内部統制に必須のセキュリティ統制

増田千穂(エースラッシュ)

2007-03-27 15:56

内部統制を確立する手法や、そのための作業をいかに進めるべきかについて悩む企業は少なくない。すでに残された時間が少なくなってきている中、企業はどのように内部統制を確立すべきなのか、クオリティで取締役を務める飯島邦夫氏は、3月6日に開催されたZDNet Japan 情報セキュリティフォーラム「内部統制におけるIT活用」において、まず取り組むべきはセキュリティ対策との観点で、「新法制度が求める内部統制に情報システムはどう対応すべきか」と題して講演を行った。

法制度が求める経営者の統制へのコミット

クオリティ株式会社 取締役 飯島 邦夫氏 クオリティ株式会社
取締役
飯島 邦夫氏

 2006年11月、金融庁は内部統制の実施基準を発表した。だが、一部の大手企業などでは実施基準の発表前から、内部統制の確立に向けた取り組みを進めてきた。これは、発表を待っていては対応が間に合わなくなるという考えが背景にある。クオリティの取締役である飯島邦夫氏は、「対応を進めている企業の担当者から、内部統制の確立に向けたアドバイスを聞いたところ、『パイロットプロジェクトを行ったり色々な企画書を作ったりすることよりも、どんどん始めた方がよい、やりながら修正するくらいでなければ間に合わないのではないか』との声が聞かれた。特に連結対象となる関連子会社までを統制下に置く必要があることを考えると、できる部分から着手せざるを得ないといわれている」と、企業の置かれた状況を説明する。

 内部統制の確立が企業に早急に求められている中で、そのための有効な手段となるのがITの活用だ。企業が業務を進めるにあたって、もはやITが不可欠となっている状況を踏まえ、IT業務処理統制とIT全般統制からなる、いわゆるIT統制を実現させることで内部統制を確立する必要がある。 「IT業務処理統制は、財務会計システムなどが健全に稼動している状態を保障することで、最終的な成果物である財務報告書などの信頼性を確保する。IT全般統制は、各種ITインフラが健全に管理されて稼動している状態を保障する。そして、今取り組むべきなのは、IT全般統制だ」(飯島氏)

 もっとも、IT全般統制を実現するためには、十分なセキュリティ統制が不可欠となる。セキュリティの3要素である可用性、機密性、完全性は、IT統制を行う上でも重要な要素となるからだ。その実現に向け、大いに活用が見込めるのがクオリティの製品群だ。

 例えば、IT資産管理ツールの「QAW/QND」を用いることで、導入しているアプリケーションのインストール数や、OSおよびIEのセキュリティパッチ適用状況、リスクをもたらすアプリケーションのインストール状況、PC使用者などの環境を一元的に把握することが可能になる。さらにオプションの「eX IFM」と「eX IPD」も併用すれば、社内IT資産の所在やネットワーク接続状況まで確認することができ、ひいては、セキュリティの徹底につなげることが可能になるわけだ。

 「セキュリティ統制のフローの最初のステップは、セキュリティにまつわるルールの確認だ。数年前に設定したセキュリティポリシが実際に守れるものであるのか、変化する法令やビジネスに対応できるのかといった観点から、改めてルールを見直す必要がある。その次がIT資産の把握。設定したルールが守られているかどうかを知るために、社内のIT資産について把握できなければならない」(飯島氏)

さまざまな側面からセキュリティ統制を支援するQAW/QND

 社内ハードウェアの状況を把握できるようになれば、業務で使用する機器が標準化されたものであるかどうかも確認することができ、標準化されていないことに起因するリスクへの対応も図れるようになる。加えて、ネットワークへのハードウェアの接続状況を監視することで、不正接続を検知することもできるようになる。

 単にITの全体像を把握するだけではなく、把握したデータを比較することで不正利用の実態を掴むことにできる。たとえば「QAW/QND」ではソフトウェアライセンス数と実際にインストールされている数の比較を簡単に行うことができる。ライセンスを購入していないソフトウェアが利用されていたり、購入したライセンス数より多い台数へのインストールがあったりした場合には、不正コピーされたソフトウェアが利用されている可能性が高い。

 こういった形で社内の現状について把握できるようになれば、ルールに従ったシステムが利用されているのかどうかを確認できる。問題なく運用されているということになれば、定期的な現状把握を実施することでその状態を維持することに努めればよいが、ルール違反が見つかった場合には対策を実施しなければならない。

 「対策として考えられるのは、QAW/QNDの利用を通じたクライアントPCの構成維持、監視による不正行為の抑止、不正行為の制御などだ。クライアントPCの構成維持については、最新のセキュリティパッチの提供や適切なパスワードの利用、スクリーンセーバロックなどのレジストリ情報管理などによって実現される。監視による抑止効果は、操作ログやネットワーク接続ログなどを監視することによってユーザに自重を求めることになる。

 不正行為の制御には、検疫ネットワークソリューションで社内で認めていないPCがネットワークに接続できないようにしたり、外部記憶媒体へのデータ書き出しを制御したりするなど、不正行為が行われないような環境を整備する対処方法だ」(飯島氏)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]