ドクターQがお届けするIT統制ブログ　ITサプリ

新シリーズのテーマは｢グリーンIT｣。前回に続き、なぜ今グリーンITなのか？　その背景から分かりやすく解説したいと思います。

■クールアース推進構想に見る、日本のCO2削減目標

先日の洞爺湖サミットの最終的な首脳宣言の中にも、次の文章が登場します。

「我々は、2050年までに世界全体の排出量の少なくとも50%の削減を達成する目標というビジョンを、UNFCCCのすべての締約国と共有し、かつ、この目標をUNFCCCの下での交渉において、これら諸国と共に検討し、採択することを求める。」

こうした世界全体で50%の削減を達成しようという目標のベースとなったのが、日本が提唱した「クールアース推進構想」。世界全体の温室効果ガス排出を今後10～20年でピークアウトさせ、2050年には排出を半減させようという考え方です。

ただし実情を踏まえると、例えばインドやアフリカ諸国など途上国の排出が20年後に減りはじめるというのは、まず考えられません。
必然的に、日本をはじめとした先進国が、より大きな削減値を実現させる必要があります。2050年の段階で50%削減では不十分、実際には2050年の段階で日本の排出量を最低でも70%削減させる必要があると言われています。

いいかがでしょうか。なぜ今グリーンITなのか、その背景を少しご理解いただけたでしょうか。なお、クオリティではCO2削減、省エネに積極的に取り組む企業をサポートする「QAW/QND Plus　グリーンITソリューション」をご用意しています。詳細は、テクノロジーサイトにてご確認ください。

Dr.QがITサプリをお届けしました。
次回も引き続き、グリーンITの背景をお届けします。

CSRという言葉があります。Corporate Social Responsibility、企業の社会的責任という意味です。この言葉の中には、｢企業として地域社会に貢献し、地球環境に配慮した活動を行わなければならない」という重要な指針も含まれています。
長期にわたってJ-SOXや内部統制などコンプライアンスを中心に展開してきた当ブログですが、より多くの企業のみなさんにCSRをより大切に考えてほしい……。そんな思いから今回から新シリーズをいよいよスタートさせます。
新シリーズのテーマは｢グリーンIT｣。まずは、なぜ今グリーンITなのか、その背景から分かりやすく解説したいと思います。

■増え続けるIT機器の消費電力

業務効率の改善、顧客サービスの多角化など様々な利点をもたらすIT。しかし、その一方でITの積極的な導入が、IT機器の消費電力量を爆発的に増大させ、実はC02排出を増大させている事実があります。京都議定書において、日本は1990年比で－6％のCO2削減目標を課せられましたが、2006年度ですでに6.4％も増加しています。その大きな原因が、インターネットの爆発的な普及にともなうIT機器の急増と言われています。経済産業省の｢情報通信機器の省エネルギーと競争力の強化に関する研究会｣の報告によると、2006年日本のIT機器の消費電力は約470億kWh。この電力は、日本の年間総消費電力量の約5%を占めています(※グラフ1)。

しかし、2025年の段階でIT機器の消費電力は約2,400億kWhと約5倍となり、総消費電力の約20%を占めるまでに拡大すると予測されています。さらに2050年、約5,000億kWhを超えると考えられています。参考までに、2005年度の電力大手10社の電力供給量は8,830億kWhです。このままでは、確実に電力危機にも直面します。
現状のままIT機器を使用し続ける、あるいは従来通りの手法で積極的にIT機器を増加させる、そのような考え方ではC02を削減することなど到底不可能なのです。

この深刻な状況をご理解いただけたでしょうか。次回は日本のCO2削減目標についてご紹介します。なお、クオリティでは、今回ご紹介したポイントに即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

グリーンITと並んで企業の重大な課題のひとつとなっている新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、８つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。

監査法人との定期協議をスムーズに進めるために、「公認会計士の視点」を解説している本シリーズも最終回となりました。今回も「公認会計士が納得する、有効的な内部統制システム」というテーマで、前回に続いて企業システムにおける、具体的な強化ポイントと構築ポイントを解説しましょう。

■納得ポイント(2)クライアントPCの脆弱性監査体制を強化

クライアントPCの脆弱性は、セキュリティホールへと発展する可能性もあります。リスク管理の面からも、極めて重要な全般統制のポイントの一つです。

• 規定違反ソフトウェアのインストールチェック
• IEのセキュリティ設定チェック
• ウイルス対策ソフトのパターンファイルの更新状況チェック
• パスワードの運用状況チェック
• 共有フォルダ設定状況チェック

これら5つのチェック体制はクライアントPCの脆弱性監査の基本です。公認会計士も定期協議の際、「当然整備されている体制」として結果報告を要求してくると考えられます。

■納得ポイント(3)定期的なセキュリティレポート提出体制の構築

監査人にとって必要なのは、社内のコンプライアンス状況を客観的に判定できる情報。その際、最適な判定情報となるのが、セキュリティレポートです。定期協議の際、必ず提出を行い、数値経過を含めて社内のコンプライアンス状況を立証することが、システム管理部門に要求されるでしょう。

• Webアクセス状況
• 不審Webアクセス状況
• サーバファイルアクセス状況
• メール送受信状況
• 禁止ソフトウェア導入状況
• 個人情報ファイル保有状況
• ファイル別の個人情報保有状況
• クライアント脆弱性診断状況

上記8つのセキュリティレポートを提出することで、社内のコンプライアンス状況を立証してください。単に公認会計士の要望に応える「受け身」の報告ではなく、能動的(積極的)な報告が求めれるでしょう。

いかがでしょうか、公認会計士のJ-SOX監査のポイントをご理解いただけたでしょうか。
なお、クオリティでは、今回ご紹介したポイントに即活用できる各ツールを幅広くご用意しています。詳細はクオリティ テクノロジーサイトでご確認ください。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、８つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。

いまネット上でも話題となっている、放送中のTVドラマ「監査法人」。
現在のJ-SOX監査にいたるまでの様々な経緯、そして公認会計士たちの苦悩が、大変ドラマチックに描かれています。

そんなドラマの題材になるほど、いま公認会計士の企業監査はますます厳格になりつつあります。そこで本シリーズでは、監査法人との定期協議をスムーズに進めるために、「公認会計士の視点」を分かりやすく解説しています。
いよいよ最終回の今回は、「公認会計士が納得する、有効的な内部統制システム」。企業システムにおける、具体的な強化ポイントと構築ポイントを解説しましょう。

公認会計士が納得する、有効的な内部統制システム

全社レベルで「全般統制」の有効性を高めるためには、会計システムの強化だけでは不十分です。より広角的にIT統制を行うことで、リスク管理体制が高評価されるでしょう。具体的に、3つのポイントを今週と来週の2回に分けて解説します。

■納得ポイント(1)全社的なクライアントPC操作ログ収集体制の確立

社内で利用されている全てのクライアントPCの操作ログを、確実に収集する必要があります。操作ログを収集することで、社員、取締役、全ての業務を可視化できる利点があります。またログ収集体制の整備が、確実に不正行為の抑止につながります。公認会計士からの報告要請に的確に対応するためにも、随時下記の操作ログ収集が必要となると考えられます。

• プロセス起動(アプリケーション起動)に関する記録
• ファイルへのアクセス記録
• Webアクセス行ったURLの記録
• ファイル作成や削除に関する記録
• 印刷を行ったドキュメントとプリンタの記録
• アクティブウィンドウの記録
• 送受信を行ったメールの記録と内容
• クリップボードにコピーを行ったファイル・文字列の記録
• FTP操作コマンドとパラメータに関する記録
• 定期取得を行った画面コピーと、Print Screen押下時の内容の記録
• ユーザがログオンを行った際の記録

これら11のログを、継続的に収集できるシステム体制を整備する必要があります。また、状況(ログ分析結果)に応じて、ログ収集方法をフレキシブルに修正・強化できる体制も重要になると考えられます。

いかがでしょうか、公認会計士のJ-SOX監査のポイントをご理解いただけたでしょうか。
なお、クオリティでは、今回ご紹介したポイントに即活用できる各ツールを幅広くご用意しています。詳細はクオリティ テクノロジーサイトでご確認ください。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、８つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。

J-SOX監査のスタートによって、システム管理者も公認会計士との定期協議が必要となってきました。そこで本シリーズでは定期協議をスムーズに進行させるために、「公認会計士の視点」を分かりやすく解説しています。前回に引き続き今回も公認会計士が着目する「ITリスク」に関してお話しましょう。

■公認会計士が考える、具体的な統制効果チェックポイント

公認会計士の方々は「統制目標」の達成状況を正確に把握するために、現状の統制効果をチェックを行います。それでは、定期協議でチェックされるポイントをピックアップしましょう。これらの項目をクリアできれば、きっと監査人から高評価を獲得できるはずです。

(1)アプリケーションシステム開発管理

• システム開発部門とシステム運用部門が分離している。
• システム開発規程が策定されている。
• システム開発規程の遵守証跡が作成され、定期監査を受けている。
• 開発プログラムは、定期的、または一定の進捗に応じて、定期監査を受けている。
• 開発プログラムに対する、一定のテスト体制が整備され、実行されている。
• 本番環境への移行前に、承認プロセスが設定されている。

(2)アプリケーションシステム変更管理

• システム変更担当部門とシステム運用部門が分離している。
• システム変更規程が策定されている。
• システム変更規程の遵守証跡が作成され、定期監査を受けている。
• 変更プログラムは、定期的、または一定の進捗に応じて、定期監査を受けている。
• 変更プログラムに対する、一定のテスト体制が整備され、実行されている。
• 本番環境への移行前に、承認プロセスが設定されている。
• 突発的、また臨時のジョブに対しても承認プロセスを設定している。

(3)アプリケーションシステム運用管理

• システム変更担当部門とシステム運用部門が分離している。
• システム管理規程が策定されている。
• システム管理規程の遵守証跡が作成され、定期監査を受けている。
• プロジェクト管理者(責任者)が承認したスケジュールに基いて運用されている。
• 突発的、また臨時のジョブに対しても承認プロセスを設定している。
• システムの運用において、オペレータ監視を採用している。
• 重要データは、随時バックアップデータが保管されている。

(4)アプリケーションシステムの情報セキュリティ管理

• 情報セキュリティポリシおよび関連規程が策定されている。
• ユーザIDおよびパスワードが適切に運用管理されている。
• サーバプログラム、機密プログラム、機密ドキュメントに関して、適切なアクセス制限が実行されている。
• 開発環境、変更環境、運用環境において、全て監査証跡が確保されている。
• 収集された監査証跡を定期的に分析する体制が整備されている。

いかがでしょうか、公認会計士のJ-SOX監査のポイントをご理解いただけたでしょうか。
なお、クオリティでは、今回ご紹介したポイントに即活用できる各ツールを幅広くご用意しています。詳細はクオリティ テクノロジーサイトでご確認ください。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、８つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。