J-SOXや内部統制対応に欠かせない「IT全般統制」。その基盤となる「情報システム基盤」を、NRIセキュアテクノロジーズの山口雅史氏は「建築物における土台」に例えて重要性を説く。しかし、実際には基盤に対するアクセス管理&ログ管理が不十分なために、監査人から不備を指摘されることも少なくないという。なぜ対策が進まないのか、また最小コストで実効的な対策はあるのか。山口氏より導入事例を交えつつ、具体策が紹介された。
情報セキュリティの適応範囲の広さに対し、レベルや内容などが不明確
NRIセキュアテクノロジーズが独自に調査した2007~2008年の実態調査によると、J-SOX法対応を意図した情報セキュリティへの投資が急増しており、誰もがその重要性を十分に理解していることがうかがえる。しかし、具体的な施策はとなると、当の担当者の課題は多く、明るい表情とはいえない状況のようだ。「各対策をどこまで進めていいかわからない」「有効性の評価方法がわからない」といった声も多く、「重要性は理解しても、課題を多々抱えている」という担当者の現状が見えてくる。
ソリューション事業部セキュリティコンサルタント 山口雅史 氏
そもそもJ-SOXのIT統制で求められている範囲とはどんなものなのか。まずシステムを利用する担当者による「IT業務処理統制」、そしてインフラやシステムとして支える「IT全般統制」もその範囲に入る。いわゆる「IT 全社的統制の方針」を受けて構築される部分がすべてといっても過言ではない。さらに様々な基準、規定が次々と登場していることや、部門や業務ごとのばらつき、取引先に応じた対応策など、部分対応では、コストがかかるばかりでなく、担当者も疲弊してしまう。
山口氏はこうした部分対応型の情報セキュリティに対して、「まずは企業、またはグループ全体のITガバナンスの構築が重要である」として、IT戦略の策定や職務権限や分掌の文書化などの必要性について指摘する。さらにそれを実現するために、プロセスを把握し、フレームワーク化し、統制活動を組込み、それがきちんと行われているか確認することが必要と説いた。
こうしたPDCAサイクルが実現された「全般統制が行われているシステム」となれば、それは様々なルールが実装され徹底されているシステムということになる、つまり「責任者が責任を取ることができるシステム」といえるわけだ。さらに、このシステムを実現するためには、業務の役割に応じて業務範囲が制限されている『予防的統制』と、操作内容を把握できている『発見的統制』の2者が必要となるという。
★ こちらから講演資料をダウンロードいただけます。
