「Sarbanes-Oxley Act」 (SOX:サーベンス・オクスリー法) としても知られている 「Public Company Reform and Investor Protection Act of 2002」 (上場企業会計改革および投資家保護法) は、今日では米国の上場企業によって最も重視されています。大規模な企業スキャンダルで頂点に達した、不審な財務会計に関する疑惑に応え、優良な企業統治を確立して米国市場の信頼を回復するために SOX 法が制定されました。2002年に施行されたこの法律は、米国証券市場への上場企業が対象で、NASDAQ上場企業である日本企業も含まれます。
これに習い、日本でも俗に言う「日本版 SOX 法」が整備されました。上場企業およびその連結子会社に、会計監査制度の充実と企業の内部統制強化を求めており、2008年4月に施行されます。
米国SOX法は、コーポレートガバナンスの強化により企業会計や財務報告の透明性・正確性を高めることを目的として制定されたものですが、中でも注目されるのは404条です。SOX法404条は、公開企業の経営者に対して米国証券取引委員会(SEC)に提出する毎年の年次報告書の中に、財務報告に係わる内部統制の有効性に関する経営者の評価を含めることを義務付けています。そして、会計監査人は、経営者による内部統制の評価を証明し、報告しなければならないと規定しています。 また、SOX法404条は、企業が適切な内部統制のフレームワークを選択・実施することを求めていますが、多くの企業は、米国トレッドウェイ委員会組織委 員会(COSO:the Committee of Sponsoring Organization of the Treadway Commission)が1992年に発表した「内部統制の統合的枠組み」を、内部統制のフレームワークとして採用しました。
広く認識されたITガバナンスのフレームワークとしては、COBIT (Control Objectives for Information and related Technology) があります。COBITではITを4つの管理プロセスと34のITプロセスとして定義し、それぞれのプロセスに対する習熟度6段階 で計ることになっています。COBITは日本版SOXの求めるITの統制として充分に利用できるものです。
SSH Tectia は、COBITのDS5項目 (システムセキュリティの保証)の部分への対応を支援します。機密性、統合性および認証を企業のネットワークにおけるセキュリティ サービスとして組み込むことによって、SSH Tectia は財務データの違法な修正、または会計情報への無許可のアクセスを防ぎ、財務報告の信頼性を高めます。オプションでスマート カードなどのハードウェア トークンも使用できる強力なユーザ認証によって、認証がユーザの真の識別に基づいていることを確実にします。これにより、無許可のデータ アクセスのリスクを回避できます。
システムセキュリティの保証 | SSH Tectia の対応 |
| DS5.1 セキュリティ対策管理 | 一元管理機能 により、セキュリティ方針のメンテナンスとモニタリングが可能 |
| DS5.2 識別、認証、アクセス | 強力なユーザ認証により、会計と他の財務データに、合法的なユーザ又はユーザ グループのみにアクセスを制限 |
| DS5.3 データへのオオンライン・アクセスの安全性 | データへの不正アクセスをするためにパスワードの盗難やコネクション ハイジャックを、守秘性、完全性と認証により、防ぐ |
| DS5.7 セキュリティ監視 | システム管理者も含む、サーバーへのユーザアクセスに関して、ログと警告の収集で集中監視 |
| DS5.8 データ分類 | エンドツーエンドのデータトラフィック暗号化により、全ての通信データの機密種別ポリシーを向上させます |
| DS5.9 IDとアクセス権の中央管理 | 様々なサードパーティ製ID管理およびアクセス管理ソリューションをサポート |
| DS5.10 違反行為と安全対策活動の報告 | 安全なコネクション・ログを記録して、ITセキュリティ管理が定期的に適切なエスカレーションを確実にするようレポートを作成 |
| DS5.11 インシデントの処理 | 迅速かつ的確なセキュリティインシデントへの対応のための、Secure Shell に基づく安全なコミュニケーション機能 |
| DS5.13 取引相手との信用 | 信頼できる取引先認証のために、パスワード、トークンやスマートカードを含む幅広い認証方法をサポート |
| DS5.16 信頼できるパス | 企業ネットワーク、ユーザーとシステム間、またシステム間での機密データ通信のために、守秘性、完全性、および認証による、信頼のある経路を提供 |
| DS5.18 暗号化鍵管理 | 認証鍵の配布、管理、失効を幅広くサポートすることによりPKIと統合。 小規模な環境のためにPKIを使用しない簡単なホスト鍵管理を提供。 |
SSH Tectia は、ワークステーションとサーバもしくはサーバ間のデータ トラフィックをエンドツーエンドで暗号化し、ネットワーク アプリケーションに透過的セキュリティ層を提供することにより、ビジネス・クリティカルなアプリケーションを保護します。ビジネス アプリケーションを保護することよって、財務報告データなどの機密情報が企業のネットワーク内を通過する際に信頼性の高いパスを提供し、一般的なネットワーク攻撃に対するセキュリティを確保します。
管理者は、Secure Shell プロトコルに基づいた、セキュアなリモート管理のための SSH Tectia を使用することにより、大規模な異機種混在型ネットワーク環境でサーバを管理できます。ソフトウェアのインストールなどの、さまざまなシステム管理オペレーションでは、異なるタイプのデータに対する広範囲のアクセスを許可する、高度なシステム特権が必要になることがよくあります。一元管理用プラットフォームである SSH Tectia Manager の監視機能により、組織でのシステム管理作業を含む監査と制御の効果的な実施を可能にします。サーバ アクセス データは管理システムデータベースに一元的に保管されるため、継続的で信頼性の高い方法でアクセスおよび認証データを監査できます。さらに、SSH Tectia Manager内のすべての管理者アクセスは監査目的のために記録されます。
