ドクターQがお届けするIT統制ブログ　ITサプリ

2008年4月からの内部統制システム本格稼動まで、残りわずか10ヶ月あまり。すでに多くの企業が、「不足部分」の強化段階に入っているようです。さて、そんなシステム強化を検討する上で非常に役立つのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

今回も引き続き、追補版の付録として巻末に掲載され、豊富なシステム強化ポイントの例示が書かれた「付録2．システム管理基準の統制目標」に注目したいと思います。(追補版のPDFでは、P99からはじまります)

6回目となる今回は、運用業務／ソフトウェア管理に関する管理項目と、その趣意、つまり目的に着目したいと思います。趣旨から、システム強化ポイントを具体的に解説しましょう。

ソフトウェア管理では、9つのポイントが取り上げられていますが、このうち、統制趣旨が明確でシステムの強化ポイントが分かりやすいのは(1)(2)(7)(8)(9)の5つです。その中から今回は、(1)と(2)に関するシステム強化ポイントを解説します。

(1)ソフトウェア管理ルールを定め、遵守すること。

◎趣旨(目的)
ソフトウェアの適切な利用及び不正防止のため、開発、運用及び保守業務に応じたソフトウェアの取扱い、管理の体制等をルールとして定め、遵守する必要がある。

◎システム強化ポイント
ここでのポイントは、自社開発されたソフトウェア、また市販されているソフトウェアの双方が対象となる点です。今後は、自社専用の業務ソフトに関しても、ITによる管理体制を強化することで不正防止を徹底し、同時にその管理体制を明文化し、社内に通達する必要があります。

(2)ソフトウェアへのアクセスコントロール及びモニタリングは、有効に機能すること。

◎趣旨(目的)
ソフトウェアの不正利用を防止するため、アクセスコントロール及びモニタリングが有効に機能していることを確認する必要がある。

◎システム強化ポイント
社内で利用される全てのソフトウェアを対象として、その利用状況を随時把握できる監査体制を整備することが要求されます。

◎誰が(どのクライアントPCが)
◎いつ
◎どのソフトウェアを
◎どのように操作したのか

その履歴を全て取得し、定期的に分析できる体制が必要となります。また、こうした体制が不正行為の抑止につながることは言うまでもありません。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひクオリティ テクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

内部統制システムの「本番稼動」まで、残りわずか。本番前のテスト稼動期間に非常に役立つ資料が、本シリーズで取り上げている経済産業省が公開した「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

前回に引き続き、運用業務/出力管理に関する管理項目と、その趣意、つまり目的に着目します。運用業務/出力管理でのポイントとなるのは、全7項目のうち、(1)(3)(5)(7)の4項目です。その中から今回は、(5)と(7)に関するシステム強化ポイントを解説します。

（5）出力情報の保管及び廃棄は、出力管理ルールに基づいて行うこと

◎趣旨(目的)
出力情報の紛失、盗難、漏えい等を防止するため、保管及び廃棄は、出力管理ルールに基づいて行う必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
今後は、全ての機密文書や個人情報に対して、「ファイルの有効期限」を設定することが要求されます。具体的には、重要なファイルはつねに認証キー付きでの配信(出力)を行い、ファイルの有効期限を設定。有効期限後は、ファイルの閲覧自体を不可能にすることが重要となります。こうしたシステム整備によって、機密文書の漏洩リスクを確実に低減できます。

（7）出力情報の利用状況を記録し、定期的に分析すること

◎趣旨(目的)
出力情報の有効活用を図るため、利用状況を記録し、定期的に分析する必要がある。

◎システム強化ポイント
出力された(配信された)全ての機密文書や個人情報に対して、操作ログを取得できる体制整備が必須です。

◎ 誰が
◎ いつ
◎ どのファイルを
◎ どう操作したのか

などの操作ログを取得し、情報の利用状況を分析することが要求されます。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひクオリティ テクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

先日、動向調査のためにアマゾンで「内部統制」をキーワードに書籍を検索してみました。その結果、なんと600冊もの本が検出されました。2008年4月の内部統制システム本稼動まで残り約10ヶ月となり、出版も最終ラッシュに入ったようですね。

さて、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)の解説をしている本シリーズも、いよいよ最終段階です。

今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目します(追補版のPDFでは、P99からはじまります)。

6回目は、運用業務/出力管理に関する管理項目と、その趣意、つまり目的に着目します。運用業務/出力管理でのポイントとなるのは、全7項目のうち、(1)(3)(5)(7)の4項目です。その中から今回は、(1)と(3)に関するシステム強化ポイントを解説します。

ここで重要なのは、出力される情報＝単にプリントアウトされた文書ではない、ということです。顧客DBから書き出しされたCSVフォーマットの顧客リストも、ここでの管理対象の出力情報となります。

(1)出力管理ルールを定め、遵守すること。

◎趣旨(目的)
出力方法の誤びゅう率、不正利用、漏えい等を防止し、機密及び個人情報保護のため、情報の出力手続、承認等のルールを定め、遵守する必要がある。

◎システム強化ポイント
情報漏洩の原因のひとつとして話題のP2Pソフトを、管理PCから完全排除したとしても、例えば顧客リストのエクセルをプリントアウトされ、社外に持ち出されてしまった場合、漏洩を防止する手段はありません。重要なのは、個人情報関連ファイル、また機密扱いの文書ファイルを暗号化でき、同時にアクセス制御できる機能の整備です。具体的には、ファイル受信者個々に応じて操作権限を設定し、危険性のある社員には、印刷の権限や、コピーを許可せず、リスク対策を徹底することが要求されます。

(3)出力情報の作成手順、取扱い等は、誤びゅう防止、不正防止及び機密保護の対策を講じること。

◎趣旨(目的)
出力情報の作成、取扱い等を正確に行い、改ざん、盗難、漏えい等を防止するため、誤びゅう防止、不正防止及び機密保護の対策を講ずる必要がある。

◎システム強化ポイント
社員等級が高い管理者に、不正活用の可能性がないとは断言できません。システムには、配信後にアクセス権を変更でき、フレキシブルに対応できる機能が要求されます。例えば、全ての操作権限が許可された管理者のファイルがなんらかの理由でインターネットに流出してしまった場合も、操作権限を全て剥奪し、ファイル自体を無効にできる機能が要求されます。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひクオリティ テクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

内部統制システムの「本番稼動」まで、すでに11ヶ月あまり。本番前のテスト稼動期間に非常に役立つのが、本シリーズで取り上げている経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目したいと思います。(追補版のPDFでは、P99からはじまります)。

シリーズ5回目は、運用業務／データ管理に関する管理項目、全10項目のうち、(1)、(2)、(4)、(7)、(9)、(10)の5項目が対象になります。その中から今回は(4)と(7)と(9)に関するシステム強化ポイントを具体的に解説していきます。

(4)データの利用状況を記録し、定期的に分析すること。

◎趣旨(目的)
データの利用を予想し、不正利用を防止するため、データの利用状況を記録し、定期的に分析する必要がある。

◎システム強化ポイント
機密扱いのデータの中でも、特に個人情報関連データの利用状況を、定期的にレポート化できる機能は必須となります。
各クライアントPC内における、個人情報関連データの保存場所が適正がどうかを、随時チェックできる体制が必要です。
同時に機密データの不正流出を防止するために、社内のクライアントPC内に対して、P2Pソフトやフリーウェアなどのインストール状況を監査できる体制を整備することも極めて重要になるでしょう。

(7)データの交換は、不正防止及び機密保護の対策を講じること。

◎趣旨(目的)
不正利用の防止、機密情報の漏えい及び個人情報保護のため、データの交換は、不正防止及び機密保護の対策を講ずる必要がある。

◎システム強化ポイント
機密データを、PDFなどへ暗号化して配信することが必須となります。さらに受信者別に操作権限を設定した認証キー付きで配信することができれば、不正防止を徹底できます。

(9)データに対するコンピュータウイルス対策を講じること。

◎趣旨(目的)
データをコンピュータウイルスから保護するため、コンピュータウイルス対策を講ずる必要がある。

◎システム強化ポイント
重要なのは、社内の全てのクライアントPCに対する監査体制を強化することです。OSのセキュリティパッチの更新漏れがないか、
また、ウイルス対策ソフトの定義ファイルの更新漏れがないか、それらをチェックできる体制が必要です。
また、重要な更新漏れがあった場合、クライアントPCのインターネット接続を強制的に遮断できる機能も整備すべきでしょう。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。

次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、クオリティでは、ITリスクに対する対応策をFlashムービーにてご紹介する「ITリスク対策室」を開設いたしました。内部統制・コンプライアンス・セキュリティ・情報管理という4つのカテゴリと、22のテーマをご用意しました。気になるITリスクにピッタリの対応策がきっと見つかります！

さらに今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。