外処理に関する監査証跡レポートの作成を自由にカスタマイズ可能

• SEM製品へのアイデンティティ・サービス
  
  • セキュリティ・イベント管理 (SEM) 製品との連携
• アイデンティティ監査データと SEM のイベント・ログを相互に関連付けが可能

• カスタマイズ可能なワークフロー
  
  • 複雑な例外処理、是正処理に関する承認及び通知プロセスをワークフロー化し設定

• エージェントレス・アダプター
  
  • 管理対象となるシステムに極力改修を与えないアーキテクチャ
• 異種混在環境を標準サポートする豊富な種類のアダプター群 (ERP、人事、CRM、SCM、データベース、OS、ディレクトリ、メール)

• ID プロビジョニング及びアクセス管理製品との統合
  
  • Sun Java System Identity Manager (SPML) と Sun Java System Access Manager との相互連携
• アカウントの無効化や認証セッションの強制終了などの是正の実施

とは言え、機能一覧の羅列ですと、どんなことができるのかイメージ湧かないと思います。このブログでもこの製品の機能や必要性について書いてきましたので、改めてご参照下さい。

• 2005/12/27 演習：「財務報告に係る内部統制の・・・」を ID 管理の視点で読み解こう

• 2005/11/28 問題提起：内部統制のための直接的な IT ソリューションはあるのか？

• 2005/10/24 内部統制における十大欠陥

• 2005/10/11 Sun IdM products: One-page marchitecture

• 2005/07/01 Role Based Access Control for SoD

US では、既に大手製造業・金融機関・通信業を始めとして SOX 対応の一環で、この Identity Auditor が導入されています。ご興味ある方、もう少し詳しい話を聞きたいという方は、プレス・リリース本文にありますカスタマー・ネットワーキング・センター (CNC) にお問い合わせ頂いても結構ですし、直接私 (shingo.yamanaka -at- sun.com) 宛にご連絡下さい。

また、今回いくつかのパートナー様よりエンドースメントを頂きました。トーマツの丸山さんを始めとして、アビームの永井さん、アクセンチュアの森さん、NTTデータ経営研の小野寺さん、NRI の末永さん、ベリングポイントの新井さんと、ある意味この分野での最強メンバーが出揃った感じです。これらパートナーさんの内部統制関連の一流の業務ノウハウと、サンのテクノロジー・イノベーションとの融合がこれから始まりますので、ご期待下さい。それにしても、年末年始の大変ご多忙な中、コメントをご用意頂き有難うございました。この場をお借りして御礼申し上げます。


追記：　既に以下のサイトなどで、今回のプレスが取り上げられています。

• ZDNet Japan: サン、コンプライアンス対応をシステム化するソフトウェアを販売開始

• ITmedia: サン、ID管理状況監査ソフトでコンプライアンス対応を支援

• Enterprise Watch: サン、アイデンティティ管理を自動的に行う「Sun Java System Identity Auditor」

• Computerworld.jp: サン、コンプライアンス対応を自動化し、内部統制を支援するソフトウェア「Sun Java System Identity Auditor」の販売を開始

追記その 2：　 工藤さんのブログにて、Identity Auditor のデモ画面とその流れが説明されているので、併せてご覧下さい。

皆さんご存じの通り、12/8 に金融庁の企業会計審議会 内部統制部会から 「財務報告に係る内部統制の評価及び監査の基準のあり方について」という文書が公開されています。 ここに書いてあるように今後 "御上" の中でしかるべきプロセスを経て、証券取引法が改正されるようです。

きっと IT ベンダーの企画担当者やコンサルティング・ファームは、皆こぞってこれを熟読しているんじゃないかと思います。「日本ではダイレクト・レポートは不採用だから楽チンだね」とか、「COSO と違って "資産の保全" が追加された」とか、「"IT の利用" が "IT への対応" が変更されたね」とか、「2008 年 3 月期開始って噂だけど無理だから遅らせようよ」とか、「日本はサラリーマン社長だから罰則規定は設けないよ」とか、「新会社法とか商法にどう影響すんのよ」とか、「そもそも日本版 SOX 法なんて新法はねぇんだよ、ボケ」等々のお話は様々な識者がネット上でも言及されているので、それはさておき、別に監査の専門家ではない私は謙虚にしくしくと、この文書を専門のアイデンティティ管理の視点でコメントしてみたいと思います (って、おいおい結構大胆だな！)。

　統制環境としては、例えば、次の事項が挙げられる。
・・・
⑤ 組織構造及び慣行
⑥ 権限及び職責
⑦ 人的資源に対する方針と管理
(10 ページ中段)

「財務報告の信頼性に関して・・・・、財務報告プロセスや内部統制システムに関する組織的、人的構成がどのようになっているか」を追求されるわけです。つまり、人事や組織情報を管理しているシステムと統制対象となるシステムの密な連携が必要になってきます。

① リスクの評価
　リスクの評価とは、組織目標の達成に影響を与える事象について､組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセスをいう。
　リスクの評価に当たっては、組織の内外で発生するリスクを、組織全体の目標に関わる全社的なリスクと組織の職能や活動単位の目標に関わる業務別のリスクに分類し、その性質に応じて、識別されたリスクの大きさ、発生可能性、頻度等を分析し、当該目標への影響を評価する。
(11 ページ上段)

事前に取り決められた監査ポリシーに対し、どれくらいの頻度で違反があったのか (違反がありそうなのか) を、ポリシーごと、組織ごと、職能ごと、業務ごとに把握、評価する仕組みが必要になります。

（３） 統制活動
　統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続をいう。
　統制活動には、権限及び職責の付与、職務の分掌等の広範な方針及び手続が含まれる｡このような方針及び手続は、業務のプロセスに組み込まれるべきものであり、組織内のすべての者において遂行されることにより機能するものである｡
（注） 財務報告の信頼性に関しては、財務報告の内容に影響を及ぼす可能性のある方針及び手続が、経営者の意向どおりに実行されていることを確保すべく、例えば、明確な職務の分掌、内部牽制、並びに継続記録の維持及び適時の実地検査等の物理的な資産管理の活動等を整備し、これを組織内の各レベルで適切に分析及び監視していくことが重要になる。
(11 ページ下段)

「担当者にシステムへのアクセス権を付与する仕組みやプロセス」を明らかにし、「誰がどこにアクセス権をなぜもっているか」を把握し、記録として残しておく必要が出てきます。

（３） 「財務報告に係る内部統制が有効である」とは、当該内部統制が適切な内部統制の枠組みに準拠して整備及び運用されており、当該内部統制に重要な欠陥がないことをいう。
（４） 「重要な欠陥」とは、財務報告に重要な影響を及ぼす可能性が高い内部統制の不備をいう。
(18 ページ中段)

この「重要な欠陥」にはどのようなものがあるのか？ 米国 SOX の場合は、多いものとしてこんなのものがあります。国内の SEC レジストラントの多くは文書化作業に追われてますが、それにまつわる欠陥は 10 番目なので、それほど多くはないことがご理解いただけるかと思います (文書化は初めに片付けてしまえば、それ以降は問題にならないってことですね)。

（５） 内部統制の重要な欠陥の是正
　経営者による評価の過程で発見された財務報告に係る内部統制の不備及び重要な欠陥は、適時に認識し、適切に対応される必要がある。
　重要な欠陥が発見された場合であっても、それが報告書における評価時点（期末日）までに是正されていれば、財務報告に係る内部統制は有効であると認めることができる。
（注） 期末日後に実施した是正措置については、報告書に付記事項として記載する。
(20 ページ下段)

例えば、職務の分掌などが徹底されてなかった場合、すぐさまそれを検知し、担当者に通知し、是正行為を行う必要があります。

（７） 評価手続等の記録及び保存
　経営者は、財務報告に係る内部統制の有効性の評価手続及びその評価結果、並びに発見した不備及びその是正措置に関して、記録し保存しなければならない。
(21 ページ中段)

さらにその是正措置に関する記録を残しておかなければいけません。また、その記録が改竄されないようにする必要も出てきます。

（４） 業務プロセスに係る内部統制の評価の検討
・・・
　監査人は、経営者が評価した個々の統制上の要点について、内部統制の基本的要素が適切に機能しているかを判断するため、実在性、網羅性、権限と責任の明確性、記録の十分性等の監査要点に適合した監査証拠を入手しなければならない。
(24 ページ下段)

権限と責任 (Accountability) の明確性については、「誰がどの業務に対して職務を持っているのか = 誰がどのシステムにアクセス権限を持っているのか」ということになるのではないでしょうか？ これを財務報告書に係る内部統制の対象となる全ての業務システムと、それを支えるプラットフォームに対して行う必要が出てきます。

っていうわけで、以上所感でした (今回はオチなしです)。

Sara Gates が Sarbanes-Oxley Compliance Journal にまた寄稿しています。彼女だけでなくこの分野の先駆者が皆、口をすっぱくして言っていること、「SOX を始めとした法令遵守をマイナスに捉えるのではなく、ビジネス機会創出として捉えるべきである」という内容なのですが、その表現は示唆に富んでいます。

Moving Beyond Compliance to Business Value
Today’s Compliance Efforts Are Preparing Companies to Meet Tomorrow’s Business Goals
By Sara Gates
2005-12-19 12:00:00.0 CDT, Sarbanes-Oxley Complinace Journal Feature Article

And in the few short years since the passage of Sarbanes-Oxley, there has been tremendous progress toward that goal, as evidenced by many recent feature articles in this Journal about solutions for compliance challenges

Does that mean we’ll soon be coming to the end of the road when it comes to dealing with compliance?

Hardly.

サーベインズ・オクスレー法が施行されてからここ 2, 3 年の間に、コンプライアンスの課題に対する解決策について、このジャーナルで多くの特集記事が証明してきたように、達成に向けて大変な前進があった。

では、コンプライアンスへの対処を済ませれば、この道の終着に辿り着くのだろうか？

それはほとんどないだろう。

Recasting the Challenge
To see Sarbanes-Oxley compliance not just as a regulatory obligation but also as a business opportunity, companies have to stop viewing it as an isolated issue—one that rears its head only at audit time and that mainly affects Operations and Finance.

単なる法制度上の義務 (必要悪) としてだけでなく、ビジネス機会として見るために、企業は SOX への準拠を個別の問題 (単なる監査期間であって、主に業務管理部門と財務部門のみに影響するもの) として捉えるのをやめるべきだ。

A useful analogy for conveying this view comes from the time back when seat belt use first became mandatory for drivers in many states.

この観点を伝えるための有用な類似例として、多くの州でシートベルトの着用がドライバーの義務と初めてなった時に起こったことが挙げられる。

法律が出来ても、そうしたほうが安全だといことを頭では分かっていながら、皆当時はシートベルトを締めようとせず、高い罰金を課したことに怒っていた状況を、今の SOX にまつわる企業に例えているわけです。

Seizing the Opportunities
There are at least three areas of business opportunity for companies that have a strong, ongoing, sustainable approach to Sarbanes-Oxley compliance: strengthening business relationships by reducing business risk, building better customer relationships by increasing levels of trust, and accelerating revenue growth and profitability through automation-driven business practices

強力で、継続的で、維持可能な SOX 対応へのアプローチをする企業にとって、少なくとも 3 つのビジネス機会がある。(1) ビジネスのリスクを低減することで取引関係を強化し、(2) 信用のレベルを向上することで顧客との関係をより良くでき、(3) 自動化ドリブンのビジネスを実践することで売上と収益の向上を加速できるのだ。

For example, identity-based business processes for compliance with Sarbanes-Oxley can reduce business risk by improving the security of access to information. A company will know, for example, that it is adhering strictly to requirements for segregation of duties by being able to weave in the segregation-of-duties rules into the process of provisioning system access.

例として、SOX 遵守のためのアイデンティティ・ベースのビジネス・プロセスは、情報へのアクセスのセキュリティを改善することで、ビジネス・リスクを軽減できる。例えば、企業はシステムへのアクセス権のプロビジョニング (付与や変更、剥奪) の仕組みに対し職務分掌ルールを織り込むことで、職務分掌の要件を徹底させることができるだろう。

With better control over access to sensitive information, companies will avoid security breaches that are likely to receive widespread media coverage, and they will thus reduce their risk of diminished customer loyalty and trust.

センシティブな情報に対するアクセス権限をより統制することで、企業はメディアによる広範な報道を受けうるセキュリティ上の不祥事を避け、しいては顧客のロイヤルティや信用が低下するリスクを無くすことができる。

Another example of business opportunity is through the increasing levels of trust that are engendered by compliance with Sarbanes-Oxley. When a company on an ongoing basis avoids security breaches and other threats to the integrity of its operations, thus demonstrating to customers and the public at large that it is controlling its level of risk, the result over time is greater trust and confidence in the company on everyone’s part.

ビジネス機会のもう一つの例としては、SOX 遵守による信用レベルの向上を通じて起きる。業務の真正性に関するセキュリティ違反や脅威を継続的に回避できている企業は、リスクのレベルをコントロールでき、それを顧客や広く公にアピールし、結果全てにおいて非常に大きな信用を勝ちうることができる。

Finally, automated identity management capabilities not only make compliance easily sustainable over the long term, they also help drive new growth by facilitating participation in collaborative networks.

最後に、自動化されたアイデンティティ・マネージメントは、単に長期にわたってコンプライアンスを維持することだけではなく、新しい共同型のネットワークへの参加を促すことにもなる。

In consumer-facing environments, the identity management infrastructure gives consumers convenience and one-stop shopping by providing a single view of accounts and extranet single sign on across multiple sites, while at the same time providing global logout and session management for security purposes.

顧客向けの環境では、ID マネージメントの基盤は、アカウントの一つのビューと複数サイト間のシングル・サインオンを実現す ることで、便利なワンストップ・ショッピングを提供する。また一方で、セキュリティの目的で、一時にグローバルなログアウトとセッ ション管理を行える。

In extended-enterprise environments, companies can bring outsourcing partners for everything from IT to HR onto their networks securely and easily. This enables them to enjoy to the fullest the greatest advantages of outsourcing: reducing operational costs and keeping focused on the core business, while at the same time maintaining the security of the networked environment.

企業間の環境では、企業はセキュアにかつ簡単に、アウトソース先のパートナーに IT から人事まで全てひっくるめて持ち出すことができる。これにより企業は、アウトソースによる強みを最大限に享受できる。つまりネットワーク化された環境のセキュリティを維持すると同時に、管理コストを削減し核となるビジネスにフォーカスできるのだ。

坊主が走るくらいクソ忙しいさなかに、なんかほとんど訳してしまいました。。。orz
まあ、英語の勉強の一環と言うことで。

そして結論としては、以下のようにまとめています。

Conclusion: Redefining Compliance as a Source of Business Advantage

結論: コンプライアンスをビジネス・アドバンテージの源として再定義せよ

これとかこんなつまらない煽りに対しては、最近は皆さんちょっと食傷気味ですよね。。。今の流れをそのまま単なる法令順守というものだけでなく、今後は CSR (企業の社会的責任) や、他社との競争力強化、新規ビジネスの創出と非常に大きな枠組みで考えると面白そうですね。日本における内部統制はグローバルで見ると後発かもしれませんが、後発なりのメリットはきっとありますので、頭を使っていきたいものです。

既に SOX があるから、アイデンティティ・マネージメントを導入する企業は国内でも多く見てきておりますが、このようなもっと進んだ机上概念 (って言ったら Sara に失礼だけど) が、いつ私の実体験の中て実証されるときが来るのか楽しみです :-)

「やあ、みんな！ ポールとマイケルだよ。僕たちの作った法律の影響で日本のみんなもてんてこまいなようだね。まぁ、会社は株主のものだから、内部統制は企業にとっての義務だよね。エンロンとかワールドコムみたいなことが二度とないように財務報告書に透明性と正確性を持たせないとね。但し、訳も分からず：

"日本版 SOX 法対応ソリューション「ホニャララ」発表！"

なんて、生半可な考えで言っちゃダメだよ。そんな安易なことしたら、もっとみんなが混乱しちゃうし、そもそも君達自身のお里が知れちゃうからね！ それじゃぁ、これからも、最高の笑顔の僕たちをよろしく！」

I have decided to write my blog in English to train me and to tell you what happens in this space in Japan. One of the enterprise accounts working groups in Financial Services Agency Japan gathered comments toward the draft of "evaluation and auditing of internal control in financial reports" in public this summer. Now these comments have disclosed. It is very interesting. It is said that this draft will be polished and become the Japanese version of Sarbanes-Oxley Act, so-called "J-SOX".

---

今回から、英語の勉強も兼ねて、英語の要約文もつけることにしました (いつまで続くか分からんし、面倒くさいときは付けないし、私の poor な英語力がこの Web 2.0 ワールドに露呈することになりますが、ま何事も精進ということで・・・)。それにガイジンちゃん達も、日本のこの分野で何が起きてるか興味あると思うし。(ちょっと語り口調が稲本っぽい。「クラブでもレギュラー狙っていかなくちゃいけないしぃ、来年のドイツもこのままじゃ予選突破できないと思うしぃ、ＸＸＸしぃ、★★★しぃ」)

下らん冗談はさておき、企業会計審議会 内部統制部会 から、7/13 「財務報告に係る内部統制の評価及び監査」の公開草案に対するコメントを募集していたわけですが、それが公開されてますね。

ぱっと見た感じですが、かなり面白いです。結構ボリュームあるので、細かな所感は後ほどまとめようと思ってますが、一点だけ。

前から思ってたんですけど、COSO の 5 つの構成要素に、新たに "IT の利用" ってのが加わってたのは、ちょっと違和感あったんですよねぇ。やはりそのような意見が多かったようです。IT ってのは 5 つの要素全般的に関わるものだし、内部統制システムを作る上で IT 活用しようがマニュアルで対応しようが、それは会社によってポリシー違うし強制できないし、勝手でしょ、と素人ながらに思う夜長でした。

この公開草案が「日本版 SOX 法: J-SOX 法」になるかの論議はさて置き、既に SOX の対応を進められている SEC レジストラントの国内企業が最も注力しているようなのが、職務の分掌 (Segregation of Duties: SoD) になります。いろいろと見聞きする中で、これがどうやら SOX の遵守、内部統制を確立する上で最も重要でやっかいな要素になりそうです。職務分掌は、財務データを扱う各プロセスにおける担当者の役割の明確化、権限の分離を意味します。例えば、入力・承認時の不正や誤謬を防止するために、受注システムと売掛金システムの担当者は、別人でなくてはいけません。つまり、IT の言葉で焼き直すと、その人の役割に基づいたアクセス管理 (Role Based Access Control: RBAC) が必要なってくるわけです。

「ふ～ん、こんなの出来てて当たり前じゃん。」

っておっしゃる方もいるかもしれませんが、その認識はかなり甘いと思われます。その当たり前のことを、大きな企業体 (しかも関連企業含む) で、膨大な業務プロセスがあって、ヘテロなシステム環境下で、実際にやろうと思うと死ぬほど大変になります。各システムのアクセス権限リストを１対１で照らし合わすだけならまだしも、それが複数のシステム間で n 対 n でのリストの照らし合わせが必要になった場合、どうチェックすればいいのでしょうか？

「ふ～ん、うちは ERP システムが一つのパッケージで動いているから、その中で SoD させるだけでいいんじゃん。」

本当にそうであれば、SAP や Oracle EBS のアドオン・モジュールとなる Virsa や Approva などの製品を部分最適的に導入するだけでいいのかもしれません。ただ、SOX に準拠しなければいけない企業の多くは、単一のパッケージで財務システムが動いているかというと、そうではありませんし、SOX 404 条が対象とするのは、財務システム (= ERP の会計モジュール) に限りません。SOX は財務報告書を作成する上での元ネタとなる、おカネを扱う全てのシステムを対象とします。つまり CRM、SCM、他の ERP モジュール、(そしてさらには、ごく一般的な情報システム群) を含む企業活動で必要なほとんどのシステムを対象にするわけです。また、それらを稼動させる OS、Database に対するシステム・オーナー、運用者、開発者の権限の SoD も実施する必要があります。

また、実際こんな調査結果も出ています。

「いいよ。うちはなんら売上を生まない内部統制に対して、新規の IT 投資をしないから。人手を介して対応するよん。」

確かにそのような選択肢もあるかと思います。但し、四半期ごとに求められる、半永久的な監査に対する作業を本当にマニュアルでやり続けるのでしょうか。考えるだけでゾッとします。その人員に関わるコストは中期的に見れば馬鹿にならないですし、また訳も分からず、毎度目視でアクセス権限リストをチェックさせられるプロセス・オーナーの仕事に対するモチベーションを考えてみてください。そして何よりも、信用はお金には替えられません。

さらに、日々微妙に変わる業務プロセスや人の採用・異動、それに伴う「いつ誰がこのシステムに対するアクセス権を付与したのか」の記録、つまり Change Management にどう対処し、どう SoD を実現するのかという問題もあります。また、アクセス権限の管理だけでなく、実際に「誰が、どのシステムにアクセスしたのか」を把握する必要もあります。まぁ、前者 (変化に対する SoD の自動化) は重要かもしれませんが、後者 (アクセス・ログ管理) は二の次かもしれません。SOX は Proactive かつ Preventive な予防措置的コントロールを求めてますので、アクセス管理とそのログの収集の優先順位は少し低くなります。より重要なのは、"Who did access what?" より "Who has access to what?" になります。

また、おカネを扱うシステムの一部を外部の企業に委託 (いわゆる ASP やアウトソース) しているのであれば、もしかしたら、その委託業社との内部統制レベルの整合性をとる必要が出てくるかもしれません。その委託先に SAS70 の提出を求めて、それがすぐ出てくればいいのですが。。。

さらに、こんなご意見；

「IT ベンダー風情が、自社の製品を売りたいがためにやって来て、分かっちゃいないのに J-SOX だの内部統制だの昨日今日覚えてきた言葉で煽らないでよ。実際やっているこっちは大変なんだよ。」

はい、おっしゃる通りです (すみません)。なんせ SOX ってば、天下の悪法って呼ばれてますし、実際ご担当されている方は本当に大変です。。。一方で、どことは言いませんが、外資系ベンダーの中には、訳も分からずただ煽っているだけの輩がいるのは事実です。この分野の現状を分かっていて、信用できるところと話をするべき、と思いますし、本当にツール (IT) を使ってご担当の皆さんのお仕事を楽にできるソリューションを提供できる会社は少ないと思います。Year 1 開始は目前に迫っていて忙しいかと思いますが、お時間ある時に是非サンにお声掛け下さい！　きっと実のあるお話が出来るかと思います。

と言うわけで、今いろいろ騒がれている内部統制に関する問題提起をしてみましたが (やりすぎ？)、今回はこの辺で。システム監査の視点からの意見は CISA の下道さん、それと Identity Management (ID の管理) や Identity Auditing (ID の監査) の技術的な観点からのコメントは工藤さんにお任せするとします。

産経新聞から最近の企業の不祥事に関するサーベイです。

　経営トップ向けの調査では、最近の不祥事について、「自社では起きない」と自信を示したのは一割強に過ぎない。これに対し「自社やグループ会社で起こりうる不祥事で危機感を持っている」と回答したトップは７４・５％にのぼり、不祥事への不安を抱える経営者の多さを鮮明にした。不祥事防止に向けた社内体制についても、八割が不備が残ると回答した。
　不祥事防止のために実践している具体策について回答を求めた項目（複数回答）では、「年頭あいさつ」などが七割、「社内報、イントラネット」などは過半数が実践。手間がかかる「事業所を回って語りかける」は四割未満だった。
Yahoo! ニュース （産経新聞） - 11月6日2時50分更新
自社の不祥事、経営トップは…　７４％「ありうる」　　経団連調査

やはり、性善説的なカルチャーなんですよね、日本って。ここで広い意味において「内部統制システムの構築」とか「職務分掌の徹底」なんて言っている経営者が一人でもいたら、神なのになぁ。。。

経団連の企業倫理に関するページはこちらです。

弊社の昨期の Form 10-K (Annual Report: 年次報告書) の中で Sarbanes-Oxley の対応や内部統制がどのように記載されているかを見てみました。なかなか興味深いです。

まず、RISK FACTORS の項目では、Page 59 にある通り SOX 404 条への遵守 (内部統制システムの確立) に関して、以下のように書かれています。

We face costs and risks associated with compliance with Section 404 of the Sarbanes-Oxley Act.

We continue to evaluate our internal control systems in order to allow our management to report on, and our independent auditors to attest to, our internal controls over financial reporting, as required by Section 404 of the Sarbanes-Oxley Act. As a result, we continue to incur substantial expenses and management’s time continues to be diverted. In addition, we acquired two publicly-traded companies in the first quarter of fiscal 2006. There can be no assurance that we will be able to properly integrate the internal controls processes of the acquired companies. If we are not able to implement the requirements of Section 404 in a timely manner or not able to implement them with adequate compliance with regard to the acquired companies, we might be subject to harm to our reputation and/or investigation by regulatory authorities. Any such action could adversely affect our financial results and the market price of our common stock.
FORM 10-K, ANNUAL REPORT PURSUANT TO SECTION 13 OR 15(d) OF THE SECURITIES EXCHANGE ACT OF 1934, For the fiscal year ended June 30, 2005, SUN MICROSYSTEMS, INC.

ここでは、「404 条にある財務レポートに対する内部統制に関して膨大なコストと時間を要している」こと、さらに「買収した 2 つの公開企業 (多分 StorageTek と SeeBeyond のこと) において、内部統制プロセスが適切に確立できているかどうかは確証がない」こと。また「もし、この 2 社を統合する過程でタイムリーに 404 条の要求をインプリすることができなければ、マーケットの評判や株価において損害を被ることになるだろう」とも述べられています。

さらに、この RISK FACTORS の他の項目には、「外部の企業にアウトソースしている業務において適切な内部統制が実施されていない可能性があること」 (Page 53 下) や、逆に「販社や顧客 (特に政府機関) との取引時に、サンのコンプライアンス状況について厳しいレビューや条件を突き付けられるケースが増えてきていること」 (Page 57 下) などが書かれています。

Page 106, 107 では登録監査法人の Ernst & Young からの報告とそれに対する署名があります。ここでは、連結貸借対照表やそれに紐づく損益計算書、株主資本、キャッシュフローの監査だけではなく、PCAOB (会計監視委員会) のスタンダードや COSO のフレームワークに基づいて、財務レポートに関わる内部統制の有効性についても監査を実施したことがレポートされています (つまり、外部監査人の E&Y は Sun に対して一般的な会計監査だけではなく、内部統制監査の役割も果たしていることになります)。

また、添付されている SeeBeyond との合併契約書 (AGREEMENT AND PLAN OF MERGER) の REPRESENTATIONS AND WARRANTIES OF THE COMPANY (表明及び保証) の中の 2.4 (c) には、Internal Controls という箇所 (A-11) があります。

　　 (c) Internal Controls. The Company and each of its Subsidiaries has established and maintains, adheres to and enforces a system of internal controls which are effective in providing reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements (including the Company Financials) for external purposes in accordance with GAAP, including policies and procedures that (i) pertain to the maintenance of records that, in reasonable detail, accurately and fairly reflect the transactions and dispositions of the assets of the Company and its Subsidiaries; (ii) provide reasonable assurance that transactions are recorded as necessary to permit preparation of financial statements in accordance with GAAP, and that receipts and expenditures of the Company and its Subsidiaries are being made only in accordance with appropriate authorizations of management and the Board of Directors of the Company; and (iii) provide reasonable assurance regarding prevention or timely detection of unauthorized acquisition, use or disposition of the Company’s assets that could have a material effect on the financial statements of the Company and its Subsidiaries. None of the Company, any of its Subsidiaries or, to the Company’s Knowledge, any of their respective employees or the Company’s independent auditors has identified or been made aware of (i) since the adoption of rules promulgated by the SEC pursuant to the Section 404 of the Sarbanes-Oxley Act of 2002, any significant deficiency or material weakness in the system of internal controls utilized by the Company and its Subsidiaries, (ii) any fraud, whether or not material, that involves the Company’s management or other Employees who have a role in the preparation of financial statements or the internal controls utilized by the Company and its Subsidiaries or (iii) any claim or allegation regarding any of the foregoing.

そして一番最後に CEO Scott McNealy と CFO Steve McGowan の宣誓があります。

CERTIFICATION OF CHIEF EXECUTIVE OFFICER
PURSUANT TO
18 U.S.C. SECTION 1350,
AS ADOPTED PURSUANT TO
SECTION 906 OF THE SARBANES-OXLEY ACT OF 2002
I, Scott G. McNealy, certify, pursuant to 18 U.S.C. Section 1350, as adopted pursuant to Section 906 of the Sarbanes-Oxley Act of 2002, that the Annual Report of Sun Microsystems, Inc. on Form 10-K for the period ended June 30, 2005 fully complies with the requirements of Section 13(a) or 15(d) of the Securities Exchange Act of 1934 and that information contained in such Annual Report on Form 10-K fairly presents in all material respects the financial condition and results of operations of Sun Microsystems, Inc.

Date: September 13, 2005　　　　　　　　　By:　　/s/ SCOTT G. MCNEALY
Name: Scott G. McNealy
Title: Chief Executive Officer

これは SOX 906 条で謳われている「定期報告書に対する証明書」にあたります。つまり、この Form 10-K が「証券取引法 13 条 (a) 項又は 15 条 (d) 項の規定に遵守していること」、「財政状態と経営成績を適正に表示していること」を、ここで表明しているわけです。

もし、意図的な虚偽が発覚すれば、この二人は最長 20 年の禁固刑、もしくは最大 500 万ドルの罰金が個人的に課せられるわけです。　　ｶﾞｸｶﾞｸ(((( ；ﾟДﾟ))))ﾌﾞﾙﾌﾞﾙ

先週は NRI 担当営業の後藤さんとニューヨークに出張 (右の写真はなんとなく SOHO)。NRI さんが "IT Control" をテーマに、日本のお客様をお連れして US での Sarbanes-Oxley への対応状況の視察ツアーを主催し、その中で弊社のオフィスにも立ち寄ってもらいました。Identity Management をテーマとしたセッションを持ったのですが、サンの外人のプレゼンで特に印象に残ったのが、 "Top 10 Control Violations -- Many addressable through Identity Management" という一枚のスライド。つまり「内部統制上の違反・欠陥で一番多い 10 項目-- そのほとんどは ID 管理によって統制可能」ってな内容です。その 10 つは何かというと；

1. Unidentified or unresolved segregation of duties
   特定できない、もしくは解決できてない職務の分掌
   


2. OS access controls on financial apps or portal not secure
   財務アプリケーションやそのポータルにおける、セキュアではない OS レベルでのアクセス制御
   


3. Database access supporting financial applications not secure
   財務アプリケーションが稼動しているデータベースへのセキュアではないアクセス
   


4. Dev staff can run business transactions in production
   本番環境において開発スタッフが業務処理をできてしまうこと
   


5. Lots of users with access to “super user” transactions
   Super User アクセス権限での処理ができる人がたくさん存在すること
   


6. Previous employees or consultants have system access
   退職した社員や契約切れの外部コンサルタントがシステムへのアクセスを持っていること
   


7. Posting periods not restricted within General Ledger application
   G/L (総勘定元帳) アプリケーション内での記帳期間が制限されていない
   


8. Custom programs, tables and interfaces are not secured
   カスタムのプログラムやテーブル、インターフェイスがセキュアでない
   


9. Procedures for manual processes not exist or not followed
   手作業でのプロセス / 手順が存在していない、もしくは従事されてない
   


10. System docs does not match actual process
    システムの文書と実際のプロセスがマッチしていない
    
    Source: Ken Vander Wal, Partner, National Quality Leader, E&YISACA Sarbanes Conference, 4/6/04

Ernst & Young のパートナーが、SOX のイベントで話した資料の抜粋なのですが、太字になっているのが、アイデンティティ・マネジメントによって解決できる項目になります。まあ、「ID 管理システムを入れれば、全て解決できますよ」とは言いませんが、これを見ていただければ、ID 管理によって、内部統制の主な要求のほとんどを対処できると認識して頂けるのではないかと思います。アイデンティティ管理は全般統制を徹底する上での基盤 (ベースライン) なのです。

その他、セッションでは、この分野でのパートナーである Mycroft が実際の構築事例なんかもしゃべってくれたんですが、いろいろありましてバタバタしてたためちゃんと聴けませんでした。。。またまとめて時間があるときに書きます。

話は変わりますが、中田点入れましたね！　いやー、good job!! 　ディウフが喜び過ぎてイエローもらってたのは笑いました。

update が遅れましたが、先週実施した「アイデンティティ管理・監査ソリューション セミナー」は大変好評のうちに終了しました。

な、なんと集客わずか 2週間程度で 115名も参加いただきました。これは事前登録者の約 8割の方が出席したということになります。当日は午前中雨に見舞われましたが、テーマがこれまで類に見ないものということもあり、出席率がかなり高かったです。こんなセミナーやったら、どれだけウケるかな？っというような個人的な軽い興味から実施してみたものの、これだけの反響があり、正直とっても驚いてます。（開始時資料が無かったり、スライドが出なかったり、イスが足りなかったりで、段取り悪くてすみませんでした。。。だってあんなに来るとは思わなかったですもん。。。） アンケート結果を拝見する限り概ね皆さん内容に関してはご満足だったようですが、テーマが広範に渡ったため、Sarbanes の話を聞きに来た人もいれば、IdM の話が一番面白かった方もいたようです。

私のセッションのなかのスライドで非常に単純ながら結構反応があったものを、一枚 up しておきます。Sarbanes Oxley への対処を始めとした、内部統制システムを構築する上で、「職務分掌 (職責分離; Segregation of Duty)」は非常に重要な要素となります。例えば、購買システムにおいて、発注担当者は支払いを担当してはいけない (=支払いシステムのアクセス権限をもっていけない）とか、システム開発者は本番システムにアクセスできない、逆に開発環境に対して運用者は手を加えられない、など財務データを扱う業務プロセスの役割分担や責任性を明確にし、不正や改竄が発生するリスクを極力低減しなければいけません。そのような要求に対して、個々のユーザの権限を個々のシステム対して直接割り当てるのではなく、ロール (役割) という概念で吸収することで管理性の高い、監査しやすいシステムを構築できるわけです。企業の広範なシステム群での「Role Based Access Control (RBAC; 役割ベースのアクセス制御）」は、職務分掌を徹底する上での基盤になるわけです。Identity Manager はどちらかというとバックエンドの単なる同期ツールだと思っていた人も、フロント系の管理システムとして使える、と改めて認識していただいた人もいました。

というわけで、日本でも今後一層「コンプライアンス」というものを軸にして、このアイデンティティ管理ソリューションを推進していく必要性を痛感できました。米国ではこれがビジネス・ドライバーになって Identity Manager は売れまくっているみたいですから。。。 前のエントリでも書いたように、コクドやカネボウの事件をきっかけに内部統制報告書の義務付けやそのシステムの構築が日本でも急がれています。NRI の佐々木さんがセミナーの中で言っていたように慣習法体系国家の日本では、ドラスティックで厳格な罰則規定（経営者個人に対する禁固刑や罰金）は施行されることはすぐにはなんでしょうけど。

SOX 法 404 条にあります内部統制に関する報告の義務が1年延長されることになったようです。

EXTENSION OF COMPLIANCE DATES FOR NON-ACCELERATED FILERS AND FOREIGN PRIVATE ISSUERS REGARDING INTERNAL CONTROL OVER FINANCIAL REPORTING REQUIREMENTS
FOR IMMEDIATE RELEASE 2005-25

Washington, D.C., March 2, 2005 - The Commission has further extended the compliance dates for non-accelerated filers and foreign private issuers regarding amendments to its rules under the Securities Exchange Act of 1934 that were adopted on June 5, 2003, pursuant to Section 404 of the Sarbanes-Oxley Act.
...
Under the latest extension, a company that is not required to file its annual and quarterly reports on an accelerated basis (non-accelerated filer) and a foreign private issuer filing its annual reports on Form 20-F or 40-F, must begin to comply with the internal control over financial reporting requirements for its first fiscal year ending on or after July 15, 2006. This is a one-year extension from the previously established July 15, 2005, compliance date for non-accelerated filers and foreign private issuers.

これによって、3 月決算の 30 社以上の SEC 登録日本企業の義務付け期間も 2006 年 3 月期から 2007 年 3 月期に延長されることになるはずです。

(Translate to English)

弊社のCEOが最近、US証券取引委員会(SEC)に登録している企業のすべてが対象となる「Sarbanes-Oxley Act（SOX, 米国企業改革法）」について公に語る中で、アイデンティティ管理の重要性について触れています。

若干の意訳が入りますが、こんなことを言っています。非常に興味深いです。

上場企業に勤めていて辞めてしまった社員の約20% は、以前の会社のシステムにアクセスすることが可能である。彼らは、やろうと思えば、Sarbanes-Oxleyの対象となる企業情報を改竄することも可能なのだ。
20% of former employees of publicly-traded companies have some degree of access to computer systems in their former businesses. They also have the ability to potentially alter corporate information now covered under Sarbanes-Oxley.

アイデンティティ管理は今やCEOにとって、ナンバー１のアプリケーションになってきている。なぜなら、誰がいつどのシステムにアクセスしたのかを知っておかないと、SOXに遵守するために財務情報の正確性を保証するCEOは、逮捕されかねないからだ。
"Identity management is our No. 1 application right now because CEOs go to jail if they certify their statements without a very solid comfort level that they knew who had access to each system,"

今のID管理システムが正しい人にアクセス権限を与えているかなんて、誰も自信が無い。もし裁判沙汰になったら、物的弱みとしてそこを突かれないように、あなた(CEO)達はただ祈るしかないのだ。
"None of us ever feel confident," Mr. McNealy said. "You've got to hope that your identity management system has given the right people access and that it is not deemed by some jury or judge or Eliot Spitzer as a material weakness.

このアイデンティティ管理システムの市場は、世界で4000億円以上もの規模のマーケットである。
Sun claims to be valued at US$4-billion.

ということで１年前はSarbans-Oxleyは天災だと言っていたCEO Scottも、今ではサンがID管理システムで儲けるための追い風となってくれるSOXを好きになったようです。