ドクターQがお届けするIT統制ブログ　ITサプリ

経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、内部統制に対応したシステム強化を検討する上で役に立つ資料です。

当ブログでは、この追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

今回でラストとなる本シリーズの最後の解説は、前回に引き続き、共通業務／委託・受託の章で取り上げられている「受託業務」に関する管理項目と、その趣意に着目します。

◎趣旨(目的)
受託業務の内容を過不足なく実施するため、受託業務の実施内容は、契約書に記載された内容と一致させる必要がある。

受託業務では、4つのポイントが取り上げられています。その中でも趣旨が明確でシステムの強化ポイントが分かりやすいのは(2)と(4)の2つです。今回はその中でも、(4)に着目します。

(4)契約に基づき、受託業務終了後、提供されたデータ、資料、機材等を返却又は廃棄すること。

◎趣旨(目的)
業務終了後、不正防止、機密保持の観点から受託業務で提供されたデータ、資料等の回収及び廃棄の確認を行う必要がある。

◎今後の強化ポイント
従来は、業務のためクライアントから提供されたデータの消去に関して、明確なルール等定めていなかった企業も、今後は本当にデータが破棄されたことを証明するための体制整備が不可欠となります。

◎ハードディスク消去ツールによる受託業務担当PC内のデータ消去
◎HD消去証跡の作成と、お客様への提出

上記2点の対応が必要です。もちろん、機密データの消去と同様に、下記の3点への対応も同時に必要となります。

◎機密データに対するアクセス制御および機密データ専用の配信・管理システム
◎Winny、Win-MX、ShareなどのP2Pソフト検出体制の整備
◎クライアントPCに対する脆弱性監査によるセキュリティホール発生リスク低減

いかがでしょうか、今後の委託業務の強化ポイントをご理解いただけたでしょうか。
クオリティのツールを有効活用すれば、委託元と委託先のIT環境を同等のセキュリティレベルに維持することも可能です。
ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。
質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

総務省の調査によると、2006年度の行政機関および独立行政法人における個人情報関連の事故は1807件。中でも1001人以上の個人情報がネットに流出した事故が行政機関で9件、独立行政法人で16件も発生しています。
やはり上場企業や大会社などの基準を抜きにして、日本企業や行政機関全体にIT統制の必要性を強く感じます。

さて、そんなIT統制の具体的な整備を進めていく上でガイドラインとして有効活用できるのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。
本シリーズでは、追補版のポイントを一つ一つ分かりやすく解説しています。

本シリーズも、今回が最後のテーマ!!　共通業務／委託・受託の章で取り上げられている「受託業務」に関する管理項目と、その趣意、つまり目的に着目したいと思います。
システム管理者のみなさんも、今後システム開発の受託業務が発生した場合などで的確なアドバイスができるように、ぜひ統制ポイントを把握しておいてください。

受託業務では、4つのポイントが取り上げられています。その中で、(2)と(4)の2つに着目したいと思います。今回はその中でも、(2)に着目します。

(2)受託業務の実施内容は、契約内容を遵守すること。

◎趣旨(目的)
受託業務の内容を過不足なく実施するため、受託業務の実施内容は、契約書に記載された内容と一致させる必要がある。

◎今後の強化ポイント
納期、価格、品質を守るだけではなく、受託企業サイドには今後下記の項目への対応が必須になると考えられます。今後、至急取り組むべきIT統制の強化ポイントとして捉えてください。

◎受託業務担当クライアントPCに対する脆弱性監査システム
◎機密データに対するアクセス制御および機密データ専用の配信・管理システム
◎外部記憶メディアへの安易なデータコピー制御

企業の訴求ポイントは、今後、開発力やコストパフォーマンスだけでなく、確実に「リスク対策力」も重要になります。IT統制＝市場競争力をアップさせる先行投資と考えることが必要です。

いかがでしょうか、今後の委託業務の強化ポイントをご理解いただけたでしょうか。
クオリティのツールを有効活用すれば、委託元と委託先のIT環境を同等のセキュリティレベルに維持することも可能です。
ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。
質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、内部統制に対応したシステム強化を検討する上で役に立つ資料です。

当ブログでは、この追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

前回に引き続いて通業務／委託・受託の章で取り上げられている「委託業務」に関する管理項目と、その趣意、つまり目的に着目したいと思います。

契約(委託先契約)では、7つのポイントが取り上げられています。
その中でも、制趣旨が明確でシステムの強化ポイントが分かりやすいのは(4)(6)(7)の３つです。今回は(6)(7)に着目します。

(6)業務終了後、委託業務で提供したデータ、資料等の回収及び廃棄の確認を行うこと。

◎趣旨(目的)
業務終了後、不正競争防止、機密保持の観点から委託業務で提供したデータ、資料等の回収及び廃棄の確認を行う必要がある。

◎今後の強化ポイント
以下のポイントが、発注企業サイドは委託先を選定する重要な基準となり、また受託企業サイドは大きなアピールポイントになると考えられます。

◎発注企業から支給された、例えば顧客情報などの機密データを、クライアントPC内から物理的に確実に消去できたことを立証できる機能をITで整備している。
◎支給された機密データをCD-RやUSBメモリに、安易にコピーできない制御機能をITで整備している。
◎発注企業から支給された機密データに対する操作ログを全て取得しレポート化。不正流出などの事実が無いことを立証できるシステム機能を整備している。

(7)委託した業務の結果を分析及び評価すること。

◎趣旨(目的)
今後の委託計画及び委託先選定に反映するため、委託した業務の結果を分析及び評価する必要がある。

◎今後の強化ポイント
ここでいう「結果」は業務の完成を意味するのではありません。今後は、完成までの業務プロセスも含めて総合的な業務プロセスや開発プロセスをクリアにする必要があります。

◎受託企業内の開発プロセスにおける、機密ファイルの操作ログを定期レポート化
◎開発プロセスで活用されたクライアントPCの脆弱性監査を定期レポート化

受託企業内の監査を定期的に行い、レポートを定期作成して提出することで、発注企業サイド、受託企業サイドの双方で様々なリスクの予見も可能となります。

いかがでしょうか、今後の委託業務の強化ポイントをご理解いただけたでしょうか。
クオリティのツールを有効活用すれば、委託元と委託先のIT環境を同等のセキュリティレベルに維持することも可能です。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

先日、またしても某行政機関から重要な行政情報が、Winnyを介してインターネット上に流出してしまいました。同行政機関では、業務データの持ち出しを禁止し、ファイル交換ソフトについても情報漏洩の危険性をアナウンスしていたものの、結果守られていませんでした。しかし、これが多くの企業や行政機関での「実状」でしょう。通達や告知だけでは、情報漏洩リスク対策はもはや不十分。やはりITによって物理的に情報漏洩リスク対策などを強化できるIT統制が不可欠です。

さて、そんなIT統制の具体的な整備を進めていく上でガイドラインとして有効活用できるのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。本シリーズでは、追補版のポイントを一つ一つ分かりやすく解説しています。

本シリーズも、いよいよファイナルゾーンです。今回は、共通業務／委託・受託の章で取り上げられている「委託業務」に関する管理項目と、その趣意、つまり目的に着目したいと思います。システム管理者のみなさんも、外部企業へのシステム開発業務の委託などが想定され、他人事ではありません。統制ポイントを把握しておく必要があります。

契約(委託先契約)では、7つのポイントが取り上げられています。その中でも、制趣旨が明確でシステムの強化ポイントが分かりやすいのは(4)(6)(7)の３つです。今回はその中でも、(4)に着目します。

（4）委託先における誤謬防止、不正防止、機密保護等の対策の実施状況を把握し、必要な措置を講じること。

◎趣旨(目的)
委託契約どおりに誤謬防止、不正利用、漏えい、プライバシーの侵害等を防止する対策を実現するため、誤びゅう防止、不正防止、機密保護等の対策の実施状況を把握し、適切な対策を講ずる必要がある。

◎今後の強化ポイント
以下のポイントが、発注企業サイドは委託先を選定する重要な基準となり、また受託企業サイドは大きなアピールポイントになると考えられます。

• 該当業務に活用するクライアントPCの脆弱性監査を定期的に行っている。
• 機密情報の不正流出防止策として、Winny、Win-MXなどのP2Pソフトのインストール、起動が無いことを立証できる制御機能と監査機能をITで整備している。
• クライアントPCの脆弱性監査レポートを定期的に提出し、セキュリティレベルを立証できる。

いかがでしょうか、今後の委託業務の強化ポイントをご理解いただけたでしょうか。
クオリティのツールを有効活用すれば、委託元と委託先のIT環境を同等のセキュリティレベルに維持することも可能です。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、内部統制に対応したシステム強化を検討する上で役に立つ資料です。

当ブログでは、この追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

前回に引き続いて共通業務／委託・受託の章で取り上げられている「契約(委託先契約)」に関する管理項目と、その趣意、つまり目的に着目したいと思います。

共通業務／委託・受託は、全部で8つのポイントがあります。その中でも情報システム部門に関係するのは(1)(2)(8)の3つです。前回解説した(1)に続いて、今回は(2)と(8)をご紹介します。

(2)コンプライアンスに関する条項を明確にすること。

◎趣旨(目的)
情報の不正利用、漏えい、プライバシーの侵害等を防止するため、契約時に不正防止、機密保護等の対策を明確にする必要がある。

◎今後の強化ポイント
多くの契約書が「適切な措置を講ずる」や「必要な措置を採る」といったあいまいな表現が使われています。しかし、今後は情報セキュリティレベルの維持管理に関する具体的な方策と、また客観的な立証を要求する必要があります。例えば、委託先は業務上どのようなツールとシステムを活用して個人情報の社外へのデータ持ち出しを制御するのか。またWinnyがインストールされた私物PCが委託先の業務ネットワークに接続された場合、どのようなツールとシステムを活用して接続を拒否するのか。今後は契約書の中で、委託先の管理体制を明記して法令遵守を徹底させる必要があります。

(8)システム監査に関する方針を明確にすること。

◎趣旨(目的)
委託先の委託業務内容の信頼性、安全性、効率性の確保を担保するために、委託契約にシステム監査に関する方針を明確にする必要がある。

◎今後の強化ポイント
従来の契約書において「監査」に関する表記は、いわば形式的なものでした。しかし、潜在するリスクを可視化するためにも、今後は定期的な監査が必須となります。ここで有効活用できるのが、セキュリティ監査レポートの定期的な提出です。個人情報の管理状況に関する数値レポート、Winnyなどの起動状況に関する数値レポートなど、客観性の高いセキュリティ監査レポートを委託先から定期的に提出させることが重要になります。

いかがでしょうか、今後の委託先管理の強化ポイントをご理解いただけたでしょうか。クオリティのツールを有効活用すれば、委託元と委託先のIT環境を同等のセキュリティレベルに維持することも可能です。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

2007年7月31日、総務省の指導に対して某公社が発表した個人情報漏洩再発防止策。その内容をご覧になったでしょうか。防止策で残念だったのが、「USBメモリやCD-Rの持ち込みを禁止する指導を徹底する」という内容にとどまっていて、「IT統制によって個人情報の持ち出しを物理的に不可能にする」という本来盛り込まれるべき表現が見当たらなかった点です。とにかくIT統制の必要性を、強く感じた事案でした。

さて、そんな中、IT統制の実務ガイドとして各方面で注目されているのが経済産業省からリリースされている「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

25回目となる今回は、共通業務／委託・受託の章で取り上げられている「契約(委託先契約)」に関する管理項目と、その趣意、つまり目的に着目したいと思います。

業務システムの開発や顧客向けダイレクトメールの発送などにおいて、委託先の業務がずさんであったために委託先から個人情報などが漏洩した場合も、責任を問われるのは委託元企業です。システム管理者のみなさんから見ても、委託先管理は他人事ではありません。いま一度、委託先管理の重要性を認識してください。一方、受託側のみなさんは、今回の解説を通して自社のシステム強化のポイントをクリアにできるはずです。

契約(委託先契約)では、8つのポイントが取り上げられています。その中でもITサプリでは(1)(2)(8)に着目したいと思います。

(1)契約は、委託契約ルール又は受託契約ルールに基づいて締結すること。

◎趣旨(目的)
委託契約を確実に行うため、委託契約ルール又は受託契約ルールに基づいて締結する必要がある。

◎今後の強化ポイント
ここで重要なのは、委託先選定において明確な統一基準を策定しておくことです。例えば、個人情報の利用や加工、保管、廃棄などを委託する場合であれば、統一基準に盛り込むべきポイントは次のようになります。

※プライバシーマークなどの認証を取得している企業
※一定の情報セキュリティレベルの維持と管理
※年2回のセキュリティ監査レポートの提出

これら3つに対応できる企業こそ、今後の委託先にふさわしい企業と考えられます。
コストだけを見るのではなく、リスク対策の観点から委託先を選定することも非常に重要になるでしょう。

いかがでしょうか、今後の委託先管理の強化ポイントをご理解いただけたでしょうか。
クオリティのツールを有効活用すれば、委託元と委託先のIT環境を同等のセキュリティレベルに維持することも可能です。
Dr.QがITサプリをお届けしました。 次週は委託・受託／契約(委託先契約)に関する残りの(2)(8)について解説していきます。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、内部統制に対応したシステム強化を検討する上で役に立つ資料です。

当ブログでは、この追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

先週に引き続き、今週も運用業務／情報システムの廃棄に関する管理項目とその趣意の続きを解説したいと思います。では早速、趣旨から、システム強化ポイントをチェックしていきましょう。

情報システムの廃棄では、2つのポイントが取り上げられています。先週解説した(1)に続いて、今回は(2)をご紹介します。

(2)旧情報システムの廃棄方法及び廃棄時期は、不正防止及び機密保護の対策を考慮して決定すること。

◎趣旨(目的)
不正防止、機密保護及びプライバシー保護のため、廃棄方法及び廃棄時期は、不正防止及び機密保護の対策を考慮して決定する必要がある。

◎システム強化ポイント
単なるファイル削除やハードディスクフォーマットでは、不正防止・機密保持対策は不十分です。今後、個人情報保護法が改正され個人まで罰則対象が拡大されることが予測されます。

こうした法改正の動向も考慮し、企業には「ハードディスク消去ツール」の導入が必須になるでしょう。またハードディスクの中のデータを完全に消去するだけでなく、その管理情報をDB化することも重要です。廃棄PCごとに、最終設置場所、最終PC使用者、HD消去実行日、HD消去責任者などの各情報を管理すべきです。

こうした管理体制が、万一の情報漏洩発生時に漏洩経路確認などにおいても有効活用できることは言うまでもありません。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

つい先日、某大手保険会社の代理店で発生した個人情報流出事件。原因は、またしても「Winny」でした。同社の対応策は、「今後代理店に対して、ファイル共有ソフトの利用中止など注意喚起を実施していく」とのことでしたが、こうした対応策にこそ「IT統制」を採用すべきだと改めて強く感じました。今後は、 IT統制によって物理的に制御することがWinny対策のスタンダードになっていくでしょう。

さて、そんな中、IT統制の実務ガイドとして非常に役立つのが経済産業省からリリースされている「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目したいと思います。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

ではさっそく運用業務／情報システムの廃棄に関する管理項目と、その趣意、つまり目的に着目したいと思います。ここでいう「情報システムの廃棄」には、期間満了にともないリース会社に返却されるクライアントPCなども含まれます。

情報システムの廃棄では、2つのポイントが取り上げられています。(1)(2)ともに、統制趣旨が明確でシステムの強化ポイントが分かりやすい内容となっています。

(1)旧情報システムは、リスクを考慮して廃棄計画を策定し、ユーザ、運用及び保守の責任者の承認を得て廃棄すること。

◎趣旨(目的)
旧情報システムの廃棄を円滑かつ確実に実施するため、リスクを考慮した廃棄計画を策定し、ユーザ、運用及び保守の責任者の承認を得て廃棄する必要がある。

◎システム強化ポイント
廃棄計画のベースとなる「基準」を明確にする必要があります。基準を策定する上で重要なのは、全社的なIT資産管理ツールの導入によるクライアントPCの稼動状況に対するモニタリングです。スペック的観点廃棄すべきか、稼動率的観点から廃棄すべきか、あるいはHD稼働期間的観点から廃棄すべきか、全ての基本はIT資産管理ツールによるインベントリ情報収集です。インベントリ情報収集によって、リスクの洗い出しも可能となります。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、内部統制に対応したシステム強化を検討する上で役に立つ資料です。

当ブログでは、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

先週に引き続き、今週も運用業務／構成管理に関する管理項目とその趣意の続きを解説したいと思います。では早速、趣旨から、システム強化ポイントをチェックしていきましょう。

構成管理では、4つのポイントが取り上げられていますが、このうち統制趣旨が明確でシステムの強化ポイントが分かりやすい、(1)(2)(3)の3項目に着目します。今週は(2)(3)についてご紹介しましょう。なお項目(1)の解説は先週の記事を参照してください。

(2)ソフトウェア、ハードウェア及びネットワークの構成、調達先、サポート条件等を明確にすること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
情報システムの機能維持及び障害時の早期回復を図るため、ソフトウェア、ハードウェア及びネットワークの構成、調達先、サポート条件等を明確にする必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
サポート条件を明確にすることは、言い換えれば「サポート対象外」のハードウェアやソフトウェアを発生させないことです。例えば、サポート対象外のフリーウェアがインストールされているクライアントPCを発見した場合は、遠隔で起動を制御できる機能を管理システムに持たせることが極めて重要になります。さらに、システム管理者側からの通達に従わないクライアントPCのインターネット接続を、強制的に遮断できる機能を持たせることも必須になるでしょう。

(3)ソフトウェア、ハードウェア及びネットワークの導入並びに変更は、影響を受ける範囲を検討して決定すること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
情報システムの停止、機能低下等を防止し、安定稼働を図るため、ソフトウェア、ハードウェア及びネットワークの導入及び変更は、影響を受ける範囲を検討して決定する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
組織の改編や人事異動などクライアントPCが移動し、ネットワークの構成が変更されるケースに対しても、即対応できる管理体制を構築しておく必要があります。最適なのは、フロアマップなどのグラフィックと連動して、該当インベントリ情報を含むクライアントPCの移動、削除を容易にできる管理システムです。クライアント監査自体を可視化できるため、統制活動にシステム管理部以外の方も参加が可能となるでしょう。経営層の積極参加が実現します。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

今朝の朝刊をご覧になって、ますますIT統制の重要性を感じた方も多かったのではないでしょうか。現行の個人情報保護の仕組みには、個人情報保護法による規制がありますが、個人には罰則規定がありませんでした。しかし、これが大きく変わります。経済産業省は、クレジットカード会社の社員などによるカード番号の情報漏洩や不正利用に懲役や罰金を科す方針を固めたようです。個人情報を扱う企業には、ますます情報管理、そしてIT統制を徹底していくことが要求されます。

さて、そんな中、IT統制の実務ガイドとして非常に役立つのが経済産業省からリリースされている「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。そこで本シリーズでは、追補版のポイントをひとつひとつ分かりやすく解説しています。

今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

今回は、運用業務／構成管理に関する管理項目と、その趣意、つまり目的に着目したいと思います。趣旨から、システム強化ポイントを具体的に解説しましょう。

構成管理では、4つのポイントが取り上げられていますが、統制趣旨が明確でシステムの強化ポイントが分かりやすい、(1)(2)(3)に注目したいと思います。このうち今週は(1)についてご紹介しましょう。

(1)管理すべきソフトウェア、ハードウェア及びネットワークの対象範囲を明確にし、管理すること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
ユーザ、ネットワーク管理の責任者、ベンダ間で、管理すべきソフトウェア、ハードウェア及びネットワークの二重管理の防止、及び管理の漏れが生じないように、管理の対象範囲を明確にして効率的に管理する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
管理ルールを策定する上でも重要になるのは、まずIT資産管理ツールを導入し、現状を把握することです。社内に、どのようなハードウェアが存在し、またどのようなソフトウェアが活用されているか、基本情報を正確に把握した上で、どのように管理すべきか検討することが重要です。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、内部統制に対応したシステム強化を検討する上で役に立つ資料です。

当ブログでは、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

先週に引き続き、今週も運用業務／ネットワーク管理に関する管理項目とその趣意の続きを解説したいと思います。では早速、趣旨から、システム強化ポイントをチェックしていきましょう。

ネットワーク管理では、6つのポイントが取り上げられていますが、このうち統制趣旨が明確でシステムの強化ポイントが分かりやすい、(1)(2)(3)(5)の4項目に着目します。今週は(2)(3)(5)についてご紹介しましょう。なお項目(1)の解説は先週の記事を参照してください。

(2)ネットワークへのアクセスコントロール及びモニタリングは、有効に機能すること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
ネットワークへの侵入及び不正利用を未然に防止し、早期に発見するため、ネットワークへのアクセスコントロール及びモニタリングが有効に機能していることを確認する必要がある。

(3)ネットワーク監視ログを定期的に分析すること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
ネットワークへの侵入及び不正利用を検出して必要な対策を講ずるために、ネットワーク監視ログを定期的に分析する必要がある｡

(5)ネットワークの利用状況を記録し、定期的に分析すること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
ネットワークの利用状況を記録し、定期的に分析することネットワークの効率的で安定した稼働を図るため、利用状況を記録し、定期的に分析する必要がある。

↓↓↓↓↓↓↓↓

◎(2)(3)(5)共通のシステム強化ポイント

(2)(3)(5)が指摘する強化ポイントは、アクセスコントロールとモニタリング機能。それらは、IT統制の中で極めて重要な機能です。万一の場合の証拠として活用するためにも、ネットワーク監視機能を強化する必要があります。また、セクションごとのPCに対するリスク把握のためにモニタリングデータを定期的にレポート化して分析することも重要です。

例えば「どのセクションのどの担当者が、いつ、セキュリティポリシ違反PCをネットワークに接続させようとしたのか」などのデータのレポート化が必要です。定期レポートの比較分析によって、IT統制の有効性も立証できます。最終的に、監査法人に対して解説する際にも極めて重要な役割を果たすことになります。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

今度はスーパーマーケット。先日、某スーパーマーケットのカード会員情報約2万件が、インターネット上へ流出してしまいました。流出の経緯は、末端の個人事業者のPCのウイルス感染。結果、PC内の「Share」を通じてデータが流出してしまったようです。

さて、このようなリスクを予見し、未然に防止するのが内部統制の大きな役割のひとつです。とは言え、単に個人情報保護法を遵守するという１つの目的を達成するためにも、ウイルス対策やP2Pソフト対策、そして外部委託先統制まで、実は相当数の対策が必要になることが分かります。

そんな内部統制システム構築の実務ガイドとして非常に有効的なのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。そこで本シリーズでは、追補版のポイントを一つ一つ分かりやすく解説しています。

今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

今回は、運用業務／ネットワーク管理に関する管理項目と、その趣意、つまり目的に着目したいと思います。趣旨から、システム強化ポイントを具体的に解説しましょう。

ネットワーク管理では、6つのポイントが取り上げられていますが、このうち統制趣旨が明確でシステムの強化ポイントが分かりやすい、(1)(2)(3)(5)の4項目に注目したいと思います。まず今週は(1)についてご紹介しましょう。

(1)ネットワーク管理ルールを定め、遵守すること。

◎趣旨(目的)
ネットワークの正常かつ効率的な稼働のため、ネットワーク管理ルールを定め、遵守する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
単なる文書化と配布ではなく、管理ルールの運用管理と遵守をITで実行する必要があります。これこそ、まさにIT統制です。例えば、ネットワーク管理ルールの中に「ウイルス対策ソフトの定義ファイルに更新漏れのあるセキュリティポリシ違反のPCは基幹ネットワークに接続しないこと。」という内容があれば、万一セキュリティポリシ違反PCが接続された場合に自動検知して、接続を拒否できるネットワーク監査機能を整備する必要があります。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、内部統制に対応したシステム強化を検討する上で役に立つ資料です。

当ブログでは、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

今回は、先週の運用業務／ハードウェア管理に関する管理項目とその趣意の続きを解説したいと思います。では早速、趣旨から、システム強化ポイントを具体的に解説しましょう。

ハードウェア管理では、6つのポイントが取り上げられていますが、今週は(3)(5)(6)に注目したいと思います。なお(1)と(2)の解説は先週の記事を参照してください。

(3)ハードウェアは、定期的に保守を行うこと。

◎趣旨(目的)
ハードウェア障害による情報システムの停止及び機能低下を未然に防止するため、定期的に保守を実施する必要がある。

◎システム強化ポイント
特に通常業務で活用されているファイルサーバ、アプリケーションサーバ、システムサーバ、そしてクライアントPCに関しては、ハードウェアのメンテナンス時期を統括管理することが重要です。従来のように、壊れたから修理するという姿勢ではなく、保守の周期を一定化してリスクを低減すべきです。また、一連の管理をITによって行うことが基本となります。

(5)ハードウェアの利用状況を記録し、定期的に分析すること。

◎趣旨(目的)
ハードウェアの有効利用を図り、不正利用を防止するため、利用状況を記録し、定期的に分析する必要がある。 

◎システム強化ポイント
今後は従来以上に、クライアントPCから収集するインベントリ情報項目を強化する必要があります。利用可能メモリや、ローカルドライブ毎の総容量、ローカルドライブ毎の空き容量などの詳細情報を収集し、自動的に定期レポート化できる体制が要求されます。

(6)ハードウェアの保管、移設及び廃棄は、不正防止及び機密保護の対策を講じること。

◎趣旨(目的)
ハードウェアの盗難、紛失等による権限者以外のハードウェア利用の防止、及びデータ等の情報資産保護のため、ハードウェアの保管、移設及び廃棄は、不正防止及び機密保護の対策を講ずる必要がある｡

◎システム強化ポイント
利用者変更のPCや廃棄PCに対して、ハードディスクを完全消去できる環境構築が必要です。HDD消去証跡を文書化(データ化)して残すことも重要となります。最終設置場所、最終PC使用者、HDD消去実行日、HDD消去責任者などを文書化(データ化)して管理する必要があります。

いかがでしょうか。今後のシステム強化ポイントがクリアになったでしょうか。
次回は引き続き、運用業務／ハードウェア管理に関する管理項目の(3)、(5)、(6)について説明します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

いまだ途絶えるこのない、Winnyによる機密情報漏洩。
先日、今度は某教育機関で生徒の個人情報が、教師のパソコン内のWinnyを通じて不正流出してしまいました。
経済産業省からリリースされたシステム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、情報漏洩等のリスク対策を検討する上でも、非常に有効的な指針になります。

今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目したいと思います。(追補版のPDFでは、P99からはじまります)

今回は、運用業務／ハードウェア管理に関する管理項目と、その趣意、つまり目的に着目したいと思います。趣旨から、システム強化ポイントを具体的に解説しましょう。

ハードウェア管理では、6つのポイントが取り上げられていますが、このうち統制趣旨が明確でシステムの強化ポイントが分かりやすい、(1)(2)(3)(5)(6)に注目したいと思います。

(1)ハードウェア管理ルールを定め、遵守すること。

◎趣旨(目的)
ハードウェアの適切な利用を図り、障害を防止し、自然災害、不正行為等から保護するため、ハードウェア管理ルールを定め、遵守する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
管理ルールの策定には、第一に社内のハードウェアを網羅した全社的なIT監査体制を強化することが重要です。ここで言うハードウェアとは、単にPCのハードウェアだけでなく、各サーバのハードウェア、プリンタ、ルータ、スイッチなど全てを網羅した監査体制を整備する必要があります。特にクライアントPCのハードウェア関連情報を収集し、セキュリティポリシ違反の私物PCの基幹ネットワークへのアクセスを徹底的に排除できる監査体制確立などが、まず第一に必要となります。

(2)ハードウェアは、想定されるリスクに対応できる環境に設置すること。

◎趣旨(目的)
障害、自然災害、不正行為等が情報システムに及ぼす影響を最少にするため、ハードウェアは想定されるリスクに対応できる環境に設置する必要がある。

◎システム強化ポイント
ITによる監査体制に「例外」を残してはいけないことを意味しています。一般社員から管理職、役員、全ての人員が利用する全てのハードウェアを監査対象にする必要があります。また、例外を残さないことで、リスク対策を徹底できる利点があります。

いかがでしょうか。今後のシステム強化ポイントがクリアになったでしょうか。
次回は引き続き、運用業務／ハードウェア管理に関する管理項目の(3)、(5)、(6)について説明します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

■SOX法時代のセキュリティ体制へ■
徹底解説!! 財務報告に係わるIT統制ガイダンス その16

2008年4月からの内部統制システム本格稼動まで、残りわずか10ヶ月あまり。すでに多くの企業が、「不足部分」の強化段階に入っているようです。さて、そんなシステム強化を検討する上で非常に役立つのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

前回と今回の2回に分けて、「付録2．システム管理基準の統制目標」の運用業務／ソフトウェア管理について解説しています。

ソフトウェア管理の項目では、9つのポイントが取り上げられています。このうち今回は、統制趣旨が明確でシステムの強化ポイントが分かりやすい、(1)(2)(7)(8)(9)のなかから、(7)(8)(9)に関するシステム強化ポイントを解説します。なお(1)(2)に関する解説は、前回のブログ記事を参照してください。

(7)ソフトウェアに対するコンピュータウイルス対策を講じること。

◎趣旨(目的)
ソフトウェアをコンピュータウイルスから保護するため、コンピュータウイルス対策を講ずる必要がある。

◎システム強化ポイント
業務に活用されている市販ソフトウェアはもちろん、セキュリティソフトやOSにいたるまで対策を徹底する必要があります。例えばセキュリティパッチやウイルス定義ファイルの更新を、例外なく全てのクライアントPCに徹底できる、管理体制を整備することが重要です。従来、ユーザ任せにしてきた部分をIT統制によって管理することが求められます。


(8)ソフトウェアの知的財産権を管理すること。

◎趣旨(目的)
開発したソフトウェアの知的財産権の保護及び導入したソフトウェアの知的財産権の侵害を防止するため、知的財産権を管理する必要がある。

◎システム強化ポイント
例えば、一社員によって不正コピーされた市販ソフトウェアがインターネットオークションで出品される……、こうした一人の社員の知的財産権の侵害が、企業全体の信頼度低下につながります。ライセンス管理はもちろん、外部メディアへのデータコピーなどを防止できる体制をITによって整備することが、企業としてのリスクマネジメントの見地からも極めて重要となります。

(9)フリーソフトウェアの利用に関し、組織体としての方針を明確にすること。

◎趣旨(目的)
フリーソフトウェアは低コストで便利な反面、処理結果の無保証、コンピュータウイルス混入の危険性、知的財産権侵害等のリスクもあり、利用の際は、組織体として一定の方針を定める必要がある。

◎システム強化ポイント
対象とすべきフリーソフトには、WinnyやWin-MX、さらにShareなどのP2Pソフトも含まれます。社内の全てのクライアントPCに対する監査体制を強化し、レギュレーション違反のソフトウェアがインストールされていないか、またソフトウェアが削除されない場合は、強制的にネットワーク接続を停止できる機能などが監査システムに要求されます。今後は、社内で指定した以外のソフトウェアのインストールと利用を禁止することが、IT統制の常識となるでしょう。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひクオリティ テクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

2008年4月からの内部統制システム本格稼動まで、残りわずか10ヶ月あまり。すでに多くの企業が、「不足部分」の強化段階に入っているようです。さて、そんなシステム強化を検討する上で非常に役立つのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

今回も引き続き、追補版の付録として巻末に掲載され、豊富なシステム強化ポイントの例示が書かれた「付録2．システム管理基準の統制目標」に注目したいと思います。(追補版のPDFでは、P99からはじまります)

6回目となる今回は、運用業務／ソフトウェア管理に関する管理項目と、その趣意、つまり目的に着目したいと思います。趣旨から、システム強化ポイントを具体的に解説しましょう。

ソフトウェア管理では、9つのポイントが取り上げられていますが、このうち、統制趣旨が明確でシステムの強化ポイントが分かりやすいのは(1)(2)(7)(8)(9)の5つです。その中から今回は、(1)と(2)に関するシステム強化ポイントを解説します。

(1)ソフトウェア管理ルールを定め、遵守すること。

◎趣旨(目的)
ソフトウェアの適切な利用及び不正防止のため、開発、運用及び保守業務に応じたソフトウェアの取扱い、管理の体制等をルールとして定め、遵守する必要がある。

◎システム強化ポイント
ここでのポイントは、自社開発されたソフトウェア、また市販されているソフトウェアの双方が対象となる点です。今後は、自社専用の業務ソフトに関しても、ITによる管理体制を強化することで不正防止を徹底し、同時にその管理体制を明文化し、社内に通達する必要があります。

(2)ソフトウェアへのアクセスコントロール及びモニタリングは、有効に機能すること。

◎趣旨(目的)
ソフトウェアの不正利用を防止するため、アクセスコントロール及びモニタリングが有効に機能していることを確認する必要がある。

◎システム強化ポイント
社内で利用される全てのソフトウェアを対象として、その利用状況を随時把握できる監査体制を整備することが要求されます。

◎誰が(どのクライアントPCが)
◎いつ
◎どのソフトウェアを
◎どのように操作したのか

その履歴を全て取得し、定期的に分析できる体制が必要となります。また、こうした体制が不正行為の抑止につながることは言うまでもありません。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひクオリティ テクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

内部統制システムの「本番稼動」まで、残りわずか。本番前のテスト稼動期間に非常に役立つ資料が、本シリーズで取り上げている経済産業省が公開した「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

前回に引き続き、運用業務/出力管理に関する管理項目と、その趣意、つまり目的に着目します。運用業務/出力管理でのポイントとなるのは、全7項目のうち、(1)(3)(5)(7)の4項目です。その中から今回は、(5)と(7)に関するシステム強化ポイントを解説します。

（5）出力情報の保管及び廃棄は、出力管理ルールに基づいて行うこと

◎趣旨(目的)
出力情報の紛失、盗難、漏えい等を防止するため、保管及び廃棄は、出力管理ルールに基づいて行う必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
今後は、全ての機密文書や個人情報に対して、「ファイルの有効期限」を設定することが要求されます。具体的には、重要なファイルはつねに認証キー付きでの配信(出力)を行い、ファイルの有効期限を設定。有効期限後は、ファイルの閲覧自体を不可能にすることが重要となります。こうしたシステム整備によって、機密文書の漏洩リスクを確実に低減できます。

（7）出力情報の利用状況を記録し、定期的に分析すること

◎趣旨(目的)
出力情報の有効活用を図るため、利用状況を記録し、定期的に分析する必要がある。

◎システム強化ポイント
出力された(配信された)全ての機密文書や個人情報に対して、操作ログを取得できる体制整備が必須です。

◎ 誰が
◎ いつ
◎ どのファイルを
◎ どう操作したのか

などの操作ログを取得し、情報の利用状況を分析することが要求されます。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひクオリティ テクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

先日、動向調査のためにアマゾンで「内部統制」をキーワードに書籍を検索してみました。その結果、なんと600冊もの本が検出されました。2008年4月の内部統制システム本稼動まで残り約10ヶ月となり、出版も最終ラッシュに入ったようですね。

さて、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)の解説をしている本シリーズも、いよいよ最終段階です。

今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目します(追補版のPDFでは、P99からはじまります)。

6回目は、運用業務/出力管理に関する管理項目と、その趣意、つまり目的に着目します。運用業務/出力管理でのポイントとなるのは、全7項目のうち、(1)(3)(5)(7)の4項目です。その中から今回は、(1)と(3)に関するシステム強化ポイントを解説します。

ここで重要なのは、出力される情報＝単にプリントアウトされた文書ではない、ということです。顧客DBから書き出しされたCSVフォーマットの顧客リストも、ここでの管理対象の出力情報となります。

(1)出力管理ルールを定め、遵守すること。

◎趣旨(目的)
出力方法の誤びゅう率、不正利用、漏えい等を防止し、機密及び個人情報保護のため、情報の出力手続、承認等のルールを定め、遵守する必要がある。

◎システム強化ポイント
情報漏洩の原因のひとつとして話題のP2Pソフトを、管理PCから完全排除したとしても、例えば顧客リストのエクセルをプリントアウトされ、社外に持ち出されてしまった場合、漏洩を防止する手段はありません。重要なのは、個人情報関連ファイル、また機密扱いの文書ファイルを暗号化でき、同時にアクセス制御できる機能の整備です。具体的には、ファイル受信者個々に応じて操作権限を設定し、危険性のある社員には、印刷の権限や、コピーを許可せず、リスク対策を徹底することが要求されます。

(3)出力情報の作成手順、取扱い等は、誤びゅう防止、不正防止及び機密保護の対策を講じること。

◎趣旨(目的)
出力情報の作成、取扱い等を正確に行い、改ざん、盗難、漏えい等を防止するため、誤びゅう防止、不正防止及び機密保護の対策を講ずる必要がある。

◎システム強化ポイント
社員等級が高い管理者に、不正活用の可能性がないとは断言できません。システムには、配信後にアクセス権を変更でき、フレキシブルに対応できる機能が要求されます。例えば、全ての操作権限が許可された管理者のファイルがなんらかの理由でインターネットに流出してしまった場合も、操作権限を全て剥奪し、ファイル自体を無効にできる機能が要求されます。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひクオリティ テクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

内部統制システムの「本番稼動」まで、すでに11ヶ月あまり。本番前のテスト稼動期間に非常に役立つのが、本シリーズで取り上げている経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目したいと思います。(追補版のPDFでは、P99からはじまります)。

シリーズ5回目は、運用業務／データ管理に関する管理項目、全10項目のうち、(1)、(2)、(4)、(7)、(9)、(10)の5項目が対象になります。その中から今回は(4)と(7)と(9)に関するシステム強化ポイントを具体的に解説していきます。

(4)データの利用状況を記録し、定期的に分析すること。

◎趣旨(目的)
データの利用を予想し、不正利用を防止するため、データの利用状況を記録し、定期的に分析する必要がある。

◎システム強化ポイント
機密扱いのデータの中でも、特に個人情報関連データの利用状況を、定期的にレポート化できる機能は必須となります。
各クライアントPC内における、個人情報関連データの保存場所が適正がどうかを、随時チェックできる体制が必要です。
同時に機密データの不正流出を防止するために、社内のクライアントPC内に対して、P2Pソフトやフリーウェアなどのインストール状況を監査できる体制を整備することも極めて重要になるでしょう。

(7)データの交換は、不正防止及び機密保護の対策を講じること。

◎趣旨(目的)
不正利用の防止、機密情報の漏えい及び個人情報保護のため、データの交換は、不正防止及び機密保護の対策を講ずる必要がある。

◎システム強化ポイント
機密データを、PDFなどへ暗号化して配信することが必須となります。さらに受信者別に操作権限を設定した認証キー付きで配信することができれば、不正防止を徹底できます。

(9)データに対するコンピュータウイルス対策を講じること。

◎趣旨(目的)
データをコンピュータウイルスから保護するため、コンピュータウイルス対策を講ずる必要がある。

◎システム強化ポイント
重要なのは、社内の全てのクライアントPCに対する監査体制を強化することです。OSのセキュリティパッチの更新漏れがないか、
また、ウイルス対策ソフトの定義ファイルの更新漏れがないか、それらをチェックできる体制が必要です。
また、重要な更新漏れがあった場合、クライアントPCのインターネット接続を強制的に遮断できる機能も整備すべきでしょう。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。

次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、クオリティでは、ITリスクに対する対応策をFlashムービーにてご紹介する「ITリスク対策室」を開設いたしました。内部統制・コンプライアンス・セキュリティ・情報管理という4つのカテゴリと、22のテーマをご用意しました。気になるITリスクにピッタリの対応策がきっと見つかります！

さらに今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

内部統制システムの「本番稼動」まで、すでに11ヶ月あまり。本番前のテスト稼動期間に非常に役立つのが、本シリーズで取り上げている経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目したいと思います。(追補版のPDFでは、P99からはじまります)。

シリーズ5回目は、運用業務／データ管理に関する管理項目、全10項目のうち、(1)、(2)、(4)、(7)、(9)、(10)の5項目が対象になります。その中から今回は(1)と(2)に関するシステム強化ポイントを具体的に解説していきます。

(1)データ管理ルールを定め、遵守すること。

◎趣旨(目的)
データの誤処理防止、機密保護及び個人情報保護のため、開発、運用及び保守業務に応じたデータの取扱い、管理の体制等をルールとして明文化し、遵守する必要がある。

◎システム強化ポイント
管理体制の明文化は、単にルールを文章化するだけでは不十分です。企業はITによって、社内また社外との業務上でやりとりされる機密性の高いデータに対して、アクセス制御を行える業務環境を整備し、その機能を活用してのデータを管理していくことをルールに盛り込み、明文化することが重要です。同機能を活用し、開発中の新製品情報、設計データ、最新の顧客情報など、ファイル単体でアクセス制御を行い、ファイル受信者の操作権限を設定し、改竄や不正活用を防止することが要求されます。

(2)データへのアクセスコントロール及びモニタリングは、有効に機能すること。

◎趣旨(目的)
データへの不正アクセスの防止、不正利用の防止、機密保護及び個人情報保護のため、アクセスコントロール及びモニタリングが有効に機能していることを確認する必要がある。

◎システム強化ポイント
社内また社外の取引先との間でやりとりされる機密性の高いデータに関しては、アクセス制御だけでなくモニタリング機能を付加することも重要となります。

つまり

◎誰が　◎いつ　◎どのファイルを　◎どう操作したのか　その操作記録を全て取得できるシステム環境を整備する必要があります。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。

次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

2008年4月1日の内部統制システム正式稼動に向けて、多くの上場企業で準備が進められています。IT統制の準備段階で、システム整備の指針として役立つのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

前回に引き続き、「付録2．システム管理基準の統制目標」の後半について解説していきたいと思います。(追補版のPDFでは、P99からはじまります)

後編でも、情報戦略／コンプライアンスに関する管理項目と、その趣意、つまり目的に着目します。さっそく3～5の項目の趣旨から、システム強化ポイントを解説しましょう。

(3)情報倫理規程を定め、関係者に教育及び周知徹底すること。

◎趣旨(目的)
組織体として、法令及び規範を遵守し適切に管理していくためには、組織体内の遵守すべきルールとして、情報倫理規程を定めるとともに、組織体内外の関係者に教育し、周知徹底する必要が必要である。

◎システム強化ポイント
定期的な社員向けのセミナーや文書配布では、リスク対策は不十分です。不正を予見し、該当する行為を行なう危険性のあるクライアント(社員)に対して常時教育と指導を徹底できるシステム体制が不可欠となります。具体的には、個人情報等の重要なデータをCD-RやUSBメモリにコピーして持ち出そうとしている行為が発見された場合、コピーを防御し、また、該当社員に対して個別に教育メッセージを表示させるなどの機能が不可欠になります。

(4)個人情報の取扱い、知的財産権の保護、外部へのデータ提供等に関する方針を定めること。

◎趣旨(目的)
法令及び規範を遵守していく上で、組織体内外の各種権利保護の観点から、個人情報の取扱い、知的財産権の保護、外部へのデータ提供等に関して、組織体としての考え方を明確にした方針を定める必要がある。

◎システム強化ポイント
方針の策定だけでは、不十分です。個人情報の保存状況、また運用状況を正確に把握できるシステム環境が必要となります。また、個人情報関連ファイルの社内の利用状況に関して、定期的にレポート化できる機能も必要でしょう。

(5)法令、規範及び情報倫理規程の遵守状況を評価し、改善のために必要な方策を講じること。

◎趣旨(目的)
法令及び規範を遵守し適切に管理していくために、特定した法令及び規範、また社内ルールとして策定した情報倫理規程等について、組織としての遵守状況を定期的に点検・評価し、指摘事項に対し改善のために必要な方策を講ずる必要がある。

◎システム強化ポイント
重視すべきは、P2Pソフトの起動状況に関する定期レポート作成と個人情報の保存・運用状況に関する定期レポートです。ITによって定期的に監査レポートが作成される体制の整備を行ないましょう。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。

現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに設問を作成した「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。
ぜひトライしてください。

2008年4月1日の内部統制システム正式稼動に向けて、多くの上場企業で準備が進められています。IT統制の準備段階で、システム整備の指針として役立つのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

前回に引き続き、事例の豊富な追補版の付録である「付録2．システム管理基準の統制目標」に注目したいと思います。(追補版のPDFでは、P99からはじまります)

今回は情報戦略／コンプライアンスに関する管理項目と、その趣意、つまり目的に着目します。追補版では情報戦略／コンプライアンスに関する管理項目について5つの項目が対象として掲載されていますが、今週は前編として対象項目の(1)と(2)について解説します。

(1)法令及び規範の管理体制を確立するとともに、管理責任者を定めること。

◎趣旨(目的)
法令及び規範を遵守し適切に管理していくためには、組織として、法令及び規範の所管部署を明らかにし、管理体制を確立するとともに、管理責任者を定めて管理を推進する必要がある。

◎システム強化ポイント
管理体制は人員の配備だけでは不十分です。人員による管理体制強化は業務効率の悪化につながります。やはり、ITによって、社内(社員・業務)の法令と規範違反を許さない監査体制の構築が重要です。クライアントPCのファイル、操作、全てを管理可能にすることで、社内の全ての業務を監査体制下におくことが可能となります。

(2)遵守すべき法令及び規範を識別し、関係者に教育及び周知徹底すること。

◎趣旨(目的)
法令及び規範を遵守し適切に管理していくためには、組織として遵守すべき法令及び規範を明確に識別し特定することが必要である。その上で、特定した法令及び規範を関係者に知らせるための教育体制を確立し、関係者に周知徹底する必要がある。

◎システム強化ポイント
◎日本版SOX法　◎個人情報法保護法　◎著作権法　◎不正アクセス禁止法　◎e文書法の5法への対応は欠かせません。この5法をITによって遵守させる、言い換えれば違反のできない基盤を整備することが重要です。その第一段階として取り組む必要があるのが、ITによる全てのクライアントPCに対する監査体制の強化です。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。 次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに設問を作成した「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。
ぜひトライしてください。

これまの企業による情報流出事件は、PCの盗難や紛失によるものが多かったのですが、最近は意図的に情報を取得し、外部に流出させるといったケースが目立っています。

ITによってやコンプライアンスを実現するために公開された「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、上記のような事件や不正行為を抑制することも目的の一部としています。

前回から、追補版の付録として巻末に掲載されている「付録2．システム管理基準の統制目標」に注目しています。
(追補版のPDFでは、P99からはじまります)

それでは今回から、いよいよ、システム強化ポイントの例示が豊富な「システム管理基準の管理項目と統制目標の対応」を解説していきたいと思います。

1回目の今回は、情報戦略／全体最適化／全体最適化計画に関する管理項目と、その趣意、つまり目的に着目したいと思います。注目したいのは、3つの項目。趣旨から、システム強化ポイントを具体的に解説しましょう。

■全体最適化計画の策定に関する管理項目と趣旨、および想定されるシステム強化ポイント

(1)全体最適化計画は、情報化投資の方針及び確保すべき経営資源を明確にすること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
経営戦略に基づいて組織体全体で整合性かつ一貫性を確保した情報化を推進するため、全体最適化計画は、方針及び目標に基づいて策定する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
全体最適化計画の目標は、数値ベースです。曖昧な表現では、監査法人に不適正と判断される可能性が高まります。また、全体最適化計画で設定された数値は、そのまま内部統制報告書の内容に直結します。そのためにも、まずは現状の社内のクライアントPCに対する監査を行ない、正確に状況を把握し、その結果に合わせて数値目標を設定すべきです。また、内部統制報告書作成の観点から、現状だけでなく、継続的にクライアントの各情報を取得し続ける必要があります。

(2)全体最適化計画は、コンプライアンスを考慮すること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
関連法規、業界の自主基準等に違反しないよう、全体最適化計画は、コンプライアンスを考慮して作成する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
関連法規として、◎日本版SOX法　◎個人情報法保護法　◎著作権法　◎不正アクセス禁止法　◎e文書法の5法への対応は欠かせません。
これらをITによって遵守させる、言い換えれば違反をできない基盤を整備することが重要です。その第一段階として取り組む必要があるのが、ITによる全てのクライアントPCに対する監査体制の強化です。

(3)全体最適化計画は、情報化投資の方針及び確保すべき経営資源を明確にすること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
情報化の費用対効果を高め、実効性のあるものとするために、全体最適化計画は、情報化投資の方針及び確保すべき経営資源を明確にする必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
情報化投資を成功させるために必要なのは、IT資産管理ツールによる現状把握とインベントリ取得。そして定期レポートをベースにした、業務とクライアントPCのパフォーマンスの整合性分析です。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。
クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。 次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに設問を作成した
「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。
ぜひトライしてください。

2008年4月の内部統制システム正式稼働まで、ジャスト1年となりました。
そこに向けて多くの上場企業が、この4月から内部統制システムをテスト稼働させるようです。
御社の内部統制システム整備は順調でしょうか。

さて、システム管理者向けのIT統制の解説書として定着した感のある「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)。
本シリーズでは、追補版の中から情報システムとかかわりのある部分を抜き出して分かりやすく解説しています。

今回から、追補版の付録として巻末に掲載されている「付録2．システム管理基準の統制目標」に注目していきます。
(追補版のPDFでは、P99からはじまります。)

システム管理基準の管理項目は情報戦略、企画業務、開発業務、運用業務、保守業務、共通業務の6つに分けられます。
管理項目はそれぞれ管理ポイントとして細分化されています。
また、それぞれのポイントが、システム管理基準の管理項目、統制目標(例)、システム管理基準の趣旨の3つから構成されており、
システム管理基準の統制目標は、現状の到達度分析とITリスクの把握と確認を行うには最適な内容となっています。

1／情報戦略
　　│
　　├全体最適化
　　│　├全体最適化
　　│　├全体最適化の方針・目標
　　│　├全体最適化計画の承認
　　│　├全体最適化計画の策定
　　│　└全体最適化計画の運用
　　│　
　　├組織体制
　　│　├情報システム化委員会
　　│　├情報システム部門
　　│　└人的資源管理の方針
　　│　
　　├組織体制情報化投資
　　├情報資産管理の方針
　　├事業継続計画
　　└コンプライアンス

2／企画業務
　　│
　　├開発計画
　　├分析
　　└調達

3／開発業務
　　│
　　├開発手順
　　├システム設計
　　├プログラム設計
　　├プログラミング
　　├システムテスト・ユーザ受入れテスト
　　└移行

4／運用業務
　　│
　　├運用管理ルール
　　├運用管理
　　├入力管理
　　├データ管理
　　├出力管理
　　├ソフトウェア管理
　　├ハードウェア管理
　　├ネットワーク管理
　　├構成管理
　　└建物・関連設備管理

5／保守業務
　　│
　　├保守手順
　　├保守計画
　　├保守の実施
　　├保守の確認
　　├移行
　　└情報システムの廃棄

6／共通業務
　　│
　　├ドキュメント管理
　　│　├作成
　　│　├進捗管理
　　│　├実施
　　│　└評価
　　│　
　　├品質管理
　　│　├計画(２)
　　│　└実施
　　│　
　　├人的資源管理
　　│　├責任・権限
　　│　├業務遂行
　　│　├教育・訓練
　　│　└健康管理
　　│　
　　├委託・受託
　　│　├計画
　　│　├委託先選定
　　│　├契約
　　│　├委託業務
　　│　└受託業務
　　│　
　　├変更管理
　　│　├管理
　　│　└実施
　　│　
　　└災害対策
　　　　├リスク分析
　　　　├災害時対応計画
　　　　├バックアップ
　　　　└代替処理・復旧

今週は「システム管理基準の管理項目と統制目標の対応」の構造を確認していただきました。
次回から、その内容に関して、細かく解説していくことにしましょう。
システム管理部門として、IT統制において何をすべきなのか、さらに具体的に把握していただけると思います。
Dr.QがITサプリをお届けしました。

現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに設問を作成した
「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。
ぜひトライしてください。

先日、某自動車部品メーカーで、軍事的転用も可能と思われる最先端技術情報の不正流出が明らかになりました。企業のグローバル化が進む中で、同時に道徳観や仕事観が全く異なる外国籍の社員が第一線で活躍するケースも増加しています。IT統制によるリスクマネジメントを徹底させることの重要性を、一層強く感じさせる事件でした。

さて、そんなIT統制のスタンダードになりつつある「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)。本シリーズでは、追補版のポイントを分かりやすく解説しています。

IT全般統制のモニタリングに続き、今週はIT業務処理統制のモニタリングに移ります。IT業務処理統制のモニタリングの目的は、業務アプリケーション・システムの統制が有効に機能しているかを監視し、問題点が発生した場合は是正することです。

追補版に書かれたIT業務処理統制のモニタリングにも、想定リスクと対応策が紹介されています。

今回はシステムに対するニーズが明確な3つの例示に注目します。

■リスクの例(1)■
アプリケーション・システムについてモニタリング機能がないため、不正や誤り等を検出できない。

↓↓↓↓↓↓↓

○統制の例○
ITの日常的なモニタリングの手続き、ルールが定められ、これに基づいてモニタリング活動が実施され、記録が保存されている。


■リスクの例(2)■
財務情報に係る情報システムを入力する際に誤りや不正、機密情報漏えいが行われる。

↓↓↓↓↓↓↓

○統制の例○
一定の条件でアクセスログを検索し異常なアクセスがないかを監視する。

■リスクの例(3)■
モニタリング情報が適切な管理者に適時に報告されない。

↓↓↓↓↓↓↓

○統制の例○
モニタリング情報が適切な管理者に適時に報告される仕組みがある。

以上、3つの例示から、全社的なシステム強化のポイントをクリアにできます。

そのポイントとは、IT統制ガイダンスの中で最重視されている項目の一つ、クライアントの操作ログ取得です。特に、「起動アプリケーションログ取得」と「ドキュメント操作ログ取得」が必須です。

部署を限定せず、例外をつくらず、全社的に漏れなく全てのクライアントを対象にログ取得することが重要です。また、管理者がクライアントの操作ログを定期的に自動収集できる機能を整備することも重要となります。

◎社内の全クライアントに対する操作ログ取得
◎起動アプリケーションログ取得
◎ドキュメント操作ログ
◎取得ログの自動収集

いかがでしょうか。ファイルアクセス制御への対応、御社は大丈夫でしょうか。
ひとつひとつ確実にITセキュリティ整備を行うことで、きっとIT統制成功のロードマップが見えてきます。

もちろん、Dr.Qもしっかりお手伝いします。

>■システム管理基準 追補版(財務報告に係わるIT統制ガイダンス)草案をベースに作成!!>>内部統制チェックテスト2 公開

システム管理基準 追補版(財務報告に係わるIT統制ガイダンス)草案をベースに作成した内部統制チェックテスト2を公開しました。情報システムに潜む現在の課題をテストで確認できます。

>■新コーナー：Dr.Qの「システム管理者必読ニュース!!」スタート>>　Dr.Qの「システム管理者必読ニュース!!」

アイティメディア提供による企業のIT・情報システム管理者に向けたニュースやコラム記事をクオリティ コミュニケーションサイトにて掲載開始しました。ブログと合わせてこちらもご覧ください。

■メールマガジン 情報システムＱ救隊 ご購読のご案内>>　■メールマガジン 情報システムＱ救隊

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、
情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を配信中。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

昨日の朝刊各紙をご覧になって、驚いた方も多かったのではないでしょうか。某印刷大手の個人情報漏洩事件に関連して、クライアント各社を含めた膨大な量のお詫び広告が掲載されていました。お詫び広告には、同社が導入している個人情報管理に対する様々な取り組みが掲載されていましたが、それでもカバーし切れない「ITリスクの深刻化」を改めて痛感しました。

今回の事件をひとつの契機に、委託先企業に関してもIT統制を行う、またはIT統制を実装している企業とだけ委託契約を行う、などの動きも今後活発化すると推測されます。今回の事件経緯から上場企業のみならず、上場企業との取引がある多くの企業にとってIT統制の強化が必須となってきているのは確かです。

さて、そんなIT統制のスタンダードになりつつある「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)。本シリーズでは、追補版のポイントを分かりやすく解説しています。前回「5．モニタリング」のお話を行いましたが、今回はリクエストにお答えして「4.業務処理統制」へ少し戻りたいと思います。業務処理統制の(2)データ管理(処理統制)にフォーカスを当てます。ここで言うデータ管理は、企業内だけでなく委託先などとの間でやりとりされる重要なデータ(ファイル)の管理と考えられます。Microsoft Office WordやMicrosoft Office Excelで作成された見積書、発注表なども、その対象とすべきでしょう。追補版では、データ管理に関しても想定リスクと、IT統制(対応策)が具体的に例示されていますが、その中でもシステム強化のポイントが明確な、下記の5つに着目したいと思います。

■リスクの例(1)■
財務情報に係るデータ管理ルールが無く財務情報の信頼性が失われる。

↓↓↓↓↓↓↓

○統制の例○
データの信頼性を確保するため、運用に応じたデータの取扱い、管理の体制等をルールとして明文化する。

■リスクの例(2)■
財務情報に係るデータに不正なアクセスが行われ、誤りや不正が発生する。

↓↓↓↓↓↓↓

○統制の例○
データヘの不正アクセスの防止、不正利用の防止、機密保護及び個人情報保護のため、アクセスコントロール及びモニタリングを行う。

■リスクの例(3)■
データ授受の際にデータの誤使用、不正利用、改ざん等が発生する。

↓↓↓↓↓↓↓

○統制の例○
データの授受はデータ管理ルールによっている。

■リスクの例(4)■
データ交換の際に、誤り機密漏洩が発生する。

↓↓↓↓↓↓↓

○統制の例○
データの交換では、エラー修正やデータの内容を確認する。

■リスクの例(5)■
データの保管、複写、不要データの廃棄の際に不正利用、機密漏えいが発生する。

↓↓↓↓↓↓↓

○統制の例○
データの保管、複写、不要データの廃棄は、不正防止及び機密保護の対策を講ずる。

5つの例示から、ファイルアクセス制御の対応が必須であることが把握できます。全社的に、ファイル単位で厳密にアクセス制御を行い、重要ファイルを保護していくことが要求されます。具体的には下記のような機能が要求されると考えられます。

◎ファイル単位で「読み込み」、「印刷」、「コピー」などの権限を個別設定
◎個人・グループに応じたアクセス権設定
◎アクセス可能期間の個別設定
◎ファイルアクセス履歴取得
◎ファイル配信後のアクセス権変更
◎登録されたPC以外からのアクセス禁止

いかがでしょうか。ファイルアクセス制御への対応、御社は大丈夫でしょうか。
ひとつひとつ確実にITセキュリティ整備を行うことで、きっとIT統制成功のロードマップが見えてきます。
もちろん、Dr.Qもしっかりお手伝いします。

>■新コーナー：Dr.Qの「システム管理者必読ニュース!!」スタート>>　Dr.Qの「システム管理者必読ニュース!!」

アイティメディア提供による企業のIT・情報システム管理者に向けたニュースやコラム記事を
クオリティ コミュニケーションサイトにて掲載開始しました。ブログと合わせてこちらもご覧ください。

■メールマガジン 情報システムＱ救隊 ご購読のご案内>>　■メールマガジン 情報システムＱ救隊

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、
情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を配信中。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。