ドクターQがお届けするIT統制ブログ　ITサプリ

1月19日、経済産業省から「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(以下、追補版)が公開されました。

その内容は、金融庁の「財務報告に係わる内部統制の評価および監査に関する実施基準 草案」(以下、実施基準案)を補完し、システム部門が実施すべき項目が、分かりやすく解説されています。とはいえ、追補版は約150ページのボリューム。そこで、今回から新たなシリーズ「徹底解説!! 財務報告に係わるIT統制ガイダンス」をスタートさせます。

まず、第1回目の今回は、追補版を読み解く上で必要になる、用語を解説したいと思います。追補版で新たに追加された用語もあります。実際に追補版では、第一章で各用語の概念が解説されています。その概念をベースに進めたいと思います。

■IT統制
今回の追補版では、「IT統制」の概念が明確化されました。IT統制に含まれるのは、ふたつです。金融庁の実施基準案では、「ITへの対応」が、1)IT環境への対応、2)ITの利用、3)ITの統制と、3つのカテゴリーで解説されましたが、IT統制の概念には、2)と3)の双方が含まれます。

※補足解説
1)IT環境への対応　(社内外のITの活用状況)
2)ITの利用　(財務情報の信頼性に係る内部統制の実現におけるITの利用)
3)ITの統制　(ITを利用した情報システムに対する内部統制)

また追補版では、IT統制が、次の3つに分類され、それぞれの概念が明確化されています。

■IT全社的統制
企業の統制が全体として有効に機能する環境を保証するためのITに関連する方針と手続等、情報システムを含む内部統制。

■IT全般統制
業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理に関係する方針と手続のうち、IT基盤を単位として構築する内部統制。

■IT業務処理統制
業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを担保するために業務プロセスに組み込まれたITに係わる内部統制。

さらに、金融庁の実施基準案で解説がなかったIT基盤に関しても、今回の追補版で概念が明確化されています。

■IT基盤
ITに関与する組織の構成、ITに関する規程及び手順書等、ハードウェアの構成、ソフトウェアの構成、ネットワークの構成、外部委託の状況。

追補版を理解する上でポイントになるのは、上記の5つです。それでは次回から、追補版の中身を解説していきますのでお楽しみに。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

いよいよ公開間近となった「財務報告に係る内部統制の評価及び監査に関する実施基準」。しかし、公開を待ってからの準備開始では遅すぎます。この期間でまずすべきことは、内部統制が情報システムに要求する機能を正確に把握し、現状のシステムとの差分をクリアにすることです。

そこで本シリーズでは、現在金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」に記載されている、「財務報告に係る全社的な内部統制に関する評価項目の例」に注目。それらの評価項目を通して、情報システムの整備・強化ポイントを把握することを目的に進めています。

さてシリーズ5回目の今回は、「情報と伝達」に関する評価項目をチェックしたいと思います。財務報告に係る全社的な内部統制に関する評価項目の例／“情報と伝達”には、以下の6項目があげられています。 このうち、全社的な情報システムに対してニーズが明確なのは、1）、それから3）、4）の3項目です。

1）信頼性のある財務報告の作成に関する経営者の方針や指示が、企業内のすべての者、特に財務報告の作成に関連する者に適切に伝達される体制が整備されているか。

↓↓↓↓↓↓↓

情報システムには、経営者の内部統制に関するメッセージなどを全社員に対して、確実に配信し、また把握させる機能が重要になります。

◎強制POP-UP画面表示機能
◎ファイルの操作ログ取得

などが不可欠になります。特に、ファイルの操作ログを取得することで、「社員に対して配信された社長メッセージが確実に閲覧されているか」をチェックできます。逆に閲覧していない社員のチェックも可能になります。

3）内部統制に関する重要な情報が円滑に経営者及び組織内の適切な管理者に伝達される体制が整備されているか。
4）経営者、取締役会、監査役又は監査委員会及びその他の関係者の間で、情報が適切に伝達・共有されているか。

↓↓↓↓↓↓↓

これらの2項目は共通して、客観的な監査レポートの定期作成を要求していると思われます。レポートを通じて、社内の統制活動の有効性を立証することが可能になります。監査委員会が要求するのは、下記のレポートが統合された監査レポートになるでしょう。

◎ユーザID・パスワード管理状況解析レポート
◎重要アプリケーションへのアクセスログ解析レポート
◎機密文書の操作ログ解析レポート
◎不正アプリケーション起動記録解析レポート
◎セキュリティソフトのパッチ適用状況解析レポート
◎個人情報ファイルの運用状況解析レポート
◎セキュリティポリシ違反PCの接続拒否状況解析レポート

有効性を立証するだけでなく、監査レポートの分析によって、社内に潜むリスクを解析できます。また将来的に必要になる対応策の検討も可能になります。

いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／情報と伝達」についてご紹介します。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当て、企業にとって必要な内部統制活動をご紹介している本シリーズ。

今回も前回に引き続き、「リスクの評価と対応」に関する評価項目例に着目します。個々の評価項目例（28ページ目）は金融庁のWebサイトをごらんいただくとして、今回は4つある評価項目のなかでも、特に情報システムへのニーズが明確な4項目目の例をご紹介します。

4）経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか。

↓↓↓↓↓↓↓

ここで重要になるのは、不正発生の「原因」と「背景」を、つねに客観的に分析できる体制を整備しておくことをが要求されていると思われます。そこで重要になるのが、操作ログの取得です。つまり、クライアントPC上のあらゆる操作を記録し、「誰がいつ何をおこなったのか」を詳細なログデータとして保存します。また、ログを取得していることを周知することで、クライアントPCを介して起こり得るITリスクを監視、牽制もできます。もちろん有事の場合、原因究明の証跡としても活用できる訳です。具体的には、次のようなログ取得が不可欠になると考えられます。

• 機密ファイル操作ログ
• 個人情報関連ファイルアクセスログ
• 重要DBへのアクセスログ
• メール操作ログ
• アプリケーション起動ログ

内部統制では、このようなデータによって、その有効性を立証していくことが
求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイント
などが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取
得、アプリケーション起動記録などに有効な、
内部統制システム構築に最適なツールを多数ご用意しています。12月1日より
内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。
ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は「財務報告に係る全社的な内部統制に関する評価項目の例／統制活動」
にフォーカスを当てたいと思います。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向
など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジ
ン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。
※配信は「まぐまぐ」を利用しています。

金融庁のWebサイトで公開されている「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」。本シリーズでは、同公開草案の中盤に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当てています。

統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応、と内部統制の5つの基本的要素、それぞれに関する評価基準が記述されています。それらの評価項目から、情報システムの整備・強化ポイントを把握することを本シリーズの目標に設定しています。2回目となる今回は「統制環境」に関する評価項目例です。

「財務報告に係る全社的な内部統制に関する評価項目の例／統制環境」は、全部で13項目があげられています。個々の項目は金融庁のWebサイトをごらんいただくとして、今回は情報システムへのニーズが明確な、2項と6項に関して解説していきます。

2）適切な経営理念や倫理規程に基づき、社内の制度が設計・運用され、原則を逸脱した行動が発見された場合には、適切に是正が行われるようになっているか。

↓↓↓↓↓↓↓

上記の用件を満たすコンプライアンスを徹底できる統制環境を整備するため、情報システムには下記のような要求がされると思われます。

• 重要アプリケーションへの不正アクセス防止の徹底
• 機密文書の不正活用防止の徹底
• 不正アプリケーション起動制御の徹底
• 個人情報ファイルの適正な管理状況の徹底
• クライアントPCのセキュリティポリシ遵守の徹底

6）経営者は、問題があっても指摘しにくい等の組織構造や慣行があると認められる事実が存在する場合に、適切な改善を図っているか。

↓↓↓↓↓↓↓

こちらの場合、情報システムには、社内の不正行為を見逃さないIT監査体制の整備し、次のような監査サポートを定期的に作成することが、要求されると思われます。経営者は客観的な監査サポートをベースに、適切な改善策を講じる必要があるのです。

• ユーザID・パスワード管理状況解析レポート
• 重要アプリケーションへのアクセスログ解析レポート
• 機密文書の操作ログ解析レポート
• 不正アプリケーション起動記録解析レポート
• セキュリティソフトのパッチ適用状況解析レポート
• 個人情報ファイルの運用状況解析レポート
• セキュリティポリシ違反PCの接続拒否状況解析レポート

内部統制では、このようなレポートによって、その有効性を立証していくことが求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／統制環境」にフォーカスを当てたいと思います。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

　2007年1月の正式公開が予想される、内部統制報告実務基準・実施基準。もは
や、一刻の猶予もありません。しかし、外部の監査法人に対する過度な期待は、
厳禁です。内部統制システム構築をアウトソーシングした結果、「財務報告書
の信頼性向上」という単に一つの目標達成をテーマにした内部統制システムに
なってしまうことが予測されます。

本シリーズで解説してきた通り、内部統制の最大のテーマは、「不正のない健
全な企業風土づくり」です。ITを有効活用し、新しい企業風土を根本からつく
りあげることが、最も大切なのです。そのためにも、いま一度「内部統制とは
何なのか」を正確に理解し、「現行システムの機能と運用方法に何が足りない
のか」をしっかり把握することで、準備期間の作業ボリュームを把握していた
だきたいと思います。そこで5回目の今回は、「不正対策の必要性」というテ
ーマで解説したいと思います。

不正は、企業にとってビジネスリスクです。現在、ご存知の通り社会の注目を
集めるような不祥事も連日報道されています。こうした不正の発生は、企業に
とって直接的な経済的損害を与えることはもちろん、市場での信用やブランド
イメージの低下といった間接的なダメージも与えます。こうした観点からも、
企業には内部統制システム構築を通して、しっかりとした「不正防止プログラ
ム」を構築する必要があるのです。

具体的に、不正防止プログラムは5つの要素によってサイクルを形成させる必
要があります。

1. 不正リスクの評価
2. 不正防止の統制環境の構築
3. 不正防止のための統制活動の整備・運用
4. 不正対応における情報の伝達と共有
5. 不正のモニタリング

では、もっと具体的に、不正防止プログラムにおいて重要になるデータをピッ
クアップしてみましょう。

• 機密文書の操作ログ取得
• 重要アプリケーションへのアクセスログ取得
• 個人情報関連ファイルの運用状況監視情報取得
• 不正アプリケーション起動情報取得
• セキュリティポリシ違反PCの接続情報取得
• セキュリティソフトのパッチ適用情報取得

上記のようなデータ取得が必要になることを考慮すると、現行システムに何が
足りないのか、その差分がクリアになるのではないでしょうか。

さて、クオリティでは、こうしたデータ取得に有効的、つまり内部統制システ
ム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に
フォーカスを当てた特設サイト「内部統制Ｑ救室」もオープンしましたので、
ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリア
になったでしょうか。
一つ一つ着実に対策を講じ、強固な内部統制システムを確立してください。
もちろん、Dr.Qもしっかりお手伝いします。
Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

11月7日、金融庁は同庁のWebサイトに日本版SOX法の実施基準案を
公開しました。基準確定までにはまだ若干の猶予はありますが、
内部統制システム構築の準備期間は確実に短くなっています。

本シリーズを通して、「内部統制とは何なのか」をいま一度正確に理解し、
「現行システムの機能と運用方法に何が足りないのか」をしっかり把握
することが大切です。さて3回目の今回は、「リスクマネジメントとしての
セキュリティ」に関して解説することにしましょう。

内部統制を通して、企業には「不正やごまかしを一切許さない、
社内管理・点検体制の整備」が要求されます。
こうした健全な企業風土を構築するために不可欠な要素が、
「リスクマネジメント」です。内部統制を成功させることは、
企業としてのリスクマネジメントを強化することに直結します。

リスクマネジメントという観点から、「セキュリティ」もまた内部統制に
おいて特に重視すべき点です。今回は、その中でも情報漏洩と
不正行為の原因となる可能性の高い、ユーザIDとパスワード管理に
フォーカスを当ててみましょう。

内部統制システムのユーザIDとパスワード管理で最も重要なのは、
ユーザの正当性確認機能を強化することです。

■ユーザIDとパスワード管理における主な強化機能

機能面では、具体的に下記のポイントを強化することが
内部統制システムに必須と言えます。

• ユーザIDとパスワードの発行・登録手続は、人事部門の情報とリンクさせる。
• 退職者のID・アクセス権の削除を、適切なタイミングで行う。
• 上記退職者のID・アクセス権の削除に関して、明確な社内ルールを作成。
  それに則って運用する。
• 複数の利用者間でユーザIDやパスワードで共有できない機能を整備する。
• パスワードファイルは、必ず暗号化して保存し、たとえシステム管理者で
  あっても、見ることができないようにする。
• 基幹システムへアクセス時、入力パスワードを一定回数間違えた場合は、
  アクセスできないように徹底する。
• 外部・内部から、アタックと思われる事象が発生した場合は状況が
  自動的にレポート化され、管理者に適宜報告される仕組みを整備する。

上記以外にも様々な機能強化が必要視されますが、こうした管理機能を
情報システムに追加採用することで、新法に対応した内部統制システムを
構築できると思われます。

クオリティでは、不要なアカウントや簡易なパスワードなどの脆弱性を
診断するツールをご用意しています。
テクノロジーサイトへぜひ一度アクセスしてみてください。

Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法が要求する「内部統制とは何なのか」を今一度正確に理解する
ことで、「現行システムの機能と運用方法に何が足りないのか」をしっかり
把握して、準備期間の作業内容をクリアしていただくことを目的にスタートした、
今シリーズ。

2回目の今回は「モニタリングの重要性」についてです。

モニタリングは、内部統制システムの目的を達成するために不可欠な要素。
内部統制基準の中で、モニタリングは次のように定義されています。

「内部統制が有効に機能していることを継続的に評価するプロセスをいう。
モニタリングにより、内部統制は常に監視、評価及び是正されることになる。」

つまり、内部統制用のシステムが随時その機能と効果を発揮し続けるように
監視することが重要になる訳です。これを情報システムに当てはめてみると、
「監視機能」と「データ化」の2つの強化が要求されていると考えられます。

1／監視機能

監視機能の具体例として、次のような機能が考えられます。

• セキュリティポリシー違反のPCを基幹システムにアクセスさせない監視
• 個人情報を含む重要ファイルの管理方法に対する定期的な確認
• 機密文書の配信時における、パスワードロック等の漏洩防止策採用状況の定期的な確認
• 機密ファイルに対して不正アクセスをさせない監視
• 従業員のコンプライアンスマニュアルの理解と遵守状況に関する定期的な確認

上記以外にも様々な具体例が予想されますが、こうした監視機能を情報システム
に追加採用することで、新法に対応した内部統制システムを構築できると
思われます。

2／データ化

モニタリングは、その全ての結果がデータ化される必要があります。
例えば機密ファイルに対する操作ログが、不正行為の原因究明に多いに
役立ちます。またWinnyなど、P2Pソフト（ファイル交換ソフト）の起動記録が、
社員のコンプライアンス意識分析に活用できます。
モニタリングデータは、社内の問題を明確にできるのです。
内部統制担当者の間で積極的にデータを共有して、
有効活用していくことが重要でしょう。

さて、クオリティでは、こうしたモニタリングに最適なツールを多数
ご用意しています。テクノロジーサイトへぜひ一度アクセスしてみてください。

いかがでしょうか。現行システムの課題が少しクリアになったでしょうか。
一つ一つ着実に対策を講じ、強固な内部統制システムを確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「内部統制のホント3/5：リスクマネジメントとしてのセキュリティ」に関して
解説します。 Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

セキュリティ＝生産性の低下は本当？

社内の「セキュリティ」を強化すると、社員は「禁止」されることが増えて、作
業効率や生産性が大幅に低下すると思われがちです。しかし、本当に「セ
キュリティを強化すると生産性が低下」するのでしょうか。

　確かに、セキュリティを向上させるために「USBメモリや外部メディアの利
用禁止」、「ノートパソコンの持ち出し禁止」などの制限を設けて、情報漏え
いリスクを低減させるというソリューションも存在します。こういったソリュー
ションは、情報を「出さない」という面では非常に優れています。しかし、機密
情報の如何に関わらず情報をすべて持ち出せないのでは、生産性が低下
するのは当然です。

　生産性が低下する主な要因は、守るべき情報と守らなくてもいい情報を分
類していないという点に起因します。情報を整理しないまま、それも全社一斉、
一律のセキュリティポリシーによって「禁止」してしまっているため、生産性を
大幅に低下させるという事態が引き起こるのです。

　つまり、「生産性が低下する」のは、社内の状況を把握する前に、全社的
に厳しいセキュリティ対策が施され、大幅な運用制限を実施していることが
原因です。セキュリティソリューションの導入により、生産性・運用性が低下
すれば、企業活動が鈍化し、業務効率は低下します。これによって、たとえ
情報漏えいを防ぐことができたとしても、肝心のビジネスがうまくいかないの
であれば意味がありません。作業者にとっても経営者にとっても、こういった
状況が大きな問題となりつつあります。

　「禁止」に軸足をおいたソリューションを適切に利用すれば、強固なセキュ
リティ環境を構築することができます。しかし利用方法をひとつ間違えると、
持ち出してもいい情報まで持ち出せなくなるという不条理な事態を招くことに
なり、企業内の情報のやり取りまでもが困難となってしまいます。このような
トラブルは、セキュリティのPDCAサイクルに代表されるセキュリティマネジメ
ント、「Plan（計画）-Do（実施）-Check（点検）-Action（処置）」を適切に行なわ
なかったために生じるケースが多いようです。

　また、個人情報などを含む「機密情報」や「重要情報」、漏えいしても問題と
ならない「一般情報」など、その情報の重要度に応じた分類をせずに、すべて
の情報をひとまとめにして処理してしまった結果、業務効率が大幅に低下す
るというトラブルも増えてきているようです。
　また、情報にはライフサイクルが存在するということも忘れてはなりません。
ある一定の時期はトップシークレットとして扱われていても、その期間を過ぎ
れば一般に公開されたり、廃棄可能となる情報は多いです。その際、情報を
適切な方法で処理し、情報の漏えいを防ぐことも必要です。このような情報の
ライフサイクルまで含め、作成から運用、廃棄まで管理するソリューションを
使うことで、初めてうまく運用できるといえるでしょう。

なおクオリティでは、USBメモリなど外部記憶媒体からのデータ利用は許可し
たまま、外部記憶媒体へのデータコピーを禁止、すぐに情報漏えい対策を実
現できる『eX WP』をご用意しております。
『eX WP』は利便性を高めるために、書き出しを一時解除する機能を有してい
ます。この一時解除機能は、クライアントPC利用者自身で実行できず、システ
ム管理者管理の許可の下でのみ実行されます。また、『eX CLT』と連携させる
ことで、書き出しを一時解除した際の操作ログを記録することも可能です。

>>『eX WP』、『eX CLT』に関する詳細はクオリティ Webサイトをご覧ください。
   >>コンピュータセキュリティ 対策 - クオリティ株式会社

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

"セキュリティマネジメント"を新テーマに据えて、情報セキュリティの現状をお伝えしている当ブログ。今回は個人情報保護法が定める"個人情報"に関するおさらいです。

　各企業がセキュリティ対策を行なう理由のひとつは「個人情報保護法」の完全施行です。

「個人情報保護法」が作られた背景には、国際機関において個人情報保護に関する勧告や指令が採択され、日本も「十分なレベルの保護措置」が必要になったことや、国内的な背景として、IT社会の発展による個人情報の利用拡大、それに伴う情報漏えい事件の多発、さらに「住民基本台帳ネットワークシステム」の実現による個人情報についての法整備の必要性が生じたことなどがあげられます。

「個人情報保護法」においては、個人情報を次のように定義しています。

「第二条　この法律において"個人情報"とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む）」

　つまり"生存する個人に関する情報"全体が"個人情報"として扱われることになります。これには、顧客情報のみならず、企業の従業員情報なども含まれます。また、死者に関する情報が遺族の生存する個人に関する情報でもある場合、生存する個人に関する"個人情報"となります。

　"特定の個人を識別できるもの"とも定義されているため、氏名・住所はもとより、個人の身体、財産、職種、肩書きなどの属性や、免許証番号やクレジットカード番号も含まれます。さらに「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」によると、「評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ」とあります。つまり、防犯カメラなどの映像情報や筆跡、音声なども"個人情報"となります。

「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」

という補足により、データそのものは個人情報ではなくても、照合することで個人が特定できるデータに関しては、個人情報と考える必要があります。つまり、かなり幅広い情報が"個人情報"として定義されているのです。

　なお「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」によると、電話会社から提供された電話帳や、市販の電話帳CD-ROMなどに掲載されている氏名及び電話番号、カーナビゲーションシステムなどのナビゲーションシステムに格納されている氏名、住所などのデータなどは"特定の個人の数に参入しない事例として挙げられています。

いかがでしょう。日々、統制活動を行なっている方はご存知だとは思いますが、"個人情報の範囲"があいまいだった方もいらっしゃるのではないでしょうか？　個人情報の定義を再確認し、御社の個人情報管理における統制活動にお役立てください。

■バックナンバー
情報セキュリティの現状～会社の情報資産は本当に守られているか・後編～
http://quality-blog.cocolog-nifty.com/blog/2006/08/post_0340.html

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

"セキュリティマネジメント"を新テーマに据えて、情報セキュリティの現状をお伝えしている当ブログ。連載2回目は前回の「～会社の情報資産は本当に守られているか～」の後編です。

　セキュリティ対策を行なっている企業から、なぜ情報漏えい事件が発生するのでしょうか。その原因のひとつは、急場しのぎで作成した社内規則や個人情報の取り扱いルールが、会社全体に浸透していないことが挙げられます。また、情報漏えい対策を目的としたツールに過度な期待を抱き、そのツールを使う人間そのものに注意を払わなかったという点もあるでしょう。当然のことながら、セキュリティツールを導入しただけでは、情報漏えい事件・事故はなくならないのです。

　実際、各企業におけるセキュリティ対策の内容は、状況にあわせて変化しています。昨年まで、セキュリティ関連への投資は、不正な攻撃やウイルス対策といった「外部からの脅威」に対して行なわれてきました。それが今年になって、「社員からの情報漏えい対策」、「個人情報保護法への対策」、「セキュリティ教育やセキュリティポリシーの策定」といった、「内部」のセキュリティを高める方向へと投資ニーズが変化しています。
　つまり、「どの部分を防げばいよいか」という点は各企業とも理解できているのです。しかし「どう防げばよいか」という具体策に関しては、まだ五里霧中のようです。

　多くのセキュリティソリューションが存在するなか、それぞれのソリューションの概略や特長、自社の実態に適合するのか否かなどをひとつひとつ選定していくことは、もはや不可能な状態になりつつあります。実際、セキュリティソリューションの導入を検討している企業のなかには、「なにを選択し、どのように対応すればよいかわからない」という状況に陥っているところもあるでしょう。

　「自社に必要な対策は何か」、「セキュリティリスクはどこにあるのか」といった現状認識の前に、「とりあえず」情報漏えい対策を導入した企業も多く存在しますが、これらの企業は「情報漏えい」という課題に対して、いまだ適切な答えを見つけていません。そういった企業にとって重要なのは、まずセキュリティ対策を全社的に行ない、セキュリティマネジメントとして、取り組むことではないでしょうか。

■バックナンバー
情報セキュリティの現状～会社の情報資産は本当に守られているか～・前編
http://quality-blog.cocolog-nifty.com/blog/2006/08/post_2804.html

　生産性や業務効率の向上を目指し、各企業においてIT投資が盛んに行なわれています。オフィスのIT化により、企業が保有する情報資産価値は日を追うごとに高まっていますが、その一方で、企業が蓄積している膨大な機密情報に外部からアクセスされる危険性も高まっていると言えるでしょう。

　改めて言うまでもなく、企業にとって機密情報や個人情報を含んだデータの漏えいは命取りです。価格比較サイトやカード会社からスパイウェアなどを介して情報が漏えいし、ユーザー／企業共に被害が発生した個人情報流出事件は、今も記憶に新しいものです。これら情報漏えい事件によってブランドやイメージに傷がつき、再起不能となる企業も見られました。

　これまで「セキュリティ」といえば、ウイルス対策や不正アクセス、ファイアウォールなどの「外部からの脅威」に対して身を守るという意味合いが強かったのですが、現在のセキュリティニーズは「情報漏えい対策」に移行しています。もちろん現在も不正アクセスやスパイウェア、トロイの木馬、ボットネットワークなどの脅威は存在しています。しかしそれ以上に「情報漏えい」に対する脅威が高まっています。

　情報漏えい事件・事故に関しては、「外部」だけでなく「内部」、つまり「社員」そのものがリスクとなりえます。一般に、情報漏えい事件の8割が内部からの情報漏えいと言われていて、大手プロバイダーや大規模企業などの個人情報流出事件が続いていますが、これも調査結果によると内部からの情報漏えいによるものでした。
　情報流出事件が発生したとき、ID管理やPCの操作ログなどが残っていなければ、犯行者の特定どころか、どの情報が流出したのかすらわかりません。つまり、犯人や犯行を特定しにくいという環境が、内部犯罪を生み出していると言えるでしょう。また情報漏えいは、本人の自覚がないまま事件を誘発してしまうというケースもあります。機密情報が保存されているノートパソコンやUSBフラッシュメモリーの盗難・紛失などがそれです。

　このように、企業として守るべき機密情報は、常に危険にさらされています。しかも、その危険を回避する術は、まだ十分に浸透していません。実際、セキュリティの重要さが強調され、個人情報保護法が施行された現在でも、情報漏えいの事件・事故が後を絶ちません。情報漏えい事件・事故を引き起こした企業も、情報漏えいの危険性は十分認知しており、そのための対策も行なっていたと聞きます。それにもかかわらず、情報漏えい事件は毎日のように起こっています。

　ではなぜセキュリティ対策を行っている企業が情報漏えい事件を起こすのか？
次回はその点についてお話します。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第19回目です。

さて、今回は個人情報の廃棄における統制活動に関して解説しましょう。

多くの企業のWebサイトで公開されている、個人情報保護方針。個人情報の安全保護についての部分には、「個人情報の保存・管理および廃棄ルールを徹底することで、個人情報の盗難、紛失、破壊、改ざん、漏洩についての予防措置を講じます。」という画一的な表記が目立ちます。しかし、本当に廃棄ルールが徹底されているでしょうか。
実際に、個人情報の廃棄の段階にも、様々なリスクが存在しています。それでは、どのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説しましょう。

■個人情報の廃棄におけるリスク

具体的に、2つのリスクが想定できます。
●不適切な廃棄方法によって個人情報が漏洩するリスク
●定期的な廃棄をしなかったため大量の情報が保有され、結果的に大量の個人情報が漏洩するリスク

いずれも個人情報保護法違反となる可能性があります。最近では個人情報漏洩をきっかけに、株価を大きく下げてしまう上場企業も少なくありません。企業のブランドイメージ保護の観点からも、しっかりとした統制活動が不可欠でしょう。

■個人情報の廃棄における統制活動

前述のようなリスクを軽減させる統制活動として、具体的に下記の3つをあげることができます。

1：廃棄に関するルールの明確化

下記のような社内ルールを明文化し、全社員への通達と教育を徹底することが重要です。
●個人情報の廃棄タイミングを設定する
　※取得後、一律3年で廃棄する
　※1年以上利用されていない個人情報は廃棄する
●記録媒体別に廃棄方法を設定する
　（特にデータに対しては、物理的な破壊を行うことが必須）
　※紙の資料（シュレッダー処理を行う）
　※CD・フロッピーディスク・ハードディスク（データ消去プログラムで固定データによる塗潰し消去を2回行う、など）

2：廃棄記録の作成・保管

取得から一定期間が経過した個人情報が廃棄されたのか、あるいはまだ社内に保管されているのか、状況を常時正確に把握できるように、廃棄記録を作成することが重要です。廃棄記録には、項目として最低でも下記の5つの情報を記録することが要求されます。

◎廃棄者名
◎廃棄期日
◎廃棄情報名(ファイル名)
◎廃棄方法
◎責任者認証

3：管理者による定期的な確認作業

実際に個人情報を保有している各部署の責任者が、個人情報の廃棄における社内ルール遵守状況を定期的に確認することも非常に重要です。

◎設定された時期に廃棄が行われているか
◎書類、メディアなどが社内ルールに則った方法で廃棄されているか
◎廃棄記録は適切に作成されているか　など

いかがでしょう。
4回にわたって、個人情報管理における統制活動に関して具体的に解説してきました。
このような統制活動を実施することで、リスクを確実に軽減できます。
あなたの企業は大丈夫でしょうか。
一つ一つ確実に整備しながら、ぜひ強固な内部統制を確立してください。
Dr.QがITサプリをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第18回目です。

今回は個人情報の保管に関する統制活動について解説しましょう。

個人情報の取得から利用・加工までのプロセスに関しては明確な社内規定が存在するものの、保管に関しては社内規定上も「適切な方法」といった曖昧な表現になる企業が目立つようです。

しかし、今後は個人情報が漏洩したり、滅失したりすることがないようにルールに則って厳密に保管することが求められます。また実際に、個人情報の保管段階にも、様々なリスクが存在しています。
それでは、個人情報の保管には具体的にどのようなリスクが存在して、どのような統制活動が必要なのか解説しましょう。

■個人情報の保管におけるリスク
具体的に、2つのリスクが想定できます。
●社員が不正に個人情報を持ち出すリスク
●外部からの不正アクセスによって個人情報が持ち出されるリスク

これら2つのリスク対策が不十分な企業で、個人情報漏洩が多発しています。個人情報漏洩は企業イメージを確実に悪化させます。いずれも重視すべきリスクです。

■個人情報の保管における統制活動

リスクを低減できる具体的な統制活動として、下記の3つが考えられます。

1：保管に関するルールの明確化

下記のような保管ルールを明文化し、全社員への通達と教育を徹底することが重要です。
◎個人情報ファイルは必ずパスワードを設定して保管する
◎個人情報ファイルを扱える担当者を限定する
◎個人のPCやデスクには個人情報を保管しない
◎バックアップCDなど、個人情報の入った外部記憶メディアは特定の担当者しか入室できない資料庫に保管する

2：IT統制

ルールに頼るだけでなく、次のようなIT統制もリスク軽減に有効です。また不正行為の抑止効果も期待できます。

◎ファイルアクセス制御(ファイル自体に有効期限を持たせる、メールに添付できない機能を持たせる)
◎ファイル暗号化(ファイル自体を暗号化し、第三者に渡った場合も閲覧できないようにする)
◎アクセスログ取得(個人情報のファイルに対して、いつ、誰がアクセスしたのかを自動的に記録する)
◎個人情報ファイル探査(社員のPC内に、個人情報のファイルが不適切に存在していないかチェックする)

3：職務の分離化

担当者(管理者)を2人置き、職務を分離させることで、お互いの業務への客観的なチェックが可能になり、個人情報が不正に持ち出されるリスクを軽減できます。

◎個人情報利用部門担当者(例：営業部)
◎個人情報保管部門担当者(例：情報システム部)

4：管理者による定期的な確認作業

上記2人の担当者が、個人情報の保管に関する社内ルール遵守状況を定期的に確認することが重要です。

◎認定者以外が個人情報に不正アクセスしていないか
◎社員のPCなどに個人情報が不適切に保管されていないか

いかがでしょう
このような統制活動を実施することで、個人情報の保管に関わるリスクを確実に軽減できます。
御社は大丈夫でしょうか。
ひとつひとつ確実に整備しながら、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「個人情報の廃棄における統制活動」に関して解説します。
Dr.QがITサプリをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第17回目です。

さて、今回は個人情報の利用と加工における統制活動に関して解説しましょう。

ホームページやフィードバックハガキによって集められた個人情報は、性別や年齢別に分類したり、居住地で絞り込んだりしながら、マーケティング活動や販促活動の有効なソースに変移します。こうしたプロセスを、個人情報の利用と加工と位置づけます。ここで重要なポイントはふたつ。企業は、取得した個人情報を取得時に通知した利用目的以外に利用できません。また、本人の同意なく第三者へ情報を提供することもできません。
個人情報を利用して加工する段階でも、様々なリスクが存在しています。それでは、どのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説しましょう。

■個人情報の利用と加工におけるリスク

大きく分けて、下記の3つのリスクが想定できます。
◎取得時に通知してない目的で利用してしまうリスク
◎本人の同意を得ずに、個人情報を第三者へと提供してしまうリスク
◎利用・加工段階の不適切な取扱いによって個人情報が漏洩してしまうリスク

いずれも個人情報保護法に抵触する恐れがあります。ケースによっては、カード偽造などの犯罪へと発展する可能性もあり、企業の信頼性維持の面からも非常に重視すべきリスクと言えます。

■個人情報の利用と加工における統制活動

前述のようなリスクを軽減させる具体的な統制活動は下記の4つがあります。

1：利用および加工に関するルールの明確化

下記のような社内ルールを明文化し、全社員への通達と教育を徹底することが重要です。
◎取得時に通知してない目的での利用禁止(二次利用禁止)
◎個人情報を社外に持ち出す際の許可手続

2：IT統制

ルールに頼るだけでなく、つぎのようなIT統制もリスク軽減で有効的です。

◎不正アクセス対策（個人情報のファイル自体にアクセス制御を施し、仮にデータが第三者に渡った場合もファイルを閲覧できないシステムの構築）
◎受け渡し対策（個人情報受け渡し専用の暗号化などを施した安全性の高いシステムの構築）
◎P2Pソフト(ファイル交換ソフト)対策（WinnyなどのP2PソフトがインストールされたクライアントPCでは、個人情報が受け取れない仕組みを持ったシステムの構築）
◎データ持ち出し対策（CD-Rやフラッシュメモリなどの外部記憶デバイスを使って社外にデータを持ち出させないシステムの構築）

3：確認用フローチャートの確立

個人情報が、いつ、だれによって、どのように利用され、また加工されているかを確認することも重要です。対策例として、確認用のフローチャートを作成し、作業記録を保管するなどの手法が考えられます。
フローチャートには、項目には最低でも下記の5つを含めることが要求されるでしょう。

◎利用者名
◎利用期日
◎利用目的(加工目的)
◎利用後(加工後)の保管体制
◎責任者認証

4：管理者による定期的な確認作業

個人情報の利用と加工に関わる各部署の責任者が、個人情報の利用と加工における社内ルール遵守状況を定期的に確認します。

いかがでしょう
このような統制活動を実施することで、リスクを確実に軽減できます。
御社は大丈夫でしょうか。
ひとつひとつ確実に整備することで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「個人情報の保管における統制活動」に関して解説します。
Dr.QがITサプリをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第15回目です。

さて、今回から個人情報管理において必要とされる、具体的な統制活動に関して解説したいと思います。最近、「弊社はコンプライアンス実践を経営の最重要課題と位置づけています」という社長の言葉を、WebサイトのIRページに掲載する上場企業が数多く見受けられるようになりました。大変素晴らしいことです。企業としてコンプライアンス(法令遵守)を徹底することは、すべてのステークホルダーからの共感につながり、企業としての存在価値を総合的に高めることにもなります。

コンプライアンス実践において重要なパートを占めるのは個人情報管理です。個人情報が漏洩した場合、個人情報保護法違反によって事業者は「6ヵ月以下の懲役または30万円以下の罰金」が課せられます。刑事罰による罰金は30万円と小額ですが、500万件、1000万件と漏洩したデータ件数に比例して、情報漏洩被害者の損害賠償リスクは膨れ上がります。また実被害はなくても、企業のブランドイメージは当然傷つくでしょう。

個人情報管理の各プロセスにおける、リスクと統制活動をしっかり把握するために、関連ITツールの有効性と活用方法を一層詳しく把握していただきたいと思います。もちろん、現状の管理体制のウィークポイントもクリアにできます。

個人情報管理は、具体的に次の4 つのプロセスで構成されます。

1)個人情報の取得　→　2）個人情報の利用と加工　→　3）個人情報の保管　→4）個人情報の廃棄
それぞれのプロセスで様々なリスクが発生する可能性があります。
統制活動は、それらのリスクを低減させるために必要な対応策です。
次回から、各プロセスの統制活動を分かりやすく解説していきます。
ぜひ定期アクセスをよろしくお願いします。

さる6月7日、参議院本会議で金融商品取引法（日本版SOX法）が可決され、成立しました。一刻も早く、内部統制構築に着手してください。もちろん、Dr.Qもしっかりお手伝いします。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

今回は、第6回、情報漏洩対策として「私物PCを持ち込ませない体制」についてお話します。

これまでの記事は職場のPCを想定した話題でしたが、今回は私物のノートパソコンを職場に持ち込んで作業をする場合の対策です。

職場で私物PCを使い業務をおこなった後、そのまま自宅に持ち帰ったPCでWinnyを利用し、そこからウイルスに感染し機密情報や個人情報データが流出する事件が後を絶たちません。
これらのケースから、職場での私物PCの使用はとても危険なものだということがお分かりでしょう。

しかし、過去、官公庁や企業などが、予算の関係で業務用PCを貸与できなかったため、やむを得ず私物PCを職場に持ち込んで業務をおこなっていたことがあったようです。
また、私物PCの職場での利用を禁止した後でも、私物PCを職場に持ち込んでいるという話をいまだに聞きます。

そこで、Winnyの事件に限らず情報流出リスク低減のための対策には、職場に私物PCを持ち込ませず、職場内のネットワークに接続させないことが重要です。

今回は5つ目の情報漏洩対策として、「機密情報ファイルが流出しても情報は漏らさない」に関するお話です。
前回は職場のPCからデータを持ち出せないようにするため、外部記憶デバイスへの書き込みを禁止する対策を紹介しました。
しかしながら、機密情報ファイルの社外への持ち出しを完璧に防ぐというのは至難の業です。

前回（5月17日掲載）は、システム管理者側からユーザPCの任意のソフトを起動制御する話を述べました。

今回は、機密情報漏洩防止策の3つ目として「機密データを持ち出させない」というお話をします。

前回までは、Winnyの検出と起動制御の話でしたが、職場で社内使用禁止ソフトの起動を制御しても、それだけでは対策は不十分です。社員が自宅で仕事をしようと会社の重要なデータをUSBメモリーやCD-Rなどにコピーして持ち帰り、なにもセキュリティ対策の施されていない私物PCからWinnyを媒介としてデータが流出したケースが多いのです。そこで重要なのが社内PCから「機密データを持ち出させない」ということです。

USBメモリなどの外部記憶デバイスは大容量化、低価格化しており、フロッピーなどを使っていた時代に比べて職場からのデータの持ち出しは容易になりました。この問題の解決策として、PCから外部記憶デバイスへのデータの書き込みを禁止できれば、重要データの社外流出という危険性は低減します。もちろんWinnyネットワークに機密情報が流出する可能性も低くなります。

  クオリティでは、USBメモリなど外部記憶媒体からのデータ利用は許可したまま、外部記憶媒体へのデータコピーを禁止、すぐに情報漏洩対策を実現できるeX WPをご用意しております。体験版もご用意しておりますので、ぜひ一度お試しください。
>eX WPに関する製品情報はこちら

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

前回はIT資産管理ソフトを使用することで、ユーザPCの利用状況を迅速に把握できることを述べました。

今回は情報漏洩防止策の2つ目として「禁止ソフトを起動させない」点についてお話します。

WinnyやShareなどの使用禁止ソフトウェアがユーザPCにインストールされていないかどうかの確認を、システム管理者がIT資産管理ツールを使用してチェックできたら、次は、禁止ソフトウェア本体の使用を禁止、あるいは強制的にアンインストールするといった物理的な対策が必要となってきます。

IT資産管理ツールに備わっているソフトウェア起動制御機能を利用すれば、Winnyを媒介とした機密情報漏洩を防ぐことが可能です。加えて起動を禁止するだけでなく、使用禁止ソフト使用者のデスクトップ画面に「使用禁止」、「アンインストール指示」などの警告メッセージを表示できれば効果的です。

●Winny使用PCへの警告イメージ

なおWinnyだけでなく、いわゆる「グレイネットアプリケーション」と呼ばれる、システム管理者が正式に許可していないソフト、例えば、インスタントメッセンジャーや社内使用未許可のWebブラウザ、RSSニュースリーダーやストリーミングメディアプレイヤー等も起動制御できれば、機密情報漏洩リスクを大幅に低減することができます。

このようにユーザPCにどんなソフトがインストールされているのかを把握した上で、機密情報を流出させる危険性のあるソフトの起動を禁止することで、はじめて有効な機密情報漏洩対策がとれます。

  クオリティのシステム利用制限/IT資産管理ソフト QAW では企業が正式に認めていないソフトウェアの起動制限や警告メッセージ表示に対応しています。
>>詳細はこちら

以上、Dr.QがITサプリをお届けしました。次回もお楽しみに。

悩み多き情報システム管理者のみなさんにサプリメントととなる有益な情報を提供するITサプリメント。前回の導入に続き、今回は5つのある情報漏洩防止策の1つ目として、「ユーザPCの現状把握の重要性」についてお話します。

会社が使用を禁じているWinnyなどのP2P(ファイル交換)ソフトから機密情報を守るには、まず社員が利用するユーザPCの現状把握が必要です。
ユーザPCの現状把握とは、次の3つのことをいいます。

１：PCにどんなソフト（Winnyを含む）がインストールされているか
２：OSのパッチやウイルス対策ソフトの定義ファイルは最新のものか
３：１と２の情報を台帳化して一元的に管理できているか

以上のことを、最低限認識することが、Winny対策のスタートラインといえます。

ユーザPCが10台前後なら、システム管理者も１台１台見回ってチェックできます。しかし、50台～10000台以上など、大規模となると、話は別です。管理者が1台1台チェックするには、膨大な工数がかかるため、現実的ではありません。では、多数のユーザPCの現状を迅速に把握するにはどうしたらよいのでしょうか？　こうした現状把握の際に役に立つのが、IT資産管理ソフトです。

IT資産管理ソフトとは、社内にサーバーやPCが何台設置されていて、そのCPUやメモリ容量などのハードウェア構成はどうなっているのか、インストールされているソフトの種類やバージョンはどうなっているかといった、ユーザPCのハードウェアとソフトウェア情報をネットワーク経由で収集し一元管理できるソフトです。また、ユーザPCにインストールされているWinnyを検出したり、その他の禁止ソフトの把握を行うことも可能です。

IT資産管理ソフトはIT資産の効率的な管理のみならず、Winny対策にも有効活用できます。クオリティ提供のIT資産管理ソフトのデファクトスタンダードである QND/QAW にも、WinnyがインストールされているPCを特定する機能がありますので、情報漏洩対策にぜひ利用してみてはいかがいかがでしょうか。

>QND Plusの詳細はこちら
>QAWの詳細はこちら

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

最近、ニュースや新聞などで連日のように「Winny（ウィニー）」による情報流出が報道されています。

機密情報漏洩対策が万全だと思われていた大企業や、本来情報流出があってはならない官公庁からの情報漏洩など、枚挙に暇がありません。報道されている事件は、ほんの氷山の一角で、中小企業や個人のような公になっていないものを含めると被害の件数は膨大だと考えられます。

こうした中、システム管理者の皆さんも、上司やトップからWinny対策を求められ、すでに何らかの対策を行なっている、反対にまだWinny対策に着手していない、有効な対策手段が分からないなどのお悩みをお持ちの方も多いことと思います。

実は、わたくしDr.Qに、Winny対策について、たくさんのお問い合わせを頂いています。

Winnyによる機密情報流出の多くは、

１：仕事を自宅に持ち帰り、Winnyのインストールされている自宅PCがAntinny(アンチニー)ウイルスに感染、機密情報ファイルが漏洩。



２：コスト等の問題から、やむなく私物PCの会社への持込が許可されている。Winnyのインストールされている私物PCがウイルスに感染、機密情報ファイルが漏洩。

というパターンです。
つまり、対策としては次の項目があげられます。

１：「ユーザPCの現状把握」が必要
２：「禁止ソフトを起動させない」体制が必要
３：「機密データを持ち出させない」体制が必要
４：「機密データを持ち出す場合は暗号化」が必要
５：「私物PC」を持ち込ませない体制が必要

次回から各項目の具体的な対策方法についてお話したいと思います。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。