編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

内部統制に求められるアクセス制御・監査の必要性--PFU

沖山和也

2007-03-27 15:57

2008年4月の内部統制の施行に向けて、対象とされる企業では、先に金融庁が公表した「財務報告に係る内部統制の評価及び監査に関する実施基準(以下、実施基準)」に基づいた対応が急務とされている。ITを活用した各種の業務システムがビジネスのインフラとして定着している現在、内部統制を厳格に実施するためには、「IT統制」が重視されていることはいうまでもない。PFUの大浴孝治氏は、特に業務システムへのアクセス対策の重要性を強調するとともに、同社が提供するセキュリティソリューション「iNetSec」の有用性について語った。

財務報告の信頼性を確保するIT統制

株式会社PFU ソフト・アプライアンスグループ ソフトウェアプロダクト事業部 第三開発部 プロジェクトリーダー 大浴 孝治氏 株式会社PFU
ソフト・アプライアンスグループ
ソフトウェアプロダクト事業部 第三開発部
プロジェクトリーダー
大浴 孝治氏

 内部統制の目的は、(1)業務の有効性及び効率性、(2)財務報告の信頼性、(3)事業活動に関する法令などの遵守、(4)資産の保全である。中でも「財務報告の信頼性」を確保するために重要なのがIT統制だ。公表された実施基準によれば、IT統制は、業務システムが正確に動作することを保証する「IT全般統制」(主にシステム管理者が対象)と、業務がすべて正確に処理・記録されることを保証する「IT業務処理統制」(主にシステムユーザが対象)に分類されている。

 PFUの大浴孝治氏は、「IT統制の中でもIT全般統制は、その名の通りIT業務処理統制の前提となる要件なので特に重要である」とIT全般統制の重要性を強調し、そのためには次の対策が必要であると語った。

 「実施基準ではIT全般統制を構築する際、(1)システムの開発・変更に際して、記録を適切に保存すること、(2)プログラムの不正な使用・改ざんを防止するためにシステムへのアクセス管理に関して適切な対策を講じること、以上の2点を必要な対策として提示している。したがって、この2点を考慮した具体的なソリューションをお客様に提供することが我々の責務だ」(大浴氏)

内部統制実施まで約1年。IT統制環境の構築は時間との勝負

 IT全体統制を実行するためには、まず、アクセス管理を適切に行い、システムが安全に運用されていることを証明する必要がある。そのためには、それを証明する操作記録、つまりは、いつ/誰が(人・PC)、どのように(プロトコル)、どのサーバに対して、何をした(操作)というすべての記録を残す仕組みが必須となる。

 これを行うためには、(1)権限を有した「人」が許可された「PC」でのみ社内ネットワークにアクセスできること、(2)メンテナンス系のプロトコルは権限を有した「人・PC」だけに限定されること、(3)サーバのアクセスは権限を有した「人・PC」だけに限定されること、以上3つの条件が担保されることが前提となる。そのための対策として、(1)に関しては「ネットワーク認証・検疫」、(2)、(3)に関しては「アクセス制御」のツールの導入が有効だ。

 しかし、これから内部統制の基盤であるIT全般統制環境の構築を検討している企業にとって、内部統制の施行まで残り1年余りという現状では、時間的な猶予もない。またIT全般統制を構築するため、社内の業務システムやネットワーク構成を全面的に見直していたのでは、時間的な制約、コスト面を含めてリスクは大きい。

 したがって、既存の業務システムを有効に活用すると同時に、導入後の運用時には既存システムへの影響を最小化し、運用負荷を軽減させることが構築の際のポイントとなる。「そこで推奨したいのが、当社が提供する「iNetSec」である」と、大浴氏は具体的なソリューションを提示した。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]