ドクターQがお届けするIT統制ブログ　ITサプリ

先日、某自動車部品メーカーで、軍事的転用も可能と思われる最先端技術情報の不正流出が明らかになりました。企業のグローバル化が進む中で、同時に道徳観や仕事観が全く異なる外国籍の社員が第一線で活躍するケースも増加しています。IT統制によるリスクマネジメントを徹底させることの重要性を、一層強く感じさせる事件でした。

さて、そんなIT統制のスタンダードになりつつある「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)。本シリーズでは、追補版のポイントを分かりやすく解説しています。

IT全般統制のモニタリングに続き、今週はIT業務処理統制のモニタリングに移ります。IT業務処理統制のモニタリングの目的は、業務アプリケーション・システムの統制が有効に機能しているかを監視し、問題点が発生した場合は是正することです。

追補版に書かれたIT業務処理統制のモニタリングにも、想定リスクと対応策が紹介されています。

今回はシステムに対するニーズが明確な3つの例示に注目します。

■リスクの例(1)■
アプリケーション・システムについてモニタリング機能がないため、不正や誤り等を検出できない。

↓↓↓↓↓↓↓

○統制の例○
ITの日常的なモニタリングの手続き、ルールが定められ、これに基づいてモニタリング活動が実施され、記録が保存されている。


■リスクの例(2)■
財務情報に係る情報システムを入力する際に誤りや不正、機密情報漏えいが行われる。

↓↓↓↓↓↓↓

○統制の例○
一定の条件でアクセスログを検索し異常なアクセスがないかを監視する。

■リスクの例(3)■
モニタリング情報が適切な管理者に適時に報告されない。

↓↓↓↓↓↓↓

○統制の例○
モニタリング情報が適切な管理者に適時に報告される仕組みがある。

以上、3つの例示から、全社的なシステム強化のポイントをクリアにできます。

そのポイントとは、IT統制ガイダンスの中で最重視されている項目の一つ、クライアントの操作ログ取得です。特に、「起動アプリケーションログ取得」と「ドキュメント操作ログ取得」が必須です。

部署を限定せず、例外をつくらず、全社的に漏れなく全てのクライアントを対象にログ取得することが重要です。また、管理者がクライアントの操作ログを定期的に自動収集できる機能を整備することも重要となります。

◎社内の全クライアントに対する操作ログ取得
◎起動アプリケーションログ取得
◎ドキュメント操作ログ
◎取得ログの自動収集

いかがでしょうか。ファイルアクセス制御への対応、御社は大丈夫でしょうか。
ひとつひとつ確実にITセキュリティ整備を行うことで、きっとIT統制成功のロードマップが見えてきます。

もちろん、Dr.Qもしっかりお手伝いします。

>■システム管理基準 追補版(財務報告に係わるIT統制ガイダンス)草案をベースに作成!!>>内部統制チェックテスト2 公開

システム管理基準 追補版(財務報告に係わるIT統制ガイダンス)草案をベースに作成した内部統制チェックテスト2を公開しました。情報システムに潜む現在の課題をテストで確認できます。

>■新コーナー：Dr.Qの「システム管理者必読ニュース!!」スタート>>　Dr.Qの「システム管理者必読ニュース!!」

アイティメディア提供による企業のIT・情報システム管理者に向けたニュースやコラム記事をクオリティ コミュニケーションサイトにて掲載開始しました。ブログと合わせてこちらもご覧ください。

■メールマガジン 情報システムＱ救隊 ご購読のご案内>>　■メールマガジン 情報システムＱ救隊

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、
情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を配信中。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。