ドクターQがお届けするIT統制ブログ　ITサプリ

経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、内部統制に対応したシステム強化を検討する上で役に立つ資料です。

当ブログでは、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

先週に引き続き、今週も運用業務／ネットワーク管理に関する管理項目とその趣意の続きを解説したいと思います。では早速、趣旨から、システム強化ポイントをチェックしていきましょう。

ネットワーク管理では、6つのポイントが取り上げられていますが、このうち統制趣旨が明確でシステムの強化ポイントが分かりやすい、(1)(2)(3)(5)の4項目に着目します。今週は(2)(3)(5)についてご紹介しましょう。なお項目(1)の解説は先週の記事を参照してください。

(2)ネットワークへのアクセスコントロール及びモニタリングは、有効に機能すること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
ネットワークへの侵入及び不正利用を未然に防止し、早期に発見するため、ネットワークへのアクセスコントロール及びモニタリングが有効に機能していることを確認する必要がある。

(3)ネットワーク監視ログを定期的に分析すること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
ネットワークへの侵入及び不正利用を検出して必要な対策を講ずるために、ネットワーク監視ログを定期的に分析する必要がある｡

(5)ネットワークの利用状況を記録し、定期的に分析すること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
ネットワークの利用状況を記録し、定期的に分析することネットワークの効率的で安定した稼働を図るため、利用状況を記録し、定期的に分析する必要がある。

↓↓↓↓↓↓↓↓

◎(2)(3)(5)共通のシステム強化ポイント

(2)(3)(5)が指摘する強化ポイントは、アクセスコントロールとモニタリング機能。それらは、IT統制の中で極めて重要な機能です。万一の場合の証拠として活用するためにも、ネットワーク監視機能を強化する必要があります。また、セクションごとのPCに対するリスク把握のためにモニタリングデータを定期的にレポート化して分析することも重要です。

例えば「どのセクションのどの担当者が、いつ、セキュリティポリシ違反PCをネットワークに接続させようとしたのか」などのデータのレポート化が必要です。定期レポートの比較分析によって、IT統制の有効性も立証できます。最終的に、監査法人に対して解説する際にも極めて重要な役割を果たすことになります。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。