クライアントPC管理を自動化してIT統制を実現し、監査工数を削減
内部統制のためのコストは企業にとって頭の痛い問題だ。2008年3月以前の上場企業の監査費用の平均額が年間平均2億2400万円であったのに対し、2008年4月以降は平均2億9,200万円、年間7000万円も上昇しているという。これは、内部統制監査業務の増加によって、監査法人への年間支払額が増大していることによると考えられ、事実約3割上昇している。これが収益を圧迫しているというわけだ。
しかし、その内容はというと、PC台数の管理や使用状況の把握、アンチウイルスソフトやセキュリティパッチの適用の管理、危険ソフトウェアの起動阻止やソフトウエアのライセンス管理など、“ごく当たり前でシンプルなこと”に他ならない。しかし、そうした多様多種の統制ポイントがあり、いずれもが監査を必要としているということで手間もコストも増大させているという。
そうした課題に対して、管理を自動化することによってIT統制を行い、監査を必要とする部分を減らすことによってコストを削減しようというのがクオリティの「管理自動化ツール」である。1人1PCが浸透しはじめた1995年に登場し、2000年問題、Nimda騒動からUSBウイルス対策に至るまで、その時々に応じた課題に対応してきた実績を持つ。現在3300社、312万ライセンスが導入されている。
その仕組みとは、管理者のタスクにスケジュールを設定して、セキュリティポリシーとの合致性チェックやアンチウイルスソフトのインストールといったクライアントPC管理に必要な作業を自動的に行うというものだ。他にもPCの構成管理やセキュリティポリシー違反PCの遮断など、必要な機能が搭載されている。
このツールによる自動化でどのくらいコストが削減できるのか。所要時間で計算すると、たとえば禁止ソフトウェア監査を自動化してかかる時間は1時間半ほど。これは10台のPCに10分間かけて行うのとほぼ同じ時間だ。つまり、それ以上の規模であれば、かなりの時間と手間の削減が可能になる。当然、その他の昨日についても同じことがいえるだろう。
IT統制による制限と承認による許可を使い分けて「現実的な解」を
IT統制においては、厳しく統制を行うことによって業務に支障が出たり、管理工数が増えたりといった「業務効率化」を損ねるのではないかと懸念されることが多い。しかし、飯島氏は「無理のない社内ポリシーを策定し、統制ツールを上手く活用することで両立は可能」と語る。
たとえば、情報漏洩リスクが高いものについては、操作を行わせず、利用者本人と管理者に即座に報告が行くなど、厳しく制限する必要があるだろう。しかし、たとえばプレゼンなどにデータのバックアップを持っていくためにUSBメモリなどへの外部記憶装置の利用などは、制限してしまえば業務における大きな足かせとなる。その際には『承認』という形で許可制を取り、その「緩さ」を設定できることが望ましい。
こうした実際に起こりえることを想定しながら、必要充分な「ポリシー」を各組織で作り、できるだけ現場に負担をかけずに運用することが重要となる。そこに自動化ツールが役に立つというわけだ。
ここでカギになるのが「ログ管理」である。たとえば、あるファイルを外部記憶媒体にコピーしたい場合、管理者に許可申請を行う。許可が下りたものをコピーした時点で報告され、許可の内容と一致しているかどうか突き合わせが行われるという仕組みだ。許可通りでないものに関してはすぐにアラートが配信されるという。
ポリシーが“絵に描いた餅”にならないように、ポリシーを守れるような仕組みをつくること、そして現場に大きな負担を与えないことが肝要というわけである。
IT統制月次監査レポートで監査業務とシームレスに連携
クオリティの管理自動化ツールは、ポリシーを守らせるばかりでなく、それを活用し監査の場面で「適正であること」を証明するために重要な役割を果たす。また、問題をできるだけ早く察知し、是正することにも大きな意味がある。クオリティでも不法な社外持ち出しがログによって判明し、社員に内部統制に関するイーラーニングを受けるというペナルティが科せられたことがあるという。
飯島氏は「人が活動する中で、監査で問題がまったくないということはあり得ない。真の問題は、問題に気がつかないことである。問題が生じた時にいかに是正を行うかが重要」と監査の在り方についての見解を示す。監査を行うことによって問題が見つかり、違反者や管理者に是正勧告が行われ、速やかに是正され、最終的に確認されるまでを管理できるというわけだ。
結果、セキュリティ統制のPDCAサイクルが社内で回りはじめ、一人ひとりのPC利用者の意識向上やこうしたレポートやログを管理し、最終的にまとめることでIT統制の正当性を証明することができる。常にPCのセキュリティ状態を把握できているということで、実態が組織内に周知され、確実な是正を行うことができるのも大きなメリットといえるだろう。
最後にこうしたツールの導入による効果で最も関心が高いのが、やはり「コストの削減」だろう。クオリティでは、導入効果が測定できるシミュレーターが用意されており、現場の作業コスト、電気代、監査における人的コストのそれぞれがシミュレートできるようになっている。実際、750台のPCに対する管理費が初年度3000万円の削減になったり、使われていないPCの電源管理によって電力消費量25%削減を達成するなど、様々な効果が報告されている。
最後に飯島氏は「IT統制のコスト・工数削減は、管理自動化ツールによって無理なく実現できる。今後はセキュリティ意識がまだ浸透していない中国とのやりとりなども検案すべき事項だ」と語り、メッセンジャーの業務外利用など、現在の中国系企業が抱える現場の問題などが紹介された。そして、「来るべき自社のグローバル化の前に、人的な監査から、ツールを活用した負担が少なく効率的な手法へと切り替えることの重要性を考えてほしい」と結んだ。
