SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

IT Compliance Summit 2008 Summer セミナーレポ―ト

NRIのIT全般統制の「具体的」事例紹介


内部統制が求めるIT統制は、IT部門に大きな変化を求めている。とにかく動けばよかったITに、今年も来年も正しく動くことを示す、説明責任が課されているのだ。効果・効率的なIT全般統制を行えるかどうかは、いかに細部に拘るかで決まる。アクセス管理・変更管理プロセス等での「具体的」な事例の紹介を通じて、細部に拘ることへの重要性を強調した講演となった。

IT全体統制のおさらい

株式会社野村総合研究所
システムマネジメント事業本部 副主任コンサルタント
應和周一氏
應和周一氏

 應和氏は、内部統制で求められているIT全般統制は、まさしく「変化」だと指摘する。以前の「ITは動いていれば良かった」から「IT基盤を動かすために適切な活動が行えているかの説明責任が求められている」時代へと。

 そのためにやらなくてはならないことが、数多くある。たとえば情報システムのソフトウェアの開発・調達、システム運用・管理、アクセス管理等のセキュリティ、外部委託先管理だ。應和氏はその中から「セキュリティにおけるアクセス管理等の対策」「ソフトウェア開発・調達における変更管理」「運用・管理における運用管理」の3点にフォーカス。それらは、金融系、流通系、監査法人等々の顧客と議論する中で、優先度の高さで一致する項目だからだ。

 その中で「変更管理」の前提となるのは、増殖して肥大化したシステムの把握だ。誰か1人が分かっているのではなく、組織として構成情報を把握しているかどうかが問題になる。また「運用管理」は、ITILで言うとインシデント管理、問題管理だ。何か問題が発生した場合、対処療法ではなく、根本原因を突き止めて再発防止するための管理ができているかどうかだ。

 実際の運用評価では、大半がセキュリティ、変更、インシデントなどの証拠探しに費やされる。ただそれでは「やらされている感」が強い統制になり、現場が疲弊しがちだ。そこで應和氏は、標準化を含めた徹底的な自動化を行うべき、と提言した。

統制の「細部に拘る」

 これまで應和氏が見てきたところでは、実際の統制は細部に課題があるパターンがほとんどだという。たとえばアクセス管理であれば、取るべきログの具体的な指定がない。変更管理でもハードディスク1個の交換から大規模アプリケーションの導入まで様々あるのに、それぞれどこまで詳細に書くかが分からない。インシデント管理では、何を持ってクローズするかの基準が定義されていない場合がほとんどだ。

 そこでアクセス管理では、たとえば/etc/以下を自動取得し、それ以外は個別指定で取るようにと定義する。変更管理の記入項目はすべてプルダウンメニューに落とし込み、必ずそこから選択する。そしてインシデント管理では、クローズは、ユーザーの了承、マネージャーの承認を得てから行う。そうした定義は現場と調整しながら、一歩一歩進める必要がある。

「具体的」事例紹介

 ここでテーマ別に3つの具体的事例が紹介された。最初は金融業A社のアクセス管理の話で、開発担当者の特権IDをいかにコントロールするかがポイントだ。開発と運用の分離が求められているが、実際に実施した瞬間、現場が回らなくなる。そこでアクセスログの管理を前提に特権IDの使用を認めたのだが、一般IDでログイン後の特権IDへのスイッチなど、個別のログだけでは追えないなりすまし手法がある。そこでどのログをどう取るかを決め、実際にログ取得を行い、課題点を検証し、再度どのログをどう取るかを決める、Plan-Do-Check-Actのサイクルを回しながら最適な手法を探り出した。特権IDのアクセスログの収集と、不正アクセス等の発見、診断をツールで自動化し、対応工数を大幅に削減した。

 製造業B社の事例では、変更管理がテーマだ。ベストプラクティスといえばITILだが、書かれているのはあくまで概論であり、より細かいレベルでの工夫が必要だ。ITILには変更要求の大小についての定義はないが、ここでは変更要求の起票単位と、親子関係を定義した。また、変更マネージャー1人によるリスクコントロールには限界があり、逆にリスクとなり得るため、現場が分かる人を変更サブマネージャーに任命して権限を委譲し、リスクコントロールを最適化している。

 通信業C社では、提供するサービスのデータベースへの登録手続きにリスクがあった。新しいサービスの登録を希望する現場ユーザーからの添付ファイルと、登録結果の情報を記載したユーザーへ返信する添付ファイルが、同じフィールドに混在していたのだ。それでは誤って違うファイルを編集してしまうリスクが発生し、それを回避するためにユーザーへのファイル送信はメールで行っていたが、ユーザー返信用添付フィールドを追加して解決し、同時に1件につき40秒かかっていたファイル送信のためのメール書き作業を削減した。

 3社の事例を可能にしたのは、現場と一体となった工夫と、NRIが提供しているツール群Senju Familyだ。

 ファミリーには監視・ジョブ管理を行い、ログや構成情報の収集も行うSenju Operation Conductor、不正アクセスやリリースの不備を診断するSenju Assessment Reporter、サービスデスクツールのSenju Service Managerなどの製品がある。

 應和氏は最後に「未来が明るくなるかどうかは、決意することで決まる」という茂木健一郎氏の言葉を紹介し、「内部統制も前向きに取り組むことで、会社の発展を導く」というメッセージを送り、セッションを終了した。

資料ダウンロード

【関連リンク】
株式会社野村総合研究所

 

 

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
IT Compliance Summit 2008 Summer セミナーレポ―ト連載記事一覧

もっと読む

この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/685 2008/09/16 12:16

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング