目次
SOX法コンプライアンスとは?
2002年サーベンス・オクスリー法(SOX法)は、米国企業に影響を与える規制である。これは、企業の財務報告慣行に対するより緊密な管理の必要性を浮き彫りにしたいくつかの金融スキャンダルを受けて、議会によって制定された。
目標:SOX法は、企業統治と財務統治の透明性を高め、企業内の個人が非倫理的または違法に行動するのを防ぐチェック・アンド・バランスを構築することを目的としていた。
適用対象:この規制は、米国に拠点を置くすべての公開企業、SECに株式または有価証券を登録している国際企業、およびそのような企業にサービスを提供する会計事務所や監査法人に適用される。
罰則:SOX法への不遵守は、数百万ドルの罰金または刑事有罪判決につながる可能性がある。
メリット:SOX法への準拠は、単に規制上の要件というだけでなく、強固な情報セキュリティ対策を奨励し、データの盗難を防ぐことができるため、優れたビジネス慣行でもある。
このコンテンツは、情報セキュリティに関するシリーズの一部である。
SOX法を遵守しなければならないのは誰か?
以下の企業はSOX法を遵守しなければならない:
- 上場企業
- 完全子会社
- 米国で公的に取引・事業を行っている外国企業
- 公開企業を監査する会計事務所
会計事務所と監査
SOX法では、監査機能と会計事務所を区別している。上場企業の帳簿を監査する監査法人は、その会社の帳簿管理、事業評価、監査を行うことは許されない。また、情報システムの設計や導入、投資アドバイザリーやバンキングサービスの提供、様々な経営問題に関するコンサルティングを行うことも認められていない。
企業および非営利団体
非上場企業、非営利団体、慈善団体は、SOX法規制をすべて遵守する必要はないが、財務情報を改ざんしたり、故意に破棄したりしてはならない。
内部告発者の保護
SOX法では、コンプライアンス違反や、内部告発者(連邦法違反の可能性について法執行機関に情報を提供した者)に対する報復を行おうとする組織に対して罰則を課しています。SOX法の内部告発者保護では、内部告発者に報復する者は最高10年の禁固刑に処される可能性があるとしている。
新規株式公開(IPO)
株式公開を計画している非上場企業は、株式公開前にSOX法を遵守しなければならない。
給与システム管理
SOX法では、給与システム管理の確立を規制しており、企業に対し、労働力、福利厚生、給与、インセンティブ、研修費用、有給休暇の計上を義務付けている。さらに、特定の雇用主は、倫理規定、スタッフ・トレーニング、コミュニケーション・プランを含む倫理プログラムの採用が義務付けられている。
主なSOX法コンプライアンス要件
以下のSOX法コンプライアンス要件は、SOX法規制の対象となる企業のIT組織に直接適用され、情報セキュリティ戦略に影響を与えます:
- 第302条-財務報告書の企業責任-公開企業は、証券取引委員会(SEC)に財務状況の報告書を提出する必要がある。SOX法では、報告組織の最高経営責任者(CEO)と最高財務責任者(CFO)が各報告書に署名し、その内容に関して個人的な責任を負わなければならないと規定している。最高経営責任者(CEO)および最高財務責任者(CFO)は、各報告書が真実であること、重要な情報を省略していないこと、それを保証するための管理体制を整備していること、報告書提出前90日以内にこれらの管理体制を検証したことを証明しなければならない。
- 第404条-内部統制の経営者評価 - SOX法では、企業経営者に「適切な」内部統制構造を整備する責任を課している。経営陣と外部監査人の双方が、統制構造の適切性を評価し、報告し、欠点があれば報告する必要がある。
- 第409条-発行体のリアルタイム開示-企業の財務状況や経営能力に重大な変化があった場合、企業関係者は投資家や一般大衆にタイムリーに知らせる責任がある。
- 第802条-文書改ざんの刑事罰-会社関係者などが、SECの管理運営に影響を与える可能性のある財務文書やその他の資料に変更を加えたり、そのような文書を隠したり、隠蔽したり、記入事項を改ざんしたりした場合、20年以下の罰金または禁固刑の対象となる。
- 第906条財務報告に関する企業の責任 - 誤解を招く、あるいは虚偽の財務報告を提出した企業関係者は、最高500万ドルの罰金および最高20年の禁固刑の対象となる。
SOX法コンプライアンス監査
SOX法コンプライアンス監査は、COBITのようなITコンプライアンス・フレームワークに従って実施されるのが一般的です。SOX法監査で最も広範な部分は、第404条に基づいて実施され、IT環境の4つの要素の調査が含まれます:
- アクセス-機密情報への不正アクセスを防止する物理的・電子的対策。これには、サーバーやデータセンターの安全確保、パスワードやロックアウト画面などの認証対策が含まれる。
- セキュリティ-財務データに使用される機器やネットワークにおけるセキュリティ侵害を防止するために配備されるスタッフ、慣行、ツール。
- 変更管理-どのように組織が新しいユーザーアカウントを定義し、ソフトウェア更新を実行し、ソフトウェアや構成への変更の監査証跡を維持するか。
- バックアップ-会社の敷地外に保管されているデータも含め、紛失した機密データを組織が確実に復元できるようにする方法。
SOX法遵守チェックリスト
以下のチェックリストは、組織におけるSOX法コンプライアンス達成のプロセスを正式化するのに役立つ。
| # | ゴール | 実践的なステップ |
| 1 | データの改ざんを防ぐ | ログインを追跡し、財務データに使用されるシステムへの不審なログイン試行を検出するシステムを導入する。 |
| 2 | 主要な活動のスケジュールを記録する | SOX法規定に関連するすべての財務データまたはその他のデータにタイムスタンプを適用できるシステムを導入する。そのようなデータは遠隔地の安全な場所に保管し、改ざんを防ぐために暗号化する。 |
| 3 | アクセスを追跡するための検証可能なコントロールを構築する | ファイル、FTP、データベースなど、実質的にあらゆる組織のソースからデータを受信し、誰がデータにアクセスし、変更したかを追跡できるシステムを導入する。 |
| 4 | セーフガードのテスト、検証、監査人への開示 | すべてのSOX法対策が適切に機能していることを、組織内の選ばれた担当者に毎日報告できるシステムを導入する。システムは、監査人にアクセス許可を与え、変更を加えることなくレポートやデータを閲覧できるようにする。 |
| 5 | セーフガードの有効性に関する報告 | システムを通じて流れたデータ、重要なメッセージやアラート、発生したセキュリティ・インシデントとその対処方法に関するレポートを生成するシステムを導入する。 |
| 6 | セキュリティ侵害の検出 | データを分析し、セキュリティ侵害の兆候を識別して意味のある警告を生成し、インシデント管理システムを自動的に更新できるセキュリティシステムを導入する。 |
| 7 | セキュリティ侵害やセキュリティ管理の失敗を監査人に開示する | セキュリティ侵害のログを記録し、セキュリティ要員が各インシデントの 解決策を記録できるシステムを導入する。監査員が、どのセキュリティインシデントが発生し、どのインシデントが緩和され、どのインシデントが緩和されなかったかを示すレポートを閲覧できるようにする。 |
Exabeam SOCプラットフォームによるSOX法コンプライアンス
SOX法コンプライアンスに関しては、規制の要件を理解することは戦いの半分に過ぎない。コンプライアンスを効果的に達成するには、適切なテクノロジー・スタックが必要です。適切なデータを収集し、SOX法規制が要求するセキュリティ管理と対策を設定するのに役立つツールは、コンプライアンスを迅速に達成し、組織のリスクを軽減するのに役立ちます。
次世代SIEMおよびXDRのリーディングカンパニーとして、Exabeam Fusionは、脅威の検知と対応のためのクラウド型ソリューションを提供しています。Exabeam Fusionは、行動分析と自動化を組み合わせ、脅威を中心としたユースケース・パッケージで、成果を出すことに重点を置いています。組織の全体的なセキュリティプロファイルを向上させ、SOX法などの規制へのコンプライアンスを維持するための体制を整えることができます。
情報セキュリティの主要トピックに関するその他のガイドを参照
コンテンツ・パートナーとともに、私たちは、以下の世界を探検する際にも役立つ、いくつかのトピックに関する詳細なガイドを執筆しています。情報セキュリティ.
著者:サイネット
- [ガイド】インサイダーの脅威とは何か?4つの防衛戦略
- [ガイド】インサイダー脅威の実例:3つの有名事例と4つの予防策
- [ホワイトペーパー】2024年セキュリティチームの現状調査
- [製品] Exabeam|AIを活用したセキュリティ・オペレーション
著者:Exabeam
- [ガイド] ネットワークの検知と応答:機能と代替案
- [ガイド】NDRソリューション:2025年に知っておくべき主な機能と7つのツール
- [ブログ】サイバーセキュリティの脅威:知っておくべきこと
- [製品] NetMon|リアルタイム・ネットワーク・トラフィック・モニタリング
著者:ラドウェア
