【解説】
米国企業の現状に学ぶコンプライアンス・コスト

法規制の増加を見据え、長期的な視点でIT投資を考える

（2008年06月27日）

職務分掌を徹底している企業は半数に満たない

　各種の法律・規制は、コンプライアンスのためにスタッフの職務分掌を求めている。

　複雑なビジネス・プロセスを細分化して1人のスタッフだけに任せないようにすることは、不正行為や人為的ミスの防止策になる。例えば、銀行に現金を預け入れた後に、それを預金明細書と照合するというプロセスを1人に任せてしまえば、その担当者は非常に簡単に現金を盗めてしまう。

　SOX法は、財務プロセスとデータについて、IT部門の担当職務を分掌するという考え方を基本としている。だが、この点は、いまだに企業を悩ませているようだ。回答者のうち、職務分掌のポリシーを策定している企業は半数にも満たなかった（図2）。

図2：コンプライアンス業務における職務分掌の有無（資料：米国Nemertes Research）

　　　
　コストおよびシステム上の制約や人材不足といった理由で、職務分掌が不可能になっているケースも少なくないと思われる。そうした場合は、代替策として、ログを完全に取得するようにして監査に役立てたり、ビジネス・プロセスのレビューを頻繁に実施したりすることで、安全性を高めるように配慮すべきであろう。

コンプライアンス・ツールの導入は遅れぎみ

　もう1つのコスト要因はテクノロジーである。コンプライアンスにかかわる業務を手作業で行えば、多大なコストが発生することになるものの、回答者の大多数は作業を軽減するためのツールは導入していなかった。現状では、監査ログの取得やアクセス制御が必要なときに、既存のセキュリティ・ツール群で代用するケースが多いようだ。

　また、ストレージの価格は、これまでコンプライアンス・コストとして表面化しにくかったものの1つだ。だが、その状況は変わりつつある。ログのほかにも、運用データやアーカイブ、ログのメタデータなど、さまざまな種類のデータを保管しておくことが求められる今日、必要になるストレージ容量も増え続けている。

　このような事情に加えて、さらに回答者の半数強は、テープに移行すべきコンプライアンス関連のアーカイブを、しばらくの間SANに格納しておくということを行っていた。その結果として、1次ストレージとして利用できる性能を備えた高価なSANの中で、監査証跡としてしか使う機会がないようなアーカイブが、最も大きな容量を占めるという状態になっていた。

前のページへ < ｜1｜2｜3｜4｜5｜6｜ > 次のページへ