Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

~既存システムに影響なく迅速に、特権IDに対するアクセス管理・ログ管理を実現し、J-SOXに対応可能なIT統制アプローチとは~ 特権IDのアクセス管理がIT全般統制のカギ

  2009/09/29 07:00

情報システム基盤に対するアクセス管理&ログ管理が不十分なために、監査人から不備を指摘されることも少なくないという。なぜ対策が進まないのか、また最小コストで実効的な対策はあるのか。 

J-SOXや内部統制対応に欠かせない「IT全般統制」。その基盤となる「情報システム基盤」を、NRIセキュアテクノロジーズの山口雅史氏は「建築物における土台」に例えて重要性を説く。しかし、実際には基盤に対するアクセス管理&ログ管理が不十分なために、監査人から不備を指摘されることも少なくないという。なぜ対策が進まないのか、また最小コストで実効的な対策はあるのか。山口氏より導入事例を交えつつ、具体策が紹介された。

情報セキュリティの適応範囲の広さに対し、レベルや内容などが不明確

 NRIセキュアテクノロジーズが独自に調査した2007~2008年の実態調査によると、J-SOX法対応を意図した情報セキュリティへの投資が急増しており、誰もがその重要性を十分に理解していることがうかがえる。しかし、具体的な施策はとなると、当の担当者の課題は多く、明るい表情とはいえない状況のようだ。「各対策をどこまで進めていいかわからない」「有効性の評価方法がわからない」といった声も多く、「重要性は理解しても、課題を多々抱えている」という担当者の現状が見えてくる。

NRIセキュアテクノロジーズ株式会社
ソリューション事業部セキュリティコンサルタント 山口雅史 氏

 そもそもJ-SOXのIT統制で求められている範囲とはどんなものなのか。まずシステムを利用する担当者による「IT業務処理統制」、そしてインフラやシステムとして支える「IT全般統制」もその範囲に入る。いわゆる「IT 全社的統制の方針」を受けて構築される部分がすべてといっても過言ではない。さらに様々な基準、規定が次々と登場していることや、部門や業務ごとのばらつき、取引先に応じた対応策など、部分対応では、コストがかかるばかりでなく、担当者も疲弊してしまう。

 山口氏はこうした部分対応型の情報セキュリティに対して、「まずは企業、またはグループ全体のITガバナンスの構築が重要である」として、IT戦略の策定や職務権限や分掌の文書化などの必要性について指摘する。さらにそれを実現するために、プロセスを把握し、フレームワーク化し、統制活動を組込み、それがきちんと行われているか確認することが必要と説いた。

 こうしたPDCAサイクルが実現された「全般統制が行われているシステム」となれば、それは様々なルールが実装され徹底されているシステムということになる、つまり「責任者が責任を取ることができるシステム」といえるわけだ。さらに、このシステムを実現するためには、業務の役割に応じて業務範囲が制限されている『予防的統制』と、操作内容を把握できている『発見的統制』の2者が必要となるという。

  ★ こちらから講演資料をダウンロードいただけます。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

バックナンバー

連載:IT Compliance Summit 2009 Summerセミナーレポート

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5