ドクターQがお届けするIT統制ブログ　ITサプリ

■SOX法時代のセキュリティ体制へ■
徹底解説!! 財務報告に係わるIT統制ガイダンス その16

2008年4月からの内部統制システム本格稼動まで、残りわずか10ヶ月あまり。すでに多くの企業が、「不足部分」の強化段階に入っているようです。さて、そんなシステム強化を検討する上で非常に役立つのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

前回と今回の2回に分けて、「付録2．システム管理基準の統制目標」の運用業務／ソフトウェア管理について解説しています。

ソフトウェア管理の項目では、9つのポイントが取り上げられています。このうち今回は、統制趣旨が明確でシステムの強化ポイントが分かりやすい、(1)(2)(7)(8)(9)のなかから、(7)(8)(9)に関するシステム強化ポイントを解説します。なお(1)(2)に関する解説は、前回のブログ記事を参照してください。

(7)ソフトウェアに対するコンピュータウイルス対策を講じること。

◎趣旨(目的)
ソフトウェアをコンピュータウイルスから保護するため、コンピュータウイルス対策を講ずる必要がある。

◎システム強化ポイント
業務に活用されている市販ソフトウェアはもちろん、セキュリティソフトやOSにいたるまで対策を徹底する必要があります。例えばセキュリティパッチやウイルス定義ファイルの更新を、例外なく全てのクライアントPCに徹底できる、管理体制を整備することが重要です。従来、ユーザ任せにしてきた部分をIT統制によって管理することが求められます。


(8)ソフトウェアの知的財産権を管理すること。

◎趣旨(目的)
開発したソフトウェアの知的財産権の保護及び導入したソフトウェアの知的財産権の侵害を防止するため、知的財産権を管理する必要がある。

◎システム強化ポイント
例えば、一社員によって不正コピーされた市販ソフトウェアがインターネットオークションで出品される……、こうした一人の社員の知的財産権の侵害が、企業全体の信頼度低下につながります。ライセンス管理はもちろん、外部メディアへのデータコピーなどを防止できる体制をITによって整備することが、企業としてのリスクマネジメントの見地からも極めて重要となります。

(9)フリーソフトウェアの利用に関し、組織体としての方針を明確にすること。

◎趣旨(目的)
フリーソフトウェアは低コストで便利な反面、処理結果の無保証、コンピュータウイルス混入の危険性、知的財産権侵害等のリスクもあり、利用の際は、組織体として一定の方針を定める必要がある。

◎システム強化ポイント
対象とすべきフリーソフトには、WinnyやWin-MX、さらにShareなどのP2Pソフトも含まれます。社内の全てのクライアントPCに対する監査体制を強化し、レギュレーション違反のソフトウェアがインストールされていないか、またソフトウェアが削除されない場合は、強制的にネットワーク接続を停止できる機能などが監査システムに要求されます。今後は、社内で指定した以外のソフトウェアのインストールと利用を禁止することが、IT統制の常識となるでしょう。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひクオリティ テクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。