ドクターQがお届けするIT統制ブログ　ITサプリ

2008年4月の内部統制システム正式稼働まで、ジャスト1年となりました。
そこに向けて多くの上場企業が、この4月から内部統制システムをテスト稼働させるようです。
御社の内部統制システム整備は順調でしょうか。

さて、システム管理者向けのIT統制の解説書として定着した感のある「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)。
本シリーズでは、追補版の中から情報システムとかかわりのある部分を抜き出して分かりやすく解説しています。

今回から、追補版の付録として巻末に掲載されている「付録2．システム管理基準の統制目標」に注目していきます。
(追補版のPDFでは、P99からはじまります。)

システム管理基準の管理項目は情報戦略、企画業務、開発業務、運用業務、保守業務、共通業務の6つに分けられます。
管理項目はそれぞれ管理ポイントとして細分化されています。
また、それぞれのポイントが、システム管理基準の管理項目、統制目標(例)、システム管理基準の趣旨の3つから構成されており、
システム管理基準の統制目標は、現状の到達度分析とITリスクの把握と確認を行うには最適な内容となっています。

1／情報戦略
　　│
　　├全体最適化
　　│　├全体最適化
　　│　├全体最適化の方針・目標
　　│　├全体最適化計画の承認
　　│　├全体最適化計画の策定
　　│　└全体最適化計画の運用
　　│　
　　├組織体制
　　│　├情報システム化委員会
　　│　├情報システム部門
　　│　└人的資源管理の方針
　　│　
　　├組織体制情報化投資
　　├情報資産管理の方針
　　├事業継続計画
　　└コンプライアンス

2／企画業務
　　│
　　├開発計画
　　├分析
　　└調達

3／開発業務
　　│
　　├開発手順
　　├システム設計
　　├プログラム設計
　　├プログラミング
　　├システムテスト・ユーザ受入れテスト
　　└移行

4／運用業務
　　│
　　├運用管理ルール
　　├運用管理
　　├入力管理
　　├データ管理
　　├出力管理
　　├ソフトウェア管理
　　├ハードウェア管理
　　├ネットワーク管理
　　├構成管理
　　└建物・関連設備管理

5／保守業務
　　│
　　├保守手順
　　├保守計画
　　├保守の実施
　　├保守の確認
　　├移行
　　└情報システムの廃棄

6／共通業務
　　│
　　├ドキュメント管理
　　│　├作成
　　│　├進捗管理
　　│　├実施
　　│　└評価
　　│　
　　├品質管理
　　│　├計画(２)
　　│　└実施
　　│　
　　├人的資源管理
　　│　├責任・権限
　　│　├業務遂行
　　│　├教育・訓練
　　│　└健康管理
　　│　
　　├委託・受託
　　│　├計画
　　│　├委託先選定
　　│　├契約
　　│　├委託業務
　　│　└受託業務
　　│　
　　├変更管理
　　│　├管理
　　│　└実施
　　│　
　　└災害対策
　　　　├リスク分析
　　　　├災害時対応計画
　　　　├バックアップ
　　　　└代替処理・復旧

今週は「システム管理基準の管理項目と統制目標の対応」の構造を確認していただきました。
次回から、その内容に関して、細かく解説していくことにしましょう。
システム管理部門として、IT統制において何をすべきなのか、さらに具体的に把握していただけると思います。
Dr.QがITサプリをお届けしました。

現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに設問を作成した
「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。
ぜひトライしてください。

先日、某自動車部品メーカーで、軍事的転用も可能と思われる最先端技術情報の不正流出が明らかになりました。企業のグローバル化が進む中で、同時に道徳観や仕事観が全く異なる外国籍の社員が第一線で活躍するケースも増加しています。IT統制によるリスクマネジメントを徹底させることの重要性を、一層強く感じさせる事件でした。

さて、そんなIT統制のスタンダードになりつつある「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)。本シリーズでは、追補版のポイントを分かりやすく解説しています。

IT全般統制のモニタリングに続き、今週はIT業務処理統制のモニタリングに移ります。IT業務処理統制のモニタリングの目的は、業務アプリケーション・システムの統制が有効に機能しているかを監視し、問題点が発生した場合は是正することです。

追補版に書かれたIT業務処理統制のモニタリングにも、想定リスクと対応策が紹介されています。

今回はシステムに対するニーズが明確な3つの例示に注目します。

■リスクの例(1)■
アプリケーション・システムについてモニタリング機能がないため、不正や誤り等を検出できない。

↓↓↓↓↓↓↓

○統制の例○
ITの日常的なモニタリングの手続き、ルールが定められ、これに基づいてモニタリング活動が実施され、記録が保存されている。


■リスクの例(2)■
財務情報に係る情報システムを入力する際に誤りや不正、機密情報漏えいが行われる。

↓↓↓↓↓↓↓

○統制の例○
一定の条件でアクセスログを検索し異常なアクセスがないかを監視する。

■リスクの例(3)■
モニタリング情報が適切な管理者に適時に報告されない。

↓↓↓↓↓↓↓

○統制の例○
モニタリング情報が適切な管理者に適時に報告される仕組みがある。

以上、3つの例示から、全社的なシステム強化のポイントをクリアにできます。

そのポイントとは、IT統制ガイダンスの中で最重視されている項目の一つ、クライアントの操作ログ取得です。特に、「起動アプリケーションログ取得」と「ドキュメント操作ログ取得」が必須です。

部署を限定せず、例外をつくらず、全社的に漏れなく全てのクライアントを対象にログ取得することが重要です。また、管理者がクライアントの操作ログを定期的に自動収集できる機能を整備することも重要となります。

◎社内の全クライアントに対する操作ログ取得
◎起動アプリケーションログ取得
◎ドキュメント操作ログ
◎取得ログの自動収集

いかがでしょうか。ファイルアクセス制御への対応、御社は大丈夫でしょうか。
ひとつひとつ確実にITセキュリティ整備を行うことで、きっとIT統制成功のロードマップが見えてきます。

もちろん、Dr.Qもしっかりお手伝いします。

>■システム管理基準 追補版(財務報告に係わるIT統制ガイダンス)草案をベースに作成!!>>内部統制チェックテスト2 公開

システム管理基準 追補版(財務報告に係わるIT統制ガイダンス)草案をベースに作成した内部統制チェックテスト2を公開しました。情報システムに潜む現在の課題をテストで確認できます。

>■新コーナー：Dr.Qの「システム管理者必読ニュース!!」スタート>>　Dr.Qの「システム管理者必読ニュース!!」

アイティメディア提供による企業のIT・情報システム管理者に向けたニュースやコラム記事をクオリティ コミュニケーションサイトにて掲載開始しました。ブログと合わせてこちらもご覧ください。

■メールマガジン 情報システムＱ救隊 ご購読のご案内>>　■メールマガジン 情報システムＱ救隊

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、
情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を配信中。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

昨日の朝刊各紙をご覧になって、驚いた方も多かったのではないでしょうか。某印刷大手の個人情報漏洩事件に関連して、クライアント各社を含めた膨大な量のお詫び広告が掲載されていました。お詫び広告には、同社が導入している個人情報管理に対する様々な取り組みが掲載されていましたが、それでもカバーし切れない「ITリスクの深刻化」を改めて痛感しました。

今回の事件をひとつの契機に、委託先企業に関してもIT統制を行う、またはIT統制を実装している企業とだけ委託契約を行う、などの動きも今後活発化すると推測されます。今回の事件経緯から上場企業のみならず、上場企業との取引がある多くの企業にとってIT統制の強化が必須となってきているのは確かです。

さて、そんなIT統制のスタンダードになりつつある「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)。本シリーズでは、追補版のポイントを分かりやすく解説しています。前回「5．モニタリング」のお話を行いましたが、今回はリクエストにお答えして「4.業務処理統制」へ少し戻りたいと思います。業務処理統制の(2)データ管理(処理統制)にフォーカスを当てます。ここで言うデータ管理は、企業内だけでなく委託先などとの間でやりとりされる重要なデータ(ファイル)の管理と考えられます。Microsoft Office WordやMicrosoft Office Excelで作成された見積書、発注表なども、その対象とすべきでしょう。追補版では、データ管理に関しても想定リスクと、IT統制(対応策)が具体的に例示されていますが、その中でもシステム強化のポイントが明確な、下記の5つに着目したいと思います。

■リスクの例(1)■
財務情報に係るデータ管理ルールが無く財務情報の信頼性が失われる。

↓↓↓↓↓↓↓

○統制の例○
データの信頼性を確保するため、運用に応じたデータの取扱い、管理の体制等をルールとして明文化する。

■リスクの例(2)■
財務情報に係るデータに不正なアクセスが行われ、誤りや不正が発生する。

↓↓↓↓↓↓↓

○統制の例○
データヘの不正アクセスの防止、不正利用の防止、機密保護及び個人情報保護のため、アクセスコントロール及びモニタリングを行う。

■リスクの例(3)■
データ授受の際にデータの誤使用、不正利用、改ざん等が発生する。

↓↓↓↓↓↓↓

○統制の例○
データの授受はデータ管理ルールによっている。

■リスクの例(4)■
データ交換の際に、誤り機密漏洩が発生する。

↓↓↓↓↓↓↓

○統制の例○
データの交換では、エラー修正やデータの内容を確認する。

■リスクの例(5)■
データの保管、複写、不要データの廃棄の際に不正利用、機密漏えいが発生する。

↓↓↓↓↓↓↓

○統制の例○
データの保管、複写、不要データの廃棄は、不正防止及び機密保護の対策を講ずる。

5つの例示から、ファイルアクセス制御の対応が必須であることが把握できます。全社的に、ファイル単位で厳密にアクセス制御を行い、重要ファイルを保護していくことが要求されます。具体的には下記のような機能が要求されると考えられます。

◎ファイル単位で「読み込み」、「印刷」、「コピー」などの権限を個別設定
◎個人・グループに応じたアクセス権設定
◎アクセス可能期間の個別設定
◎ファイルアクセス履歴取得
◎ファイル配信後のアクセス権変更
◎登録されたPC以外からのアクセス禁止

いかがでしょうか。ファイルアクセス制御への対応、御社は大丈夫でしょうか。
ひとつひとつ確実にITセキュリティ整備を行うことで、きっとIT統制成功のロードマップが見えてきます。
もちろん、Dr.Qもしっかりお手伝いします。

>■新コーナー：Dr.Qの「システム管理者必読ニュース!!」スタート>>　Dr.Qの「システム管理者必読ニュース!!」

アイティメディア提供による企業のIT・情報システム管理者に向けたニュースやコラム記事を
クオリティ コミュニケーションサイトにて掲載開始しました。ブログと合わせてこちらもご覧ください。

■メールマガジン 情報システムＱ救隊 ご購読のご案内>>　■メールマガジン 情報システムＱ救隊

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、
情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を配信中。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

日々多忙を極めるシステム管理者のみなさんのために、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)のポイントを分かりやすく解説している本シリーズ。追補版の各章で登場するリスクと、具体的な対応策に着目しながら進めています。

さてシリーズ5回目の今回から、「5.モニタリング」に入ります。モニタリングの目的は、問題点の把握と是正を行い、継続的な改善を実施することで内部統制の有効性を確保することです。ITに関するモニタリングは、IT全社的統制、IT全般統制、IT業務処理統制のそれぞれにおいて実施することが要求されます。モニタリングは必然的に企業の各階層に関係することになります。今回は、想定リスクと対応策が具体的で分かりやすい、「IT全般統制のモニタリング」に着目しましょう。IT全般統制のモニタリングは、IT基盤ヘの統制が有効に機能しているかを監視し、問題点を是正するために行われます。

■リスクの例(1)■
IT全般統制についてモニタリング機能がないため、不正や誤り等を検出できない。

↓↓↓↓↓↓↓

○統制の例○
ITの日常的なモニタリングに関するポリシや手続き、ルールが定められ、これに基づいてモニタリング活動が実施され、記録(ログなど)が保存されている。


■リスクの例(2)■
連続したモニタリングでないと、不正等を検出できない。

↓↓↓↓↓↓↓

○統制の例○
モニタリングのログ等の情報収集は24時間365日連続して収集されている。

■リスクの例(3)■
モニタリングの証拠が正しく保全され、保管されていない。

↓↓↓↓↓↓↓

○統制の例○
ログ等の情報は正しく保全され、保管されている。

■リスクの例(4)■
モニタリング情報が適切な管理者に適時に報告されない。

↓↓↓↓↓↓↓

○統制の例○
モニタリング情報が、適切な管理者に適時に報告される仕組みとなっている。

以上、4つの例示から、IT全般統制に関するモニタリングの中核が「クライアントの操作ログ取得」であることが分かります。
具体的な操作ログとして、下記が必要になることが予測できます。

◎起動アプリケーションログ
◎ドキュメント操作ログ
◎WEB操作ログ
◎ファイルログ
◎Mail送受信ログ
◎プリンタ印刷ログ
◎ウインドウタイトルログ
◎クリップボードコピーログ
◎画面キャプチャ
◎FTPログ

貴社のIT統制の導入準備は万全でしょうか？
上記に掲載した統制活動を実施することで、リスクを確実に軽減できます。
ひとつひとつ確実にITセキュリティ整備を行うことで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、
情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を配信中。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。