IT Compliance Summit 2008 Summer セミナーレポ―ト

NRIのIT全般統制の「具体的」事例紹介

統制のポイントは細部にあり

更新日: 2008/09/16
公開日: 2008/09/12

通知

内部統制が求めるIT統制は、IT部門に大きな変化を求めている。とにかく動けばよかったITに、今年も来年も正しく動くことを示す、説明責任が課されているのだ。効果・効率的なIT全般統制を行えるかどうかは、いかに細部に拘るかで決まる。アクセス管理・変更管理プロセス等での「具体的」な事例の紹介を通じて、細部に拘ることへの重要性を強調した講演となった。

通知

IT全体統制のおさらい

株式会社野村総合研究所
システムマネジメント事業本部副主任コンサルタント
應和周一氏

　應和氏は、内部統制で求められているIT全般統制は、まさしく「変化」だと指摘する。以前の「ITは動いていれば良かった」から「IT基盤を動かすために適切な活動が行えているかの説明責任が求められている」時代へと。

　そのためにやらなくてはならないことが、数多くある。たとえば情報システムのソフトウェアの開発・調達、システム運用・管理、アクセス管理等のセキュリティ、外部委託先管理だ。應和氏はその中から「セキュリティにおけるアクセス管理等の対策」「ソフトウェア開発・調達における変更管理」「運用・管理における運用管理」の3点にフォーカス。それらは、金融系、流通系、監査法人等々の顧客と議論する中で、優先度の高さで一致する項目だからだ。

　その中で「変更管理」の前提となるのは、増殖して肥大化したシステムの把握だ。誰か1人が分かっているのではなく、組織として構成情報を把握しているかどうかが問題になる。また「運用管理」は、ITILで言うとインシデント管理、問題管理だ。何か問題が発生した場合、対処療法ではなく、根本原因を突き止めて再発防止するための管理ができているかどうかだ。

　実際の運用評価では、大半がセキュリティ、変更、インシデントなどの証拠探しに費やされる。ただそれでは「やらされている感」が強い統制になり、現場が疲弊しがちだ。そこで應和氏は、標準化を含めた徹底的な自動化を行うべき、と提言した。

統制の「細部に拘る」

　これまで應和氏が見てきたところでは、実際の統制は細部に課題があるパターンがほとんどだという。たとえばアクセス管理であれば、取るべきログの具体的な指定がない。変更管理でもハードディスク1個の交換から大規模アプリケーションの導入まで様々あるのに、それぞれどこまで詳細に書くかが分からない。インシデント管理では、何を持ってクローズするかの基準が定義されていない場合がほとんどだ。

　そこでアクセス管理では、たとえば/etc/以下を自動取得し、それ以外は個別指定で取るようにと定義する。変更管理の記入項目はすべてプルダウンメニューに落とし込み、必ずそこから選択する。そしてインシデント管理では、クローズは、ユーザーの了承、マネージャーの承認を得てから行う。そうした定義は現場と調整しながら、一歩一歩進める必要がある。

「具体的」事例紹介

　ここでテーマ別に3つの具体的事例が紹介された。最初は金融業A社のアクセス管理の話で、開発担当者の特権IDをいかにコントロールするかがポイントだ。開発と運用の分離が求められているが、実際に実施した瞬間、現場が回らなくなる。そこでアクセスログの管理を前提に特権IDの使用を認めたのだが、一般IDでログイン後の特権IDへのスイッチなど、個別のログだけでは追えないなりすまし手法がある。そこでどのログをどう取るかを決め、実際にログ取得を行い、課題点を検証し、再度どのログをどう取るかを決める、Plan-Do-Check-Actのサイクルを回しながら最適な手法を探り出した。特権IDのアクセスログの収集と、不正アクセス等の発見、診断をツールで自動化し、対応工数を大幅に削減した。

　製造業B社の事例では、変更管理がテーマだ。ベストプラクティスといえばITILだが、書かれているのはあくまで概論であり、より細かいレベルでの工夫が必要だ。ITILには変更要求の大小についての定義はないが、ここでは変更要求の起票単位と、親子関係を定義した。また、変更マネージャー１人によるリスクコントロールには限界があり、逆にリスクとなり得るため、現場が分かる人を変更サブマネージャーに任命して権限を委譲し、リスクコントロールを最適化している。

　通信業C社では、提供するサービスのデータベースへの登録手続きにリスクがあった。新しいサービスの登録を希望する現場ユーザーからの添付ファイルと、登録結果の情報を記載したユーザーへ返信する添付ファイルが、同じフィールドに混在していたのだ。それでは誤って違うファイルを編集してしまうリスクが発生し、それを回避するためにユーザーへのファイル送信はメールで行っていたが、ユーザー返信用添付フィールドを追加して解決し、同時に1件につき40秒かかっていたファイル送信のためのメール書き作業を削減した。

　3社の事例を可能にしたのは、現場と一体となった工夫と、NRIが提供しているツール群Senju Familyだ。

　ファミリーには監視・ジョブ管理を行い、ログや構成情報の収集も行うSenju Operation Conductor、不正アクセスやリリースの不備を診断するSenju Assessment Reporter、サービスデスクツールのSenju Service Managerなどの製品がある。

　應和氏は最後に「未来が明るくなるかどうかは、決意することで決まる」という茂木健一郎氏の言葉を紹介し、「内部統制も前向きに取り組むことで、会社の発展を導く」というメッセージを送り、セッションを終了した。

資料ダウンロード

　ダウンロードはこちら

【関連リンク】
・株式会社野村総合研究所

この記事は参考になりましたか？

印刷用を表示

IT Compliance Summit 2008 Summer セミナーレポ―ト連載記事一覧: 必ず起きる不祥事、対処方法はあるのか

実例に学ぶリスクの見える化と最小化方法

グリーンIT統制の実現

もっと読む

この記事の著者: EnterpriseZine編集部（エンタープライズジンヘンシュウブ）

「EnterpriseZine」（エンタープライズジン）は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事