ドクターQがお届けするIT統制ブログ　ITサプリ

経済産業省から公表された「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)の各ポイント解説を目的とした本シリーズ。先週に引き続き、今回も第Ⅳ章、「IT統制の導入ガイダンス」にフォーカスを当てたいと思います。

今回はⅣ章P27(PDFの64ページ目)に掲載されている、「3.IT全般統制／(2)システムの運用・管理／2構成管理」の解説です。
ここでの構成管理とは、情報資産の購買、設置、固定資産管理、廃棄等の統制結果を資産情報として管理することを意味します。情報システムの統制を間接支援する重要な要素として位置づけられています。追補版には構成管理に関する想定リスクとIT統制(対応策)が4つ例示されています。

■リスクの例(1)■
ソフトウェア、ハードウェア、アプリケーション・システム等が無断で設置・廃棄されることにより、誤処理やシステム停止が起こる。

↓↓↓↓↓↓↓

○統制の例○
購買、設置、固定資産、廃棄等が適切に管理されている。

■リスクの例(2)■
変更が正しくシステム管理情報に反映されないために、システムの不整合が起きるリスクがある。

↓↓↓↓↓↓↓

○統制の例○
変更管理の結果が、適時、構成管理に反映されている。

■リスクの例(3)■
管理期限の経過したハードウェア等の継続使用により、処理に誤りが起こるリスクがある。

↓↓↓↓↓↓↓

○統制の例○
情報資産の有効期限が適切に管理され、更新される。

■リスクの例(4)■
許可されないソフトウェアの使用によってデータの改変やシステムの停止が起こる。

↓↓↓↓↓↓↓

○統制の例○
IT資産を使用する従業員には、許可されたソフトウェア以外の使用を禁止する
(従業員のPCの特権IDやアドミニストレータ権限が禁止されている)。

4つの例示から、全社的なIT資産管理体制の導入が不可欠であることが分かります。同様に、全社のクライアントPCを随時モニタリングできるIT監査体制の確立も極めて重要になります。その他、リース切れなどの要因によって廃棄されるPCに対してハードディスクを暗号化するなどの対策も必要になります。具体的には、下記のような管理機能が必須になると考えられます。

◎管理外のPCがネットワークに接続した際のアラート
◎ソフトウェア利用状況の把握
◎禁止ソフトウェアの起動制御
◎業務用アプリケーションのバージョンの把握と、その統一
◎ハードディスクのメンテナンス時期のアラート
◎リース切れ目前のクライアントPCのアラート

さて、貴社のIT統制の導入準備は万全でしょうか？
クオリティでは、未登録PCの不正接続を検知する「eX IPD」や、禁止ソフトウェアの調査・起動制御を行う「QAW」など、IT全般統制に適したツールとベストなアドバイスをご用意しております。ぜひクオリティのテクノロジーサイトへ一度アクセスしてみてください。きっとIT統制成功のロードマップが見えてきます。
Dr.QがITサプリをお届けしました。 次回も引き続き追補版を解説します。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。