昨日参加してきたRSA Conference 2006の所感……最近何かと話題になっている「J-SOX法」の対応について。
展示会でも「J-SOX法対応」を謳っていた製品が数多く展示されていましたが、結局のところITで対応できる部分ってごく僅かですし、「やった方が良い」とされている事の多くが、実は既存のセキュリティ対策からそう大きく外れるものでも無いって感じがしました。
なので大慌てでJ-SOX法対応と称して新しいセキュリティソリューションの導入はあまりオススメできないかなぁ……と思ったり。
寧ろ組織としての体制や、手順・対応(プロセス)部分をシッカリと整備する事(出来ればCOBITに準拠した形で進めるのがベターかなぁ……)。その上で人手ではちょいツライ部分に対してソリューションを補助的に導入するというのが「カシコイ」対応なのかなぁ……と思ってみたり。
展示会でも「J-SOX法対応」を謳っていた製品が数多く展示されていましたが、結局のところITで対応できる部分ってごく僅かですし、「やった方が良い」とされている事の多くが、実は既存のセキュリティ対策からそう大きく外れるものでも無いって感じがしました。
なので大慌てでJ-SOX法対応と称して新しいセキュリティソリューションの導入はあまりオススメできないかなぁ……と思ったり。
寧ろ組織としての体制や、手順・対応(プロセス)部分をシッカリと整備する事(出来ればCOBITに準拠した形で進めるのがベターかなぁ……)。その上で人手ではちょいツライ部分に対してソリューションを補助的に導入するというのが「カシコイ」対応なのかなぁ……と思ってみたり。