ドクターQがお届けするIT統制ブログ　ITサプリ

リリースからわずか1ヶ月で、早くも内部統制に向けた情報システム強化のスタンダードになりつつある、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)。

追補版は金融庁からリリースされている「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」と比較して、統制活動に関する具体例が多数掲載されており、システム強化のポイントを明確に理解できます。そこでITサプリでは、追補版の各項目をさらに分かりやすく解説していきます。

シリーズ4回目の今回は、「③.IT全般統制／(3) 内外からのアクセス管理等のシステムの安全性の確保：②.アクセス管理等のセキュリティ対策」のポイントを解説しましょう。アクセス管理等のセキュリティ対策では、アクセス制御、パスワードの管理、ネットワークアクセスの制御、オペレーティングシステムのアクセス制御という、4つの対策が重視されています。追補版ではアクセス管理において想定されるリスクと、その対策としてIT統制(対応策)が豊富に例示されています(Ⅳ章33ページ(PDFの70ページ目)：【統制の例と統制評価手続の例】)。今回はその中でも、情報システムに対するニーズが明確な4つの例示に注目したいと思います。

■リスクの例(1)■
適切な認証がないと、データヘの改ざんや不正な参照が起きる。

↓↓↓↓↓↓↓

○統制の例○
すべての担当者の認証及びアクセス制御機能が存在し、アクセスが記録されている。

■リスクの例(2)■
担当者のアカウントの発行、停止等の管理がなされていないと不正使用されて、データヘの改ざんや漏えいが起きる。

↓↓↓↓↓↓↓

○統制の例○
担当者のアカウントの申請、設定、発行、一時停止、廃止に関する手続が存在しており、手順に従って適時に処理されている。

■リスクの例(3)■
適切なアクセス制御機能がなく、データヘの改ざんや不正な参照が起きる。

↓↓↓↓↓↓↓

○統制の例○
アクセス権に関して適宜見直して、確かめるための統制プロセスが存在し、これに従っている。

■リスクの例(4)■
インターネットを利用する場合は不正侵入対策が実施されている。

↓↓↓↓↓↓↓

○統制の例○
電子商取引等にインターネット等外部のネットワークを利用する場合には、ファイアウォール、侵入検知システム等が用いられている。さらに、脆弱性評価の結果によるパッチ等の適切な統制が存在して、不正アクセスを防いでいる。

以上、4つの例示から、全社的なアクセスログの取得と、ID・パスワード管理、またクライアントPCに対する脆弱性監査というシステム強化のポイントが明確になったと思います。

そして、それら3つの統制活動の実行状況を定期レポート化できる体制の整備が不可欠であることが分かります。さらにに解説すると、下記の機能強化が要求されることが推測できます。

◎ファイル、アプリケーション、サーバに対するアクセスログ取得と、全クライアントPCの操作ログ取得
◎セキュリティポリシ違反のPC(未登録PC、私物PC含む)による基幹システムへのアクセス拒否
◎セキュリティポリシ違反PCを隔離して検査を行い、問題があれば治療できる、検疫ネットワーク機能
◎ID・パスワードの運用管理機能
◎OSのセキュリティパッチの漏れのないインストール
◎ウイルス対策ソフトの定義ファイルの漏れのないインストール

貴社のIT統制の導入準備は万全でしょうか？
上記に掲載した統制活動を実施することで、リスクを確実に軽減できます。
ひとつひとつ確実にITセキュリティ整備を行うことで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、
情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を配信中。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

経済産業省から公表された「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)の各ポイント解説を目的とした本シリーズ。先週に引き続き、今回も第Ⅳ章、「IT統制の導入ガイダンス」にフォーカスを当てたいと思います。

今回はⅣ章P27(PDFの64ページ目)に掲載されている、「3.IT全般統制／(2)システムの運用・管理／2構成管理」の解説です。
ここでの構成管理とは、情報資産の購買、設置、固定資産管理、廃棄等の統制結果を資産情報として管理することを意味します。情報システムの統制を間接支援する重要な要素として位置づけられています。追補版には構成管理に関する想定リスクとIT統制(対応策)が4つ例示されています。

■リスクの例(1)■
ソフトウェア、ハードウェア、アプリケーション・システム等が無断で設置・廃棄されることにより、誤処理やシステム停止が起こる。

↓↓↓↓↓↓↓

○統制の例○
購買、設置、固定資産、廃棄等が適切に管理されている。

■リスクの例(2)■
変更が正しくシステム管理情報に反映されないために、システムの不整合が起きるリスクがある。

↓↓↓↓↓↓↓

○統制の例○
変更管理の結果が、適時、構成管理に反映されている。

■リスクの例(3)■
管理期限の経過したハードウェア等の継続使用により、処理に誤りが起こるリスクがある。

↓↓↓↓↓↓↓

○統制の例○
情報資産の有効期限が適切に管理され、更新される。

■リスクの例(4)■
許可されないソフトウェアの使用によってデータの改変やシステムの停止が起こる。

↓↓↓↓↓↓↓

○統制の例○
IT資産を使用する従業員には、許可されたソフトウェア以外の使用を禁止する
(従業員のPCの特権IDやアドミニストレータ権限が禁止されている)。

4つの例示から、全社的なIT資産管理体制の導入が不可欠であることが分かります。同様に、全社のクライアントPCを随時モニタリングできるIT監査体制の確立も極めて重要になります。その他、リース切れなどの要因によって廃棄されるPCに対してハードディスクを暗号化するなどの対策も必要になります。具体的には、下記のような管理機能が必須になると考えられます。

◎管理外のPCがネットワークに接続した際のアラート
◎ソフトウェア利用状況の把握
◎禁止ソフトウェアの起動制御
◎業務用アプリケーションのバージョンの把握と、その統一
◎ハードディスクのメンテナンス時期のアラート
◎リース切れ目前のクライアントPCのアラート

さて、貴社のIT統制の導入準備は万全でしょうか？
クオリティでは、未登録PCの不正接続を検知する「eX IPD」や、禁止ソフトウェアの調査・起動制御を行う「QAW」など、IT全般統制に適したツールとベストなアドバイスをご用意しております。ぜひクオリティのテクノロジーサイトへ一度アクセスしてみてください。きっとIT統制成功のロードマップが見えてきます。
Dr.QがITサプリをお届けしました。 次回も引き続き追補版を解説します。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

先週よりスタートした新連載「徹底解説!! 財務報告に係わるIT統制ガイダンス」では、経済産業省が公表した「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)※以下、追補版」の解説をしています。それでは早速、解説に取り掛かりましょう。

追補版で着目すべきポイントは「IT統制の導入ガイダンス」です(PDF版のP38参照)。このページには、システム管理者にも非常に分かりやすくIT統制の解説が記されています。

今週は「IT統制の導入ガイダンス」の中でも、「3.IT全般統制／(2)システムの運用・管理／・運用管理」部分のポイントを解説します。

追補版では、システムの運用管理において想定されるリスクと、それに対するIT統制(対応策)が具体的に例示されています。数多くある具体例の中でも、ITサプリでは、対応策の実行が即可能な下記の2つに注目しました。

■リスクの例～その１～■
運用時の不正な操作等を発見できない。

↓↓↓↓↓↓↓

■統制の例■
情報システムとデータ処理について、企業にログ採取・分析についての方針があり、
それに基づいてログが採取されて、必要な項目がモニタリングされている。

■リスクの例～その２～■
情報システムが処理するデータの信頼性が保証されない。

↓↓↓↓↓↓↓

■統制の例■
情報システムとデータ処理のログが取得されて、ログファイルの完全性、正確性、
正当性を保証される(ログが改ざんされずに記録され、保管されている)。

これら2つの例示から、管理職や取締役まで網羅した、例外のない全社的なクライアントPCに対する操作ログの取得が、極めて重要であることが分かります。

誰が、いつ、何を、どうしたのか、それを全てログデータとして採取し、定期的にレポート化を行い、分析できる体制を整備することが要求されています。こうしたログ取得が、企業内の不正行為の抑止につながると考えられます。

さて、貴社では操作ログの取得は万全でしょうか？
操作ログ取得に最適なツールと、ベストなアドバイスをお探しなら、ぜひクオリティ テクノロジーサイトにアクセスしてみてください。きっとIT統制成功のロードマップが見えてきます。
Dr.QがITサプリをお届けしました。 次回も引き続き追補版を解説します。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

1月19日、経済産業省から「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(以下、追補版)が公開されました。

その内容は、金融庁の「財務報告に係わる内部統制の評価および監査に関する実施基準 草案」(以下、実施基準案)を補完し、システム部門が実施すべき項目が、分かりやすく解説されています。とはいえ、追補版は約150ページのボリューム。そこで、今回から新たなシリーズ「徹底解説!! 財務報告に係わるIT統制ガイダンス」をスタートさせます。

まず、第1回目の今回は、追補版を読み解く上で必要になる、用語を解説したいと思います。追補版で新たに追加された用語もあります。実際に追補版では、第一章で各用語の概念が解説されています。その概念をベースに進めたいと思います。

■IT統制
今回の追補版では、「IT統制」の概念が明確化されました。IT統制に含まれるのは、ふたつです。金融庁の実施基準案では、「ITへの対応」が、1)IT環境への対応、2)ITの利用、3)ITの統制と、3つのカテゴリーで解説されましたが、IT統制の概念には、2)と3)の双方が含まれます。

※補足解説
1)IT環境への対応　(社内外のITの活用状況)
2)ITの利用　(財務情報の信頼性に係る内部統制の実現におけるITの利用)
3)ITの統制　(ITを利用した情報システムに対する内部統制)

また追補版では、IT統制が、次の3つに分類され、それぞれの概念が明確化されています。

■IT全社的統制
企業の統制が全体として有効に機能する環境を保証するためのITに関連する方針と手続等、情報システムを含む内部統制。

■IT全般統制
業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理に関係する方針と手続のうち、IT基盤を単位として構築する内部統制。

■IT業務処理統制
業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを担保するために業務プロセスに組み込まれたITに係わる内部統制。

さらに、金融庁の実施基準案で解説がなかったIT基盤に関しても、今回の追補版で概念が明確化されています。

■IT基盤
ITに関与する組織の構成、ITに関する規程及び手順書等、ハードウェアの構成、ソフトウェアの構成、ネットワークの構成、外部委託の状況。

追補版を理解する上でポイントになるのは、上記の5つです。それでは次回から、追補版の中身を解説していきますのでお楽しみに。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。