2008年4月の内部統制の施行に向けて、対象とされる企業では、先に金融庁が公表した「財務報告に係る内部統制の評価及び監査に関する実施基準(以下、実施基準)」に基づいた対応が急務とされている。ITを活用した各種の業務システムがビジネスのインフラとして定着している現在、内部統制を厳格に実施するためには、「IT統制」が重視されていることはいうまでもない。PFUの大浴孝治氏は、特に業務システムへのアクセス対策の重要性を強調するとともに、同社が提供するセキュリティソリューション「iNetSec」の有用性について語った。
財務報告の信頼性を確保するIT統制
株式会社PFUソフト・アプライアンスグループ
ソフトウェアプロダクト事業部 第三開発部
プロジェクトリーダー
大浴 孝治氏
内部統制の目的は、(1)業務の有効性及び効率性、(2)財務報告の信頼性、(3)事業活動に関する法令などの遵守、(4)資産の保全である。中でも「財務報告の信頼性」を確保するために重要なのがIT統制だ。公表された実施基準によれば、IT統制は、業務システムが正確に動作することを保証する「IT全般統制」(主にシステム管理者が対象)と、業務がすべて正確に処理・記録されることを保証する「IT業務処理統制」(主にシステムユーザが対象)に分類されている。
PFUの大浴孝治氏は、「IT統制の中でもIT全般統制は、その名の通りIT業務処理統制の前提となる要件なので特に重要である」とIT全般統制の重要性を強調し、そのためには次の対策が必要であると語った。
「実施基準ではIT全般統制を構築する際、(1)システムの開発・変更に際して、記録を適切に保存すること、(2)プログラムの不正な使用・改ざんを防止するためにシステムへのアクセス管理に関して適切な対策を講じること、以上の2点を必要な対策として提示している。したがって、この2点を考慮した具体的なソリューションをお客様に提供することが我々の責務だ」(大浴氏)
内部統制実施まで約1年。IT統制環境の構築は時間との勝負
IT全体統制を実行するためには、まず、アクセス管理を適切に行い、システムが安全に運用されていることを証明する必要がある。そのためには、それを証明する操作記録、つまりは、いつ/誰が(人・PC)、どのように(プロトコル)、どのサーバに対して、何をした(操作)というすべての記録を残す仕組みが必須となる。
これを行うためには、(1)権限を有した「人」が許可された「PC」でのみ社内ネットワークにアクセスできること、(2)メンテナンス系のプロトコルは権限を有した「人・PC」だけに限定されること、(3)サーバのアクセスは権限を有した「人・PC」だけに限定されること、以上3つの条件が担保されることが前提となる。そのための対策として、(1)に関しては「ネットワーク認証・検疫」、(2)、(3)に関しては「アクセス制御」のツールの導入が有効だ。
しかし、これから内部統制の基盤であるIT全般統制環境の構築を検討している企業にとって、内部統制の施行まで残り1年余りという現状では、時間的な猶予もない。またIT全般統制を構築するため、社内の業務システムやネットワーク構成を全面的に見直していたのでは、時間的な制約、コスト面を含めてリスクは大きい。
したがって、既存の業務システムを有効に活用すると同時に、導入後の運用時には既存システムへの影響を最小化し、運用負荷を軽減させることが構築の際のポイントとなる。「そこで推奨したいのが、当社が提供する「iNetSec」である」と、大浴氏は具体的なソリューションを提示した。
