SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

SOX法対策まで待ったなし!実践アクセス管理

日本版SOX法では「財務報告の信頼性」を確保するための「IT全般統制」が必要

第2回

IT統制

 1つ前のセクションでは、内部統制全体についてまとめましたが、このセクションではその中でもIT統制に関する部分をピックアップして考えていきましょう。

 米国ではIT統制のフレームワークとしてCOBIT(Control Objectives for Information and related Technology)が一般的に使用されています。COSOが内部統制のフレームワーク、COBITがIT統制のフレームワークとするとCOSOの中にCOBITは含まれていると考えられますが、2つのフレームワーク一番の違いはフレームワークの構造的表現になります。

 COSOは統制活動を業務単位に適用する事を考えて作成されていますが、COBITでは図2の様にIT活動のサイクルに合わせて統制活動を定義しています。

図2:COBITフレームワーク
図2:COBITフレームワーク

 更にCOBITでは「SOX」におけるIT統制に対応する為に、具体的対応事例を提供するCOBIT for SOX(IT Control Objectives for SOX)が公表されています。

 では日本版SOX法に対しては同様のフレームワーク等が無いのでしょうか?

 実はCOBIT、COBIT for SOXに相当するものが経済産業省により公表されており、それぞれ「システム管理基準等」「システム管理基準 追補版(以降 追補版)」になります。

 追補版に関しては「財務報告に係るIT統制ガイダンス」とも呼ばれおり、資料自体に拘束力はありませんが日本版SOX法に対応する具体的事例が載っている非常に有益な資料と言えるでしょう。

 もう少し追補版を見てみましょう。

 追補版ではIT統制を「IT全社統制」「IT業務処理統制」「IT全般統制」の3つに分類しています(下記では3つに分けましたが、一般的には「IT業務処理統制」と「IT全般統制」の2つでIT統制と呼ばれる事が多いようです)。

  • IT全社統制
  •  ITに関連する方針と手続き等、情報システムを含む内部統制

  • IT業務処理統制
  •  ITを使用した財務報告に係る処理が正しく行われる為の内部統制

  • IT全般統制
  •  ITを使用した処理(IT業務処理統制を含む)が正しく行われる為の内部統制

 図3はIT統制におけるそれぞれの関係を概念的に図示したものです。

 この図だけでは何を意味するかが分かり辛いかもしれませんが、「IT全社統制」「IT業務処理統制」「IT全般統制」の関係をそれぞれ「ユーザ」「アプリケーション」「OS(インフラ)」と置き換えてみると分かり易いかもしれません。

 直感的には「OSが不正であればアプリケーションが正しくても結果は不正」ですし、「アプリケーションが不正であればOSが正しくても結果は不正」と分かると思います。また、「OS・アプリケーションが正しくてもユーザが誤った使用方法をしていればやはり結果は不正」という事もご理解いただける部分だと思います。

 即ち、どれか1つでも不正(=統制が行えていない)とすると、IT統制全体に影響を及ぼすという事です。

図3:IT統制の分類とその関係
図3:IT統制の分類とその関係

 このようにIT統制は3つ全て行えてこそ本来の内部統制の意味を持つのですが、全てを同時に行う事はやはり非常に難しくコストもかかります。このため、どこから手を付けるかが問題となります。

 通常であれば業務毎に担当者がいることから、業務毎に統制を行っていく「IT業務処理統制」をメインに行っていくと思いますし、実際にその様なお客様の方が多いと感じます。逆に言うと、「IT全般統制」を後回しにしている企業が多く存在するという事が考えられるのではないでしょうか。

 この仮定を裏付けるかのように、いくつかの監査法人から出されている指摘事項の統計ではアクセス管理や特権ユーザの管理といったインフラで行うべき統制における指摘が多くを占めています。即ち、現在は「IT全般統制」が盲点となっている事が多いのです。

今回のまとめ

 日本版SOX法では「財務報告の信頼性」を確保するための「内部統制」を必要としています。また、その中のIT統制においてはCOBIT for SOXの日本版と言える「システム管理基準 追補版」が存在し非常に有効な資料となっています。

 しかしながら、現時点ではIT統制の「IT業務処理統制」を行っている企業が多く「IT全般統制」まで手が回っていない事があります。このため、今後はいかにITインフラと言われる部分に対して「IT全般統制」を行っていくかがキーポイントとなるでしょう。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
SOX法対策まで待ったなし!実践アクセス管理連載記事一覧

もっと読む

この記事の著者

日本CA 斎藤 俊介(サイトウ シュンスケ)

日本CA株式会社 ソリューション技術部 プロダクトソリューション統括部 コンサルタント。日本CAに入社以来、セキュリティ専門のプリセールス、サービス活動に従事。現在は主に日本版SOXに必要なアクセス管理に関して実際の導入設計やセミナーでの講演を行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/164 2007/10/16 12:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング