日本版SOX法・徹底解析

2008年終盤、世界を巻き込む金融危機が訪れた。厳しい状況の中で生き残るべく、各企業は経営の効率化とコスト削減に必死だ。そうした中、セキュリティ投資にもより高い効果が求められる。セキュリティ市場に詳しいIDC Japan セキュリティ リサーチ マネージャー 花岡秀樹氏を訪ね、効果の高いセキュリティ投資について話をうかがった。安全性を向上させるだけではなく企業価値をも向上させるようなセキュリティ投資を行うにはどうすればいいのか。また、どのようなポイントを意識して取り組めばいいのだろうか。

http://www.sbbit.jp/article/10878/

≫2月6日開催セミナー「コンプライアンス強化、効果的な投資につなげるための情報セキュリティ再点検」

（09/02/02）

不況の中内部統制が引き続き市場を牽引

IDC Japan

セキュリティ リサーチ マネージャー

花岡秀樹氏

　まず花岡氏には、昨今世界を騒がせている金融危機がセキュリティ市場に与えた影響について話をうかがった。「2008年10～12月期のデータを現在集計中なので細かいところまでは把握できていませんが」と前置きしつつも、IT市場全体が予想よりも伸び悩みそうだと花岡氏は語った。

　IT市場全体が厳しい風にさらされる中、情報漏えい対策、コンプライアンスが2008年のセキュリティ市場のドライバとなった。いずれも内部統制実現のために必要な対策であり、IT市場の他のマーケットに比べれば影響を受けにくい。実際に2008年11月にIDC Japanが行った緊急アンケートによっても、セキュリティ対策をコスト削減の候補として挙げた企業は多くない。ただし、例年1～3月期に見られるような駆け込み需要は少ないのではないかと花岡氏は見ている。

　続いて2009年のトレンドについて、花岡氏の予想を聞かせていただいた。それによれば、金融危機の影響は引き続きIT市場全体にもセキュリティ市場にも見られるだろうとのこと。セキュリティ市場はマイナスとなるほどではないものの、成長は減退すると考えられている。また、情報漏えい対策とコンプライアンスがドライバとなって市場を牽引していく状況も、変わらず続く。一方、大きな変化として花岡氏が考えているのは、アプリケーションレベルでセキュリティをコントロールするような、一歩進んだコンテンツセキュリティが台頭するだろうということだ。たとえばメールセキュリティでは、スパム、ウィルスチェックなどの単機能製品ではなく機能複合型の製品が一般化していく。広くDLP（Data Loss Prevention）と呼ばれる機能をも取り込み、内部からの情報漏えいにも対応していくという。

　2008年に引き続きセキュリティ市場を牽引していくと思われている情報漏えい対策、コンプライアンスといった要素も、2009年には少し意味合いが変わってくる。2009年には日本版SOX法施行後初めて、対象となる各社の監査結果が示されるからだ。日本監査役協会の調査では株式上場企業の8社に1社、新興市場だけに限れば実に4社に1社に大きな問題があるとされている。監査法人から重要な欠陥があると指摘されるか、対応が間に合っていないために意見不表明や限定意見とされるのではないかと考えられているのだ。欠陥が指摘された企業は、対策に取り組まなければならない。日本版SOX法による市場牽引効果はまだ続いて行くと、花岡氏は言う。

「欠陥を指摘される企業がある一方で、当然ながら不備なしとされる企業も出てきます。インテグレータはこうした企業での実績を分析し、ノウハウを積み上げていくでしょう。ITの側面のノウハウを持つインテグレータと、法的側面のノウハウを持つ監査法人とが補い合えれば、文章化からシステム化へとスムーズに進展するのではないかと考えています。」

コンプライアンスの達成度は企業判断の指標にも

　施行から初の監査報告ということもあり、2008年から2009年にかけては日本版SOX法に注目が集まっている。しかし最近は、別の角度からもコンプライアンスを重要視する声が上がっているという。

「本来コンプライアンスには、複数の意味合いがあります。企業ビジネスの改善、ステークホルダの保護などです。資金調達にも影響する場合があります。」

　コンプライアンスの達成度や情報漏えい対策の実施内容が、企業の格付けに影響し始めているのだと、花岡氏は語る。情報漏えいなどを企業のビジネスリスクの一要素とする考えが広まり、コンプライアンスの達成度によって貸付期間や金額に差が出る場合もあるのだという。金融機関だけではなく、大手企業の中には製品や材料の供給元など、取引先としての信頼度を計る際の判断基準として、コンプライアンスの達成度や情報漏えい対策の有無を見る場合が増えているということだ。コンプライアンスの達成度やセキュリティの完成度を高めることが、企業価値の向上につながる時代になってきたといえるだろう。

「BtoBの取引において、相手の企業との間にはさまざまな情報のやりとりが発生します。中には顧客の情報もあるかもしれません。そうした情報を安心して共有できる相手という意味で、コンプライアンスの達成度が高い企業が選ばれ始めているようです。」

自社を外から見た視線で対策ポイントの洗い出しを

「セキュリティ対策を行っている

ことを対外的にアピールしていけば、

さらに効果的でしょう」

　セキュリティ対策のコストを削減する企業はあまり多くないと考えられているが、かといって各企業に余裕があるわけではない。むしろ、コストを削減していく中でどうしても削減できないのがセキュリティ対策だということだ。であれば、そのような厳しい状況の中で行われるセキュリティ対策に無駄があってはならない。投資効果を高めるためにはどのようなポイントに注力して対策に取り組むべきか、花岡氏の考えを聞いてみた。

「投資に対して大きな効果を得るという観点でポイントを挙げるとすれば、自社を外から見た場合のことを考えてみるといいでしょう。どのようなポイントに対策をしている企業なら安心してつきあえるかと考えてみて、そのポイントに注力してください。対策を行っていることを対外的にアピールしていけば、さらに効果的でしょう。」

　対外的にアピールしやすいポイントに力を入れていくことで、セキュリティへの投資を企業価値向上に直結させられる。取引先から見てもわかりやすいような、業界やビジネス形態に特化したポイントに注力していくのがいいだろう。業界のガイドラインがあるなら、そのガイドラインに従って対策を進めていけばアピールしやすいと、花岡氏は語る。それらのポイントは、業界として気をつけるべきポイントであり、セキュリティ上欠かすことのできないポイントでもある。また、業界を問わず重要で取引先にアピールしやすい対策として、情報漏えい対策は常に意識しておくべきだと花岡氏は言う。

　さらに対策ポイントを絞り込みたい場合は、自社のリスク分析をしっかり行うとよいと花岡氏はアドバイスしてくれた。自社のどこに大切な情報や止まっては困るシステムがあるのかを確認し、きちんと把握しておかなければならない。確認の際はウィルスやスパイウェアのようなインターネット側からの攻撃にとらわれず、広い視点でチェックすることが重要だ。たとえばオンラインショップを運営している場合は、サーバやネットワーク機器のダウンタイムがそのままビジネスの機会損失につながる。機密情報や顧客情報を日常的に扱う職場では、不注意にしろ悪意にしろ、メールやFAXの誤送信ひとつで取引先の信用を失う危険性が潜む。そうしたリスクを知り、リスクをコントロールし、対策を行うリスクを選択することで、無駄な投資を避けられる。

　経済的な厳しさは否めないが、ここで委縮してしまっては景気が上向いてきたときに出遅れてしまう。自社のリスクをしっかり分析しておけば、いつでも、すぐに次の攻めの一手を打てるよう備えられるはずだと、花岡氏は話してくれた。

　そのためにも、今年はアンテナを張り巡らせて情報収集を進めることをおすすめしたい。2月6日に開催が迫った「コンプライアンス強化、効果的な投資につなげるための情報セキュリティ再点検」と題されたセミナーでは、花岡氏が基調講演に登壇する。事前登録制で聴講は無料なので、こうした機会を活用して情報収集を進めておくとよいだろう。