～本格的内部統制時代を迎えて～

　8月31日、東京コンファレンスセンター（品川）で「ITコンプライアンス・サミット2007 summer」が開催された。内部統制時代へ突入するタイミングでの今回のセッションの内容は、内部統制担当者にとっては非常に襟が正される内容となった。多くの内部統制についての書籍の著作で知られる青山学院大学大学院会計プロフェッション研究科教授八田進二氏の『「実施基準」というスタートから、「継続する内部統制」へ向けて』をはじめ、『トヨタ哲学にみる内部統制』（山口千秋氏）、『M&A時代の内部統制ソリューション』（サンマイクロシステムズ野々上仁氏）、『コンプライアンスに求められる“現実可能”なログ管理』（マクニカネットワークス西川典宏氏）と、ITガバナンスからソリューションまで幅広いテーマでセッションは展開された。特別セッションの『今問われる、企業の品格と情報倫理』では、眞木正喜氏、辻井重男氏、宮崎緑氏が登場した。
本家より「資産の保全」「ITの対応」が強化されたJSOX法
　企業、教育機関、政府機関、サービスプロバイダ向けのITセキュリティ管理ソリューションを世界150ヶ国に提供するソフォスの営業企画本部長・牛込秀樹氏、セールスエンジニアリングマネージャ・兜森清忠氏は、「セキュリティソリューションベンダーの内部統制への取り組み」と題したセッションを行った。ソフォスは、ウイルス/スパイウェア対策、ポリシー施行管理などの企業クリニカルを行って2007年上半期にソフォスがまとめたセキュリティ脅威レポートで、「検知されたマルウェアの累計数は25万7313件」
「六ヶ月間に検知された新種マルウェア総数は4万9429件」
「全メールの332通中一通が感染メール」
などといった傾向があったことが発表された。

牛込氏「脅威の加害者にならないことが大事」

　セッションの中で、ソフォスの牛込氏は、「IT施策では、20％の企業が既に内部統制に対応済みであるが、80％は何らかの見直しをしている」（Gartner社調べによる）と調査データを紹介。

　社内のセキュリティにおいては、内部情報の漏えいが大きな懸案事項だ。社員による情報漏えい、自宅のPCや社内のPCのウイルス感染による情報流出、パートナー企業の情報漏えいや情報紛失が、内部統制においても大きな問題だ。

　セキュリティの課題としては、「ウィンドウズ以外のOSを狙った脅威も増加傾向している。また、ウイルスに感染することによって他者への攻撃に利用され、被害者から加害者に転じてしまう危険があり、その対策が重要」と牛込氏は述べる。

　JSOX法では、内部統制において、本家米国版よりも「資産の保全」「ITの対応」が強化されている。そして、IT内部統制では、透明性や監査制が重要視されると同時に脅威から身を守るセキュリティが最重要課題となる。統合されたエージェントでポリシー施行を支援する「ソフォス・セキュリティ・アンド・コントロール」でセキュリティのリスクコントロールは徹底管理ができるだろう。

ウィルスの脅威の進化などを解説した兜森氏

　続いて、ソフォスの兜森清忠氏は、過去から現在までのウイルスなどの脅威の進化について触れ、セキュリティの保護について説明。脅威は無形化、潜伏し、特定企業や個人を狙ったものが増加している。目的はシステムの破壊から窃盗、詐欺の金銭目的へと移行し、亜種のウイルスは、短期間に大量発生し高速で感染する。そんな脅威から企業を守るには、迅速な対策が必須だ。情報漏えいを防ぐためには外部からの脅威だけでなく、アプリケーションの使用管理も必要になる。ソフォスの「Endpoint Security and Control 7.0」では「ワン」コンソールで、これらを統合管理できるため、IT管理者の負荷が劇的に軽減される。

　「セキュリティギャップが攻撃の照準となるため、すべてのプラットフォームを保護しなければ意味がない。ITマネージャーが社内のアプリケーション使用を管理できることも重要なポイント」と統合管理についてソフォス兜森氏は述べる。

　イベントの間に、セキュリティとソリューションと内部統制が徐々に一体感を持ち始めたのではと感じた。今、セキュリティビジネスは、内部統制時代を前に、1700億円市場に膨れ上がっている。

ソフォス株式会社（http://www.sophos.co.jp/）