【第2回】システムの現状把握で始める内部統制の強化

日本版SOX法施行のインパクトは、上場企業だけでなく、さまざまな企業に波及するであろうと前回で述べた。今回は、現状のITの脆弱性やシステムの利用状況の把握から始めるセキュリティ強化によって、内部統制を実現するというボトムアップ型の日本版SOX法対策の手法について見ていくことにする。現状の把握を行うことでウイークポイントを洗い出し、その対策をすることで内部統制を実現しようというアプローチだ。

資産管理によるシステムの適正化がIT統制の第一歩

　ボトムアップ型の日本版SOX法対策を進めていく上で、まず必要となるのが情報システム全体の現状を把握することにある。これは、一般的な企業では現在、基本的な書類の作成から、各種の業務処理まで、ほぼすべての業務プロセスにおいてシステムが絡むようになっているためだ。システムの現状を把握することが、業務プロセスを把握することにつながるわけである。

　では、具体的にはどのような部分から始めればよいのだろうか？　最も基礎的な部分は、従業員が業務を遂行するためのクライアントPCの台数と、データを保管したり業務アプリケーションが動作したりするサーバの数や構成を把握することとなる。台数構成が把握できれば、無駄なIT資産の有無がわかり、投資の適正化が図れる。

　また、IT資産の管理の中には、ハードウェアだけでなくソフトも含まれるが、各PC／サーバにインストールされているソフトのバージョンなどが管理できれば、脆弱性のカバーも可能になり、セキュリティの強化、ひいてはIT統制の第一歩につながるわけだ。さらに「Winny」に代表されるファイル交換ソフトは、ウイルスなどの感染源となったり、情報漏えいを引き起こしたりする大きなリスクとなっているが、ソフトウェアの構成把握によってこうしたソフトウェアのインストール状況も把握できる。個人に管理を任せたことで抱えてしまった大きなリスクの洗い出しと対処を行うのにも、IT資産の管理が不可欠となっているのだ。

　こうしたシステムの現状把握を実現するツールとしては、IT資産管理ソフトが有効となる。IT資産管理ソフトに備わっている機能については、すでにバージョン9に達しており、多くの導入実績を持つクオリティの「QND Plus」を例にとって紹介する。

　QND Plusには、ネットーワークに接続されたPCやサーバの構成情報を定期的に把握し、自動的に台帳化する機能が備わっている。台帳化することの利点は、一覧性を生みだしIT資産の状況把握やシステムが抱える問題点が見えやすくすることだ。この機能を使えば、「Winny」などのファイル交換ソフトが無断でインストールされている機器を見つけ適切な対処をおこなうことができるので、多くの企業が直面している問題に対して、即座の対処が可能になる訳だ。

　また、QND Plusでは現状の把握に加えて、セキュリティパッチの適用や、ソフトウェアインストール、レジストリベースの設定変更、そしてリモートコントロールなど、自動化と遠隔管理の機能を備えている。これにより、全体的なセキュリティレベルの向上と維持、サポートの迅速化と手間の削減が可能になる仕組みとなっている。