ドクターQがお届けするIT統制ブログ　ITサプリ

御社が取り組むべき、会社法と実務ガイドラインにあたる会社法施行規則の内部統制のポイントをピックアップし、各規則の統制ポイントと、必要と考えられるIT統制に関して解説している「IT統制de会社法対策」シリーズ。

今週は「会社法施行規則　第100条第3項第4号」の「その他監査役の監査が実効的に行なわれることを確保するための体制」について具体的な統制活動をご紹介します。

■クライアントPC操作ログ収集体制整備

監査役の職務(内部監査部門)が、より効果的に機能するために必須となるのが、クライアントPC操作ログ収集機能。最低でも、以下にピックアップするログの収集が必須となります。

◎ プロセス起動(アプリケーション起動)に関する記録
◎ ファイルへのアクセス記録
◎ Webアクセス行ったURLの記録
◎ ファイル作成や削除に関する記録
◎ 印刷を行ったドキュメントとプリンタの記録
◎ アクティブウィンドウの記録
◎ 送受信を行ったメールの記録と内容
◎ クリップボードにコピーを行ったファイル・文字列の記録
◎ FTP操作コマンドとパラメータに関する記録
◎ 定期取得を行った画面コピーと、Print Screen押下時の内容の記録
◎ ユーザがログオンを行った際の記録

上記11の操作ログを、継続的に収集するシステム体制を整備する必要があります。


■セキュリティレポート作成体制整備

収集した操作ログをセキュリティレポート化して、定期的に分析できる体制を整備する必要があります。クライアントPC操作ログと連動して、特に以下の4つのセキュリティレポート作成が必須となるでしょう。

◎ Webアクセス状況
◎ 不審Webアクセス状況
◎ サーバファイルアクセス状況
◎ メール送信状況

こうしたレポートを客観的に分析することで、リスクの予見も可能となります。


■収集ログ・セキュリティレポート分析結果に応じたモニタリング強化機能

収集された操作ログとセキュリティレポートの定期的な分析結果に応じて、個々のクライアントPC利用者を、特定グループなどに指定。収集ログを強化できる体制などを整備することが重要です。こうした体制を整備することで、精密なリスク予見が可能となり、同時に危険な利用者を確実に低減できます。
 
いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。
クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。
詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、経済産業省「システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)」をベース作成した「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。