« 2006年12月 | トップページ | 2007年2月 »

■SOX法時代のセキュリティ体制へ■
実施基準(公開草案)を通して理解すべき、内部統制のポイント 6/6

金融庁のWebサイトで現在公表中の「財務報告に係る内部統制の評価及び
監査に関する実施基準(公開草案)」。実施基準案に登場する「財務報告
に係る全社的な内部統制に関する評価項目の例」に着目し、そこでの評価
項目を通して、情報システムの整備・強化ポイントを把握することを目的に、
本シリーズを進めてきました。

シリーズラストとなる今回は、「ITへの対応」に関する評価項目をチェックした
いと思います。財務報告に係る全社的な内部統制に関する評価項目の例/
ITへの対応には、5項目があげられていますが、5項目の内、情報システムに
対して全社的統制に関するニーズが明確なのは、2)と4)です。

2)経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏ま
 えた方針を明確に示しているか。

↓↓↓↓↓↓↓

この項目では情報システムに対して、IT資産管理機能を要求していると考え
られます。具体例としては、下記のような情報を正確に把握した上で、内部
統制に関する方針を打ち出すことが要求されます。

◎ハードウエア情報収集
◎ソフトウエアのライセンス情報収集
◎使用者情報
◎購入(資産区分)情報

これらの情報が正確に把握できる、PC資産管理台帳をベースに方針作成を
スタートすることが重要です。やはり内部統制成功の第一歩はIT資産の棚卸
しである、ということがこの項目から把握できます。

4)ITを用いて統制活動を整備する際には、ITを利用することにより生じる新
  たなリスクが考慮されているか。

↓↓↓↓↓↓↓

この項目では、情報システムに対して、社内に存在するITリスクを予測できる
監査レポートの作成機能が要求されていると考えられます。監査レポートに
は、具体的に下記のような内容が記述されることが必要となるでしょう。

◎ユーザID・パスワード管理状況解析レポート
◎重要アプリケーションへのアクセスログ解析レポート
◎機密文書の操作ログ解析レポート
◎不正アプリケーション起動記録解析レポート
◎セキュリティソフトのパッチ適用状況解析レポート
◎個人情報ファイルの運用状況解析レポート
◎セキュリティポリシ違反PCの接続拒否状況解析レポート

これらの情報を把握することで、今後のITリスクの予測が容易になります。

Chart_070130

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Q救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Q救室」はこちら>> 内部統制Q救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

情報システムQ救隊

1月 31, 2007 クオリティ, ビジネス, 内部統制, 日本版SOX法, 法制度 | | トラックバック (0)

日本製エンタープライズソフトの連携で価値提案する「MIJSカンファレンス」に出展いたします

「MIJSコンソーシアム」が主催するイベント“MIJSカンファレンス「Japan」2007”
が、「MIJSが日本のソフトウェアビジネスを変える」をテーマに、東京コンファ
レンスセンター品川にて2007年2月1日(木)に開催されます。

今回のカンファレンスにおいて、クオリティは【製品連携セッションB-5】にて、株式会社ビーエスビーの「Loganizer」と連携した監査証跡ソリューションをご紹介いたします。

本ソリューションは「MIJSカンファレンス B-5製品連携セッション5で発表いたします。

【詳細・申込はこちら】
http://www.mijs.jp/conference/070201.html
※お申込みの際には、セミナー認知経路欄で「クオリティ」を選択いただけますようお願いいたします。

カンファレンスには、基調講演としてソフトブレーン株式会社マネージメントアドバイザーの宋 文洲氏や、「プロジェクトX」の生みの親、日本放送協会エグゼクティブ・プロデューサ、今井 彰氏の講演が予定されているほか、参加企業による【製品連携トラック】の展示、著名な出演者によるパネルディスカッションも予定されています。

【B-5製品連携セッション5】 15:30-15:55
「監視証跡ソリューション(QAW/QND、Loganizer連携ソリューション)」各企業に存在する多数のPCとサーバには、企業活動を支える重要なデータベースや個人情報が散在しています。これらの情報漏えいと不正アクセスを抑止するとともに、万が一の場合に原因調査や査証追跡を支援するソリューションをご提案します。
(講演:株式会社ビーエスピー)

【クオリティ出展内容】
・QNDインテル「vPro」対応ソリューション
・監視証跡ソリューション(QAW/QND、Loganizer連携ソリューション)

【MIJSカンファレンス「Japan」2007 開催概要】
・日程  :2007年2月1日(木) 10:30~ (10:00 受付開始)
・会場  :東京コンファレンスセンター品川 5F
・最寄駅 :JR山手線・京浜東北線・東海道線・横須賀線「品川」駅または京浜急行「品川」駅から徒歩約5分
・参加費用:無料
・主  催:MIJSコンソーシアム
・協  賛:日本アイ・ビー・エム株式会社
      :日本オラクル株式会社
      :日本BEAシステムズ株式会社
      :マイクロソフト株式会社
      :インテル株式会社
      :デル株式会社

【詳細・申込はこちら】
http://www.mijs.jp/conference/070201.html
※お申込みの際には、セミナー認知経路欄で「クオリティ」を選択いただけますようお願いいたします。

Mijs_1

1月 26, 2007 パソコン・インターネット, ビジネス | | トラックバック (0)

■SOX法時代のセキュリティ体制へ■
実施基準(公開草案)を通して理解すべき、内部統制のポイント 5/6

いよいよ公開間近となった「財務報告に係る内部統制の評価及び監査に関する実施基準」。しかし、公開を待ってからの準備開始では遅すぎます。この期間でまずすべきことは、内部統制が情報システムに要求する機能を正確に把握し、現状のシステムとの差分をクリアにすることです。

そこで本シリーズでは、現在金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」に記載されている、「財務報告に係る全社的な内部統制に関する評価項目の例」に注目。それらの評価項目を通して、情報システムの整備・強化ポイントを把握することを目的に進めています。

さてシリーズ5回目の今回は、「情報と伝達」に関する評価項目をチェックしたいと思います。財務報告に係る全社的な内部統制に関する評価項目の例/“情報と伝達”には、以下の6項目があげられています。 このうち、全社的な情報システムに対してニーズが明確なのは、1)、それから3)、4)の3項目です。

1)信頼性のある財務報告の作成に関する経営者の方針や指示が、企業内のすべての者、特に財務報告の作成に関連する者に適切に伝達される体制が整備されているか。

↓↓↓↓↓↓↓

情報システムには、経営者の内部統制に関するメッセージなどを全社員に対して、確実に配信し、また把握させる機能が重要になります。

◎強制POP-UP画面表示機能
◎ファイルの操作ログ取得

などが不可欠になります。特に、ファイルの操作ログを取得することで、「社員に対して配信された社長メッセージが確実に閲覧されているか」をチェックできます。逆に閲覧していない社員のチェックも可能になります。

3)内部統制に関する重要な情報が円滑に経営者及び組織内の適切な管理者に伝達される体制が整備されているか。
4)経営者、取締役会、監査役又は監査委員会及びその他の関係者の間で、情報が適切に伝達・共有されているか。

↓↓↓↓↓↓↓

これらの2項目は共通して、客観的な監査レポートの定期作成を要求していると思われます。レポートを通じて、社内の統制活動の有効性を立証することが可能になります。監査委員会が要求するのは、下記のレポートが統合された監査レポートになるでしょう。

◎ユーザID・パスワード管理状況解析レポート
◎重要アプリケーションへのアクセスログ解析レポート
◎機密文書の操作ログ解析レポート
◎不正アプリケーション起動記録解析レポート
◎セキュリティソフトのパッチ適用状況解析レポート
◎個人情報ファイルの運用状況解析レポート
◎セキュリティポリシ違反PCの接続拒否状況解析レポート

有効性を立証するだけでなく、監査レポートの分析によって、社内に潜むリスクを解析できます。また将来的に必要になる対応策の検討も可能になります。

Chart_070117

いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Q救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Q救室」はこちら>> 内部統制Q救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例/情報と伝達」についてご紹介します。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

情報システムQ救隊

1月 24, 2007 クオリティ, パソコン・インターネット, ビジネス, 内部統制, 情報漏洩対策, 日本版SOX法, 法制度 | | トラックバック (0)

■SOX法時代のセキュリティ体制へ■
実施基準(公開草案)を通して理解すべき、内部統制のポイント 4/6

上場企業にとって、2007年は内部統制元年。この準備期間を制する者が、内部統制を制すると言っても過言ではありません。事実、もうすぐ「財務報告に係る内部統制の評価及び監査に関する実施基準」も公開されます。

本シリーズは、金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」記載の、「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当て、いま一度、情報システムの整備・強化ポイントの把握を目的に進めています。

シリーズ4回目の今回は、「統制活動」に着目します。「財務報告に係る全社的な内部統制に関する評価項目の例/統制活動」には7項目があげられていますが、詳細は金融庁のWebサイトを参照していただくことにして、ここでは、全社的な情報システムに対してニーズが明確な、5)、6)、7)の3項目について解説します。

5)統制活動は業務全体にわたって誠実に実施されているか。
6)統制活動を実施することにより検出された誤謬等は適切に調査され、必要な対応が取られているか。
7)統制活動は、その実行状況を踏まえて、その妥当性が定期的に検証され、必要な改善が行われているか。

↓↓↓↓↓↓↓

3つの項目が総じて要求するのは、社内の統制活動の有効性を立証できる、客観的な監査レポートだと考えられます。下記に記した6つの項目に関する監査レポートを定期的に作成、またチェックできる体制の整備が必要になるでしょう。

◎重要アプリケーション(DB)へのアクセス記録
◎ID・パスワードの利用記録
◎利用禁止アプリケーション起動記録
◎機密文書の活用記録
◎個人情報ファイルの管理記録
◎セキュリティポリシ違反クライアントPCのアクセス記録

特に、項目6)には、「誤謬等は適切に調査され、必要な対応が取られているか。」との指摘があることから、監査サポートの自動作成機能を整備することが極めて重要です。監査レポートは、有事の場合、原因究明の証跡としても有効活用できる訳です。

Chart_070109

内部統制では、監査データやレポートによって、その有効性を立証することが求められます。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Q救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Q救室」はこちら>> 内部統制Q救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例/情報と伝達」についてご紹介します。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

情報システムQ救隊

1月 17, 2007 クオリティ, パソコン・インターネット, ビジネス, 内部統制, 日本版SOX法, 法制度 | | トラックバック (0)

「日本製エンタープライズソフトの連携で価値提案する「MIJSカンファレンス」に出展!」

Mijs_1

クオリティが参加している「MIJSコンソーシアム」が主催するイベント“MIJSカンファレンス「Japan」2007”が、「MIJSが日本のソフトウェアビジネスを変える」をテーマに、東京コンファレンスセンター品川にて2007年2月1日(木)に開催されます。

基調講演には、ソフトブレーン株式会社 マネージメントアドバイザー 宋 文洲 氏や、「プロジェクトX」の生みの親、日本放送協会 エグゼクティブ・プロデューサ 今井 彰 氏の講演が予定されています。クオリティからは、インテル社「vPro」に対応したQND Plusを参考出展します。

【詳細・申込はこちら】
 http://www.mijs.jp/conference/070201.html

~『MIJSカンファレンス「JAPAN」2007』概要~

■日時:2007年2月1日(木) 10:30~18:00(受付開始 10:00)

■会場:東京コンファレンスセンター品川 5F

■入場料:無料(事前登録制)

■協賛企業:日本アイ・ビー・エム株式会社
         :日本オラクル株式会社
        :日本BEAシステムズ株式会社
         :マイクロソフト株式会社
         :インテル株式会社
         :デル株式会社
■協力:アイティメディア株式会社
■主催:MIJSコンソーシアム

1月 15, 2007 クオリティ, ビジネス | | トラックバック (0)

■SOX法時代のセキュリティ体制へ■
実施基準:公開草案を通して理解すべき、内部統制のポイント 3/6 その2

金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当て、企業にとって必要な内部統制活動をご紹介している本シリーズ。

今回も前回に引き続き、「リスクの評価と対応」に関する評価項目例に着目します。個々の評価項目例(28ページ目)は金融庁のWebサイトをごらんいただくとして、今回は4つある評価項目のなかでも、特に情報システムへのニーズが明確な4項目目の例をご紹介します。

4)経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか。

↓↓↓↓↓↓↓

ここで重要になるのは、不正発生の「原因」と「背景」を、つねに客観的に分析できる体制を整備しておくことをが要求されていると思われます。そこで重要になるのが、操作ログの取得です。つまり、クライアントPC上のあらゆる操作を記録し、「誰がいつ何をおこなったのか」を詳細なログデータとして保存します。また、ログを取得していることを周知することで、クライアントPCを介して起こり得るITリスクを監視、牽制もできます。もちろん有事の場合、原因究明の証跡としても活用できる訳です。具体的には、次のようなログ取得が不可欠になると考えられます。

  • 機密ファイル操作ログ
  • 個人情報関連ファイルアクセスログ
  • 重要DBへのアクセスログ
  • メール操作ログ
  • アプリケーション起動ログ

Chart_061227

内部統制では、このようなデータによって、その有効性を立証していくことが
求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイント
などが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取
得、アプリケーション起動記録などに有効な、
内部統制システム構築に最適なツールを多数ご用意しています。12月1日より
内部統制に関する特設サイト「内部統制Q救室」もオープンしました。
ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Q救室」はこちら>> 内部統制Q救室

次回は「財務報告に係る全社的な内部統制に関する評価項目の例/統制活動」
にフォーカスを当てたいと思います。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向
など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジ
ン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。
※配信は「まぐまぐ」を利用しています。

情報システムQ救隊

1月 10, 2007 クオリティ, ビジネス, 内部統制, 情報漏洩対策, 日本版SOX法, 法制度 | | トラックバック (0)