「証券取引法等の一部を改正する法律」が正式に制定されその姿が見えてきたいわゆる「日本版SOX法」であるが、いまだ混乱が続いているようだ。
そもそもなぜこの「日本版SOX法」が分かりにくいのかというと、まずその呼び方が良くないのではないかと思う。「日本版SOX法」という呼び方がいつまでも使われるため、エンロンやワールドコムが・・・という話に始まり、サーベンスさんとオックスレイさんが、、、COSOフレームワークやCOBITってのがあってとか、概念的なカタカタナ言葉を羅列することになり、どうも実感の湧かない異国の話かということになってしまう。
海外で上場している企業は別として、国内企業に関してはまず日本の法律で何を要求されているのかということから検討をスタートすれば良いはずである。ここでは「証券取引法等の一部を改正する法律」によって「金融商品取引法」と呼ばれることになった「証券取引法」のうち、「財務諸表に係る内部統制」をしっかりやりなさいという部分がその対象ということになる。(新会社法でも各種内部統制の体制が求められているが、それはSOX法というよりは「内部統制」の話として進めなければならない。)
現代企業が全てソロバンと手書きで財務諸表を作成するなんていうことはないし、財務諸表のベースとなる会計情報や業務情報はIT上で管理されるため、当然「ITへの対応」も重要だということでITベンダーの出番となる。(もっともソロバンもある種のITであるので、SOX法対応ソロバンというのもあっても良いかもしれない・・・。)
日本版SOX法という文脈の中で「内部統制」という言葉が一人歩きしてしまっているのも「日本版SOX法」が分かりにくくなっている原因ではないかと思う。金融商品取引法において明確に要求されているのは「財務報告に係る内部統制」であり、それに対する経営者の評価を監査人が監査することなのだが、金融庁での検討過程で公開されている資料では、(一般的な)内部統制の4つの目的として「業務の有効性及び効率性」「財務報告の信頼性」「事業活動に関わる法令等の遵守」「資産の保全」が掲げられている。法律で求められている「財務報告に係る内部統制」の、「内部統制」についてのフレームワークとして「業務の有効性及び効率性」「事業活動に関わる法令等の遵守」「資産の保全」という「財務報告の信頼性」以外の目的が入ってきてしまうのでややこしい。またさらに、IT全般統制などIT自体の管理の議論も同時に行われることも多い。
もっとも、これは日本だけではなく米国や諸外国でも同様であって、財務報告の信頼性を求める米SOX法においても、その根拠として「業務の有効性及び効率性」「財務報告の信頼性」「事業活動に関わる法令等の遵守」を目的に掲げるCOSOフレームワークに基づいた監査が行われている。「これら目的には相互に関連があって・・・」というのは理解できるが、米国でも日本でも過去いろいろな経緯を引きずるがために、かえってわかりにくいことになってしまっているのではないだろうか。
いずれにせよ、いわゆる「日本版SOX法」コンプライアンスにおいて最も重要なのは「財務報告に係る内部統制」であり、まずは経営陣から社員に至る意識の改革、業務スタイルの見直し、各種ルールの整備とITを用いた統制環境の構築など課題が山積みであり、早急に着手するにこしたことはないだろう。
(関連情報)
■証券取引法等の一部を改正する法律(金融庁)
http://www.fsa.go.jp/common/diet/164/02/gaiyou/index.html
http://www.fsa.go.jp/common/diet/164/02/hou/index.html
■財務報告に係る内部統制の評価及び監査の基準のあり方について(金融庁総務企画局企業会計審議会内部統制部会、2005/12/8)
http://www.fsa.go.jp/news/newsj/17/singi/f-20051208-2.pdf
マイクロソフトがWindowsユーティリティソフトウェア開発ベンダーであるWinternals Softwareを買収したらしい。CMUの卒業生で同社の創設メンバーでもあるMark Russinovich, Bryce Cogswellが運営するコミュニティサイトSysinternalsは優れたユーティリティソフトをフリーで提供していることで知られ、リバースエンジニアリングやフォレンジック等セキュリティ関連の業務においてもSysinternalsの提供するツールが使用されることが少なくない。
今後も彼らのツールがフリーで提供され続けるのか気になるところだ。
ツールの提供停止を心配しダウンロードが殺到しているのか、同社のサイトにはつながりにくくなっている。
(関連情報)
■Winternals Software
http://www.winternals.com/
■Sysinternals
http://www.sysinternals.com/
■Microsoft buys Windows utility software maker(CNET, 7/18)
http://news.com.com/2100-1016_3-6095376.html?part=rss&tag=6095376&subj=news
■Microsoft Acquires Winternals and Sysinternals(Slashdot, 7/18)
http://slashdot.org/article.pl?sid=06/07/18/1545258&from=rss
先日あるセキュリティ関係者の集まりの中で、「スピア型攻撃」という表現は日本だけで使われていて、海外では特定対象だけをピンポイントで狙ったトロイ等による攻撃を「ターゲテッドアタック(Targeted Attack)」と呼ぶのが一般的だという話題で盛り上がった。
「スピア型」という言葉がセキュリティの分野で使われるようになったのは、「スピア・フィッシング(Spear Phishing)」からで、フィッシング(Phishing)攻撃のうち特定対象のみを狙ったものを意味する。これは「魚突き」を意味する「スピア・フィッシング(Spear Fishing)」からの連想で生まれた表現と考えられる。この「スピア・フィッシング」や「スピア・フィッシング・アタック」という用語は海外で広く用いらているが、「スピア型攻撃(Spear Attack?)」という表現はあまり目にすることがないように思う。
「ターゲテッド・アタック」や「特定組織を対象とした攻撃」などという表現もまどろっこしいので「スピア型攻撃」と一言で表現した方がすっきりするのかもしれないが、海外とのやり取りの中では誤解を生む可能性もある。
上記の認識が正しいかどうかは定かではない。意見や情報のある方はぜひお寄せいただきたい。
紹介が遅れてしまいましたが7月18日(火)神戸のCMU日本校にて「センサーネットワークにおけるセキュリティ、産業界のトレンドと研究動向」と題した公開セミナーを開催します。
今回は、米国ピッツバーグ本校よりセンサーネットワーク/アドホックネットワーク分野で活躍中のAdrian Perrig助教授が来校し講演します。
またセンサーネットワークとは関係ありませんが、全般的な情報セキュリティの話題について、セキュリティ・コンサルタントのNeil Bortnak氏による「情報セキュリティ:新たな方向性と従来の問題」と題したプレゼンテーションもあわせて行います。
どちらの講演も英語で通訳はありませんが、興味のある方は参加無料となっていますのでぜひご参加ください。(要事前申込み)
(セミナー概要・申込)
■カーネギーメロン大学日本校情報セキュリティセミナー(カーネギーメロン大学日本校)
http://www.cmuj.jp/060718seminar/index.html
私が最初に読んだトフラー夫妻の著作は1991年の「パワーシフト」だった。何気なく手にしたその本には、刺激的な未来の姿が描かれており大変興奮したのを覚えている。パソコンはまだマニアのもので、インターネットは限られた研究者だけが使っていた当時、その本に書かれた未来社会は夢物語にも思えたが、多くが現実のものとなった。
学生だった私は知識が力の源泉となる未来の姿に思いを馳せ、授業の課題として将来の軍事・国際関係における知識と情報の役割の変化についてレポートをまとめた。その後いわゆる情報化の波によって、インターネットや携帯電話の普及など、社会や組織、我々のライフスタイルは急激に変化した。この間、私自身は全国のセンサー情報を集約し処理・判断した結果を航空機やミサイルなどのハードウェアとそれを操る人・組織に伝える兵器管制という業務を経験した後、軍事における情報化(RMA)、システムのオープン化とそれに関わる研究開発、情報技術を駆使し組織変革をはかり徹底した合理性を追求する外資系コンサルティングの世界、そしてまさに知識と情報が力の源泉となる情報セキュリティの世界、様々な技術と組織そして社会の変化に実際に関わることとなり、今振り返ると自分自身のキャリアの原点はトフラー氏の「パワーシフト」にあったようにも思える。
今回の「富の未来」は「パワーシフト」以来の15年ぶりの大作ということで著者らのこれまでの活動の集大成とも言える作品となっている。現在そして今後の社会において情報・知識が重要な役割を果たすというこれまでの基本路線を踏襲しつつ、今後さらに社会や技術の変化は加速し、組織の意思決定の速度、変化する能力がこれまで以上に重要となるとしている。確かに高度な情報処理や地球規模での知識の交換を容易に行うプラットフォームが整備された現在、それらを活用することによって様々な分野での進歩や変化が加速するという主張は感覚的にも理解できる。このような時代において、時間というものが経済学上重要な要素となり、企業では時間の経済価値を意識した戦略が求められる。
また、これまで経済学の枠組みで重視されなかった、家庭内での生産活動やボランティアなどの生産消費者にも焦点をあて、企業における労働を消費者自身に外部化するなど新たな経営アプローチに関するヒントも多く提供している。その他、遺伝子工学が石油産業に匹敵するエネルギー産業になるバイオ経済、高齢化問題に対する創造的対策など刺激に富んだ未来社会が描かれている。
やや概念的な記述が多く、ある程度前提知識がないと読みづらい部分もあるかもしれないが、広範な分野を扱っているので誰でも興味深いトピックをいくつか見つけることができるだろう。これまでの大きな社会の変化を予見してきたトフラー夫妻の新作だけに、社会、技術や経済などの方向性を捉え、今後の自分や組織のあり方についての長期的なビジョンを構築する上で大変参考になるだろう。
【書籍】
富の未来 上・下巻
A. トフラー (著), H. トフラー (著), 山岡 洋一 (翻訳)
講談社(2006/06/08)
各¥1,995 (税込)
※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。
最近のコメント