ドクターQがお届けするIT統制ブログ　ITサプリ

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第2回目です。

昨日、ニュースチェックされた方も多いかと思いますが、某警察署の交番に勤務する男性署員の私物パソコンから昨年末、空き巣被害者の名前など個人情報が含まれた複数の捜査資料がインターネットに流出しました。

この私物PCにも、P2Pソフト「Winny」がインストールされていました。こうしたP2Pソフト、そして仮想VPNツールが安易にインストールされているPCが、基幹ネットワークに簡単にアクセスできてしまうことが、いかにリスクが高いか、何より如実に語る事件だと思います。

SOX法時代のシステムには、ITによってこのようなリスクに対して確実な防御策を徹底することが要求されます。例えば、P2Pソフトや仮想VPNツールがインストールされたPCにはネットワークへのアクセスを許可しない仕組み、またそれらのソフトやツールの起動を制御できる仕組みが不可欠です。ファイアウォールやウィルス対策ソフトでは、それらの通信を検出できません。企業価値低下につながるセキュリティ･ホールを生み出す前に、ぜひ一刻も早い決断と実行を。

クオリティWEBサイトでは「ファイル交換ソフトによる個人情報漏えい防止は、規則だけでは不十分」のタイトルで、対策をご紹介しています。
興味をお持ちの方は、こちらをチェックしてみてください。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

いよいよ今回から、より具体的にSOX法時代のセキュリティ体制の構築方法を解説していきましょう。

今回取り上げるのは、ドキュメント管理。いまや業務効率を考える上で不可欠な存在であるメールコミュニケーション。従来、多くの企業でこのメールに見積書や商品企画会議の議事録、また顧客名簿などの機密文書がそのまま添付されて、やりとりされているケースが当たり前でした。しかし日本版SOX法施行後のオフィスでは、このスタイルは通用しません。

特に企業にとって「リスク」につながる可能性のある機密文書に関しては、「誰が」「何を」「いつ」「どうしたのか」に関して全て記録を残す必要があります。またファイルごとに暗号化や、アクセス権限を設定することも、リスクコントロールの観点からも重要になります。たとえば管理職は印刷可能にしたり、一般社員は閲覧のみにするなど閲覧者別にアクセス制限を設定することが必要になります。さらには万が一、機密文書が宛先誤送信された場合も、見れないようにファイルごとのアクセス制御も設定すべきです。

もはや、企業にとってセキュリティの最大の脅威はウイルスではなく、情報漏洩。情報漏洩対策を社員のモラルに頼る時代は終わりました。システムで情報漏洩防止に取り組むことが、日本版SOX法が要求する内部統制の絶対条件なのです。

クオリティWEBサイトでは「SOX法時代のドキュメント管理体制を構築する」のタイトルで、対策をご紹介しています。
興味をお持ちの方は、こちらをチェックしてみてください。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

2008年3月決算期からの適用が予定されている日本版SOX法。つまり、2007年3月には内部統制システムの導入を終えておく必要があります。実は時間がありません…。

一刻も早く準備を開始していただくためにも、今回は、内部統制が情報システム開発・運用体制に及ぼす影響に関して解説することにしましょう。

内部統制下では、例えば「開発担当者と運用担当者を分けることで不正を防止する」、「システム開発時のドキュメントとテスト結果を残す」、「アプリケーションの修整履歴とテスト結果を残す」などが必要になります。ありとあらゆる業務、作業、工程にログの記載が義務付けられることになるのです。

現状、日本企業の情報システム部門は、取引の長いSIベンダーと「あうんの呼吸」で作業を進めるケースも数多く見受けられます。「この機能、ちょっと使い勝手が悪いから修正をお願いできますか?」「了解です。上がり次第、お送りしますね」。時には、こんな電話のやり取りだけでアプリケーションの修整作業が進められることがあるそうです…。

ところが内部統制システム環境下では、こうした従来型は通用しません。まずアプリケーション修整に関する要求を文書化し、正式な社内決済プロセスを経て承認を受け、初めて修整作業を発注できるようになります。修整後は必ずテストを行い、テスト内容と結果を証拠として残す必要があります。

情報システム部門の仕事の進め方も、大きく変わることになります。
そのためにも、まずはみなさんの自発的な意識改革が必要なのかもしれません。
経営層や監査法人からアクションを待つのではなく、日本版SOX法施行に向けて、いまこそ情報システム部門発のアクションを!!

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

新年あけましておめでとうございます。
2006年も多忙な情報システム管理者のみなさんを癒すITサプリを、つぎつぎお届けします。ご期待ください。

さて、話はちょっと戻りまして。昨年末、忘年会で久しぶりに会った某大手メーカーのシステム管理者S氏もまた、誤解していました。「えっ。日本版SOX法って、会計中心でしょ。会計システムの見直しでいけるんじゃないんですか…?」

前回のブログでご紹介した通り、日本版SOX法は「内部統制制度の確立」を最大の目的にしています。単に現行会計システムのリニューアルやモディファイだけでは、内部統制は実現できません。適切な財務報告をするための適切な仕組みと手続き、それらの有効性の評価が義務付けられているのです。

そこで今回は、内部統制を実現するために、情報システムには具体的にどのような機能が要求されるのかをピックアップしてみました。 (下図)
確かに会計システムの整備は重要な要素ですが、その他にも様々な面で機能強化が必要になります。従来以上に、細部にわたってITマネジメントが不可欠になることを、強く実感していただけるのではないでしょうか。

例えば。これまでユーザ任せにしてきた部門システムを含むすべてのアプリケーションとクライアントPCに関して、利用者と利用状況、個人情報や機密情報の有無、アクセスセキュリティなどを、システム環境の中で正確に一元把握することが、極めて重要になります。

役割分担でみれば、経理や財務部門より、じつは情報システム部門のボリュームの方が圧倒的。
だからこそ、早めの準備を。2006年内に、どこまで準備を進めることができるかが、かなりのポイントです。

Dr.QがITサプリをお届けしました。次回もお楽しみに。