ドクターQがお届けするIT統制ブログ　ITサプリ

今度はスーパーマーケット。先日、某スーパーマーケットのカード会員情報約2万件が、インターネット上へ流出してしまいました。流出の経緯は、末端の個人事業者のPCのウイルス感染。結果、PC内の「Share」を通じてデータが流出してしまったようです。

さて、このようなリスクを予見し、未然に防止するのが内部統制の大きな役割のひとつです。とは言え、単に個人情報保護法を遵守するという１つの目的を達成するためにも、ウイルス対策やP2Pソフト対策、そして外部委託先統制まで、実は相当数の対策が必要になることが分かります。

そんな内部統制システム構築の実務ガイドとして非常に有効的なのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。そこで本シリーズでは、追補版のポイントを一つ一つ分かりやすく解説しています。

今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

今回は、運用業務／ネットワーク管理に関する管理項目と、その趣意、つまり目的に着目したいと思います。趣旨から、システム強化ポイントを具体的に解説しましょう。

ネットワーク管理では、6つのポイントが取り上げられていますが、このうち統制趣旨が明確でシステムの強化ポイントが分かりやすい、(1)(2)(3)(5)の4項目に注目したいと思います。まず今週は(1)についてご紹介しましょう。

(1)ネットワーク管理ルールを定め、遵守すること。

◎趣旨(目的)
ネットワークの正常かつ効率的な稼働のため、ネットワーク管理ルールを定め、遵守する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
単なる文書化と配布ではなく、管理ルールの運用管理と遵守をITで実行する必要があります。これこそ、まさにIT統制です。例えば、ネットワーク管理ルールの中に「ウイルス対策ソフトの定義ファイルに更新漏れのあるセキュリティポリシ違反のPCは基幹ネットワークに接続しないこと。」という内容があれば、万一セキュリティポリシ違反PCが接続された場合に自動検知して、接続を拒否できるネットワーク監査機能を整備する必要があります。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、内部統制に対応したシステム強化を検討する上で役に立つ資料です。

当ブログでは、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

今回は、先週の運用業務／ハードウェア管理に関する管理項目とその趣意の続きを解説したいと思います。では早速、趣旨から、システム強化ポイントを具体的に解説しましょう。

ハードウェア管理では、6つのポイントが取り上げられていますが、今週は(3)(5)(6)に注目したいと思います。なお(1)と(2)の解説は先週の記事を参照してください。

(3)ハードウェアは、定期的に保守を行うこと。

◎趣旨(目的)
ハードウェア障害による情報システムの停止及び機能低下を未然に防止するため、定期的に保守を実施する必要がある。

◎システム強化ポイント
特に通常業務で活用されているファイルサーバ、アプリケーションサーバ、システムサーバ、そしてクライアントPCに関しては、ハードウェアのメンテナンス時期を統括管理することが重要です。従来のように、壊れたから修理するという姿勢ではなく、保守の周期を一定化してリスクを低減すべきです。また、一連の管理をITによって行うことが基本となります。

(5)ハードウェアの利用状況を記録し、定期的に分析すること。

◎趣旨(目的)
ハードウェアの有効利用を図り、不正利用を防止するため、利用状況を記録し、定期的に分析する必要がある。 

◎システム強化ポイント
今後は従来以上に、クライアントPCから収集するインベントリ情報項目を強化する必要があります。利用可能メモリや、ローカルドライブ毎の総容量、ローカルドライブ毎の空き容量などの詳細情報を収集し、自動的に定期レポート化できる体制が要求されます。

(6)ハードウェアの保管、移設及び廃棄は、不正防止及び機密保護の対策を講じること。

◎趣旨(目的)
ハードウェアの盗難、紛失等による権限者以外のハードウェア利用の防止、及びデータ等の情報資産保護のため、ハードウェアの保管、移設及び廃棄は、不正防止及び機密保護の対策を講ずる必要がある｡

◎システム強化ポイント
利用者変更のPCや廃棄PCに対して、ハードディスクを完全消去できる環境構築が必要です。HDD消去証跡を文書化(データ化)して残すことも重要となります。最終設置場所、最終PC使用者、HDD消去実行日、HDD消去責任者などを文書化(データ化)して管理する必要があります。

いかがでしょうか。今後のシステム強化ポイントがクリアになったでしょうか。
次回は引き続き、運用業務／ハードウェア管理に関する管理項目の(3)、(5)、(6)について説明します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

いまだ途絶えるこのない、Winnyによる機密情報漏洩。
先日、今度は某教育機関で生徒の個人情報が、教師のパソコン内のWinnyを通じて不正流出してしまいました。
経済産業省からリリースされたシステム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、情報漏洩等のリスク対策を検討する上でも、非常に有効的な指針になります。

今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目したいと思います。(追補版のPDFでは、P99からはじまります)

今回は、運用業務／ハードウェア管理に関する管理項目と、その趣意、つまり目的に着目したいと思います。趣旨から、システム強化ポイントを具体的に解説しましょう。

ハードウェア管理では、6つのポイントが取り上げられていますが、このうち統制趣旨が明確でシステムの強化ポイントが分かりやすい、(1)(2)(3)(5)(6)に注目したいと思います。

(1)ハードウェア管理ルールを定め、遵守すること。

◎趣旨(目的)
ハードウェアの適切な利用を図り、障害を防止し、自然災害、不正行為等から保護するため、ハードウェア管理ルールを定め、遵守する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
管理ルールの策定には、第一に社内のハードウェアを網羅した全社的なIT監査体制を強化することが重要です。ここで言うハードウェアとは、単にPCのハードウェアだけでなく、各サーバのハードウェア、プリンタ、ルータ、スイッチなど全てを網羅した監査体制を整備する必要があります。特にクライアントPCのハードウェア関連情報を収集し、セキュリティポリシ違反の私物PCの基幹ネットワークへのアクセスを徹底的に排除できる監査体制確立などが、まず第一に必要となります。

(2)ハードウェアは、想定されるリスクに対応できる環境に設置すること。

◎趣旨(目的)
障害、自然災害、不正行為等が情報システムに及ぼす影響を最少にするため、ハードウェアは想定されるリスクに対応できる環境に設置する必要がある。

◎システム強化ポイント
ITによる監査体制に「例外」を残してはいけないことを意味しています。一般社員から管理職、役員、全ての人員が利用する全てのハードウェアを監査対象にする必要があります。また、例外を残さないことで、リスク対策を徹底できる利点があります。

いかがでしょうか。今後のシステム強化ポイントがクリアになったでしょうか。
次回は引き続き、運用業務／ハードウェア管理に関する管理項目の(3)、(5)、(6)について説明します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

■SOX法時代のセキュリティ体制へ■
徹底解説!! 財務報告に係わるIT統制ガイダンス その16

2008年4月からの内部統制システム本格稼動まで、残りわずか10ヶ月あまり。すでに多くの企業が、「不足部分」の強化段階に入っているようです。さて、そんなシステム強化を検討する上で非常に役立つのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

前回と今回の2回に分けて、「付録2．システム管理基準の統制目標」の運用業務／ソフトウェア管理について解説しています。

ソフトウェア管理の項目では、9つのポイントが取り上げられています。このうち今回は、統制趣旨が明確でシステムの強化ポイントが分かりやすい、(1)(2)(7)(8)(9)のなかから、(7)(8)(9)に関するシステム強化ポイントを解説します。なお(1)(2)に関する解説は、前回のブログ記事を参照してください。

(7)ソフトウェアに対するコンピュータウイルス対策を講じること。

◎趣旨(目的)
ソフトウェアをコンピュータウイルスから保護するため、コンピュータウイルス対策を講ずる必要がある。

◎システム強化ポイント
業務に活用されている市販ソフトウェアはもちろん、セキュリティソフトやOSにいたるまで対策を徹底する必要があります。例えばセキュリティパッチやウイルス定義ファイルの更新を、例外なく全てのクライアントPCに徹底できる、管理体制を整備することが重要です。従来、ユーザ任せにしてきた部分をIT統制によって管理することが求められます。


(8)ソフトウェアの知的財産権を管理すること。

◎趣旨(目的)
開発したソフトウェアの知的財産権の保護及び導入したソフトウェアの知的財産権の侵害を防止するため、知的財産権を管理する必要がある。

◎システム強化ポイント
例えば、一社員によって不正コピーされた市販ソフトウェアがインターネットオークションで出品される……、こうした一人の社員の知的財産権の侵害が、企業全体の信頼度低下につながります。ライセンス管理はもちろん、外部メディアへのデータコピーなどを防止できる体制をITによって整備することが、企業としてのリスクマネジメントの見地からも極めて重要となります。

(9)フリーソフトウェアの利用に関し、組織体としての方針を明確にすること。

◎趣旨(目的)
フリーソフトウェアは低コストで便利な反面、処理結果の無保証、コンピュータウイルス混入の危険性、知的財産権侵害等のリスクもあり、利用の際は、組織体として一定の方針を定める必要がある。

◎システム強化ポイント
対象とすべきフリーソフトには、WinnyやWin-MX、さらにShareなどのP2Pソフトも含まれます。社内の全てのクライアントPCに対する監査体制を強化し、レギュレーション違反のソフトウェアがインストールされていないか、またソフトウェアが削除されない場合は、強制的にネットワーク接続を停止できる機能などが監査システムに要求されます。今後は、社内で指定した以外のソフトウェアのインストールと利用を禁止することが、IT統制の常識となるでしょう。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひクオリティ テクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。