« 2007年11月 | トップページ | 2008年1月 »

■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 14

多くのシステム管理者にとって、いま最も頭を悩ませている問題は「いかにすれば、効率的に日本版SOX法と会社法の2法に対応できるか」という点ではないでしょうか。
その解決の糸口になるのが、2法が最重視する「内部統制」の本来の目的を再認識することです。

そのためにも、ぜひ本シリーズの解説をお役立てください。会社法と実務ガイドラインにあたる会社法施行規則の内部統制のポイントをピックアップし、各規則の統制ポイントと、必要と考えられるIT統制に関して解説しています。御社が取り組むべき、今後の強化ポイントがクリアになるはずです。

◎会社法施行規則第100条第3項第3号
取締役及び使用人が監査役に報告をするための体制その他の監査役への報告に関する体制

監査役が果たすべき責務の大きさを、改めて感じさせる条項です。監査役が随時、的確な判断を行えるように、システム環境を整備・強化することが重要になります。では、具体的に、どのようなIT統制が要求されるのでしょうか。4つある統制ポイントのうち、今回はひとつめのポイントをご紹介します。

■全社的なクライアントPC操作ログ収集

使用人、取締役、分け隔てなく社内で利用されている全てのクライアントPCの操作ログを、確実に収集する必要があります。ログを収集することで、全ての業務を可視化できます。収集すべきログは下記のとおりです。

◎ プロセス起動(アプリケーション起動)に関する記録
◎ ファイルへのアクセス記録
◎ Webアクセス行ったURLの記録
◎ ファイル作成や削除に関する記録
◎ 印刷を行ったドキュメントとプリンタの記録
◎ アクティブウィンドウの記録
◎ 送受信を行ったメールの記録と内容
◎ クリップボードにコピーを行ったファイル・文字列の記録
◎ FTP操作コマンドとパラメータに関する記録
◎ 定期取得を行った画面コピーと、Print Screen押下時の内容の記録
◎ ユーザがログオンを行った際の記録
◎ クライアントモジュールにて発生したエラー等の記録

上記12のログを、継続的に収集するシステム体制を整備する必要があります。また、状況(ログ分析結果)に応じて、ログ収集方法をフレキシブルに修正・強化できる体制も重要になります。

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はクオリティ テクノロジーサイトでご確認ください。

Banner_itrisk
内部統制チェックテスト2

12月 26, 2007 ■IT統制de会社法対策■ | | トラックバック (0)

■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 13

内部統制システムの構築を、上場企業、そして大会社に義務づけている会社法。本シリーズでは、会社法と実務ガイドラインにあたる会社法施行規則の中で、内部統制に関連する表記部分をピックアップしています。

先週に引き続き、「会社法施行規則 第100条第3項第1号」、「同第2号」の解説をお届けします。

この第1、2号が提唱しているのは、監査役監査の実行を確保するための体制作りです。今後は、取締役などが自由に監査できる、独立した内部監査部門の設置が必須になるでしょう。このとき、同部門からシステム管理部門へリクエストされると思われる、IT統制のポイントは下記の3つです。

■コンプライアンス管理強化
■全取締役・全使用人(従業員)のクライアントPCに対するモニタリング強化
■定期的なセキュリティレポート作成

それではこの3項目について、具体的な内容をチェックしていきましょう。

■コンプライアンス管理強化
取締役も従業員も一切例外なく、全てのクライアントPCに対する監査体制を強化してコンプライアンス管理を徹底する必要があります。

◎ 著作権法
◎ 個人情報保護法
◎ 不正アクセス禁止法
◎ 不正競争防止法

の4法が特に重視されると考えられます。クライアントPC監査強化は、確実にコンプライアンス管理体制強化へと確実につながり、またリスクの予見にもつながります。

■全取締役・全使用人(従業員)のクライアントPCに対するモニタリング強化
全社の全てのクライアントPC対して、漏れのないモニタリングを実施することが極めて重要になります。クライアントPCの全操作をモニタリングすることで不正行為自体を確実に抑止できるうえ、万一の場合の証拠として有効活用も可能となります。最重視されるのは、クライアントPCの操作ログ収集です。

◎ アプリケーションの起動記録
◎ ドキュメントの参照記録
◎ Webサイトへのアクセス記録
◎ ファイルの操作記録
◎ Eeメールの送受信記録
◎ プリント出力記録
◎ アクティブウィンドウタイトル記録
◎ FTPサイトへのアクセス記録
◎ クリップボードへの利用記録
◎ デスクトップ画面のハードコピー記録

上記10種のログ収集が必須になると考えられます。

■定期的なセキュリティレポート作成
クライアントPCの運用状況に関するセキュリティレポートを、内部監査部門の客観的な視点から定期分析する必要があります。

◎ Webアクセス状況
◎ 不審Webアクセス状況
◎ サーバファイルアクセス状況
◎ メール送信状況
◎ 禁止ソフトウェア導入状況
◎ 個人情報ファイル保有状況
◎ ファイル別個人情報ポイント状況
◎ クライアント脆弱性診断状況

監査結果や収集ログなどをベースに、表とグラフで構成されるセキュリティレポートを作成することが要求されるでしょう。

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はクオリティ テクノロジーサイトでご確認ください。

Banner_itrisk
内部統制チェックテスト2

12月 19, 2007 ■IT統制de会社法対策■ | | トラックバック (0)

■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 12

内部統制システムの構築を、上場企業、そして大会社に義務づけている会社法。その内容は、実のところ日本版SOX法よりもポイントが明確です。

ポイントが明確なだけに、対象となる企業にとっては「怖さ」もひとしお。そこで 本シリーズでは、会社法と実務ガイドラインにあたる会社法施行規則の中で、内部統制に関連する表記部分をピックアップ。

今回も引き続き 、各規則の統制ポイントと、必要と考えられるIT統制に関して解説を進めたいと思います。

◎会社法施行規則 第100条第3項第1号
監査役がその職務を補助すべき使用人を置くことを求めた場合における当該使用人に関する事項

この第1号に付随して、IT統制に大きく影響を与えることになりそうなのが、第2号です。

◎会社法施行規則 第100条第3項第2号
前号の使用人の取締役からの独立性に関する事項

この第1号と第2号が提唱しているのは、監査役監査がより実効的に行なわれることを確保するための体制の確立です。取締役なども自由に監査できる、取締役の指示系統には属さない、独立した内部監査部門の設置が必須になるでしょう。

また今後は、監査役直属の内部監査部門が独立性を高め、社内に対する独自の調査能力が強化される傾向が一層強まると考えられます。必然的に、同部門からシステム管理部門へのリクエストも増加するでしょう。しかし、この同部門の調査能力の強化こそIT統制の強化につながると言えます。

次回は、同部門からリクエストされると思われる、IT統制のポイントを解説します。

クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Banner_itrisk
内部統制チェックテスト2

12月 12, 2007 ■IT統制de会社法対策■ | | トラックバック (0)

■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 11

新会社法では、全ての上場企業に内部統制システム構築を義務づけています。
本シリーズでは、会社法と会社法施行規則の中で、主に内部統制に関連する表記部分の解説を行っています。

◎会社法施行規則 第100条第1項第5号
当該株式会社並びにその親会社及び子会社から成る企業集団における業務の適正を確保するための体制

【第100条第1項第5号に関するIT統制例】

  • グループ全社、クライアント(PC)脆弱性監査体制の整備
  • IT統制によって、小規模企業にも内部統制を徹底
  • 定期的なセキュリティレポートの監査と取締役会への報告体制整備
  • グループ全社で共有する機密文書(ファイル) に関する厳密なアクセスコントロール
  • 機密文書(ファイル)操作に関するモニタリング

前回に引き続き、第100条第1項第5号に関する残り3つのIT統制例をご紹介します。

■定期的なセキュリティレポートの監査と取締役会への報告体制整備

グループ全社、全クライアントPCの脆弱性に関するセキュリティレポートを定期的に監査する必要があります。また、同レポートを取締役でも定期的に監査する必要があります。セキュリティレポートによって、数値ベースで統制効果の分析が可能になります。また、監査法人の監査自体も円滑に行われると推測できます。

■グループ全社で共有する機密文書(ファイル)に関する厳密なアクセスコントロール

グループ各社で共有する機密文書は、電子ファイルでの配信と共有の徹底が必須です。
また、全てのファイルに対して厳密なアクセス管理が必要になります。
ポイントは、次の5点です。

  • ファイル自体を暗号化
  • 企業レベルに応じたファイル操作権限の設定
  • 部署・社員に応じたファイル操作権限の設定
  • 操作時における認証システムの導入
  • ファイル自体の有効期限の設定

これにより機密文書の不正流出や不正利用などの可能性を確実に低減できます。

■機密文書(ファイル)操作に関するモニタリング

機密性の高いファイルに関しては、アクセスコントロールだけでなくモニタリング機能を付加することも重要となります。

  • 誰が
  • いつ
  • どのファイルを
  • どう操作したのか

などの操作ログを取得し、機密ファイルの利用状況を分析することが要求されます。

いかがでしょうか。
IT統制のポイントをご理解いただけたでしょうか。Dr.QがITサプリをお届けしました。 次回もお楽しみに。

クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

Banner_itrisk
内部統制チェックテスト2













12月  5, 2007  ■IT統制de会社法対策■  | 

| トラックバック (0)