内部統制に必須のセキュリティ統制

増田千穂(エースラッシュ) 2007年03月27日 15時56分

  • このエントリーをはてなブックマークに追加
  • 印刷

内部統制を確立する手法や、そのための作業をいかに進めるべきかについて悩む企業は少なくない。すでに残された時間が少なくなってきている中、企業はどのように内部統制を確立すべきなのか、クオリティで取締役を務める飯島邦夫氏は、3月6日に開催されたZDNet Japan 情報セキュリティフォーラム「内部統制におけるIT活用」において、まず取り組むべきはセキュリティ対策との観点で、「新法制度が求める内部統制に情報システムはどう対応すべきか」と題して講演を行った。

法制度が求める経営者の統制へのコミット

クオリティ株式会社 取締役 飯島 邦夫氏 クオリティ株式会社
取締役
飯島 邦夫氏

 2006年11月、金融庁は内部統制の実施基準を発表した。だが、一部の大手企業などでは実施基準の発表前から、内部統制の確立に向けた取り組みを進めてきた。これは、発表を待っていては対応が間に合わなくなるという考えが背景にある。クオリティの取締役である飯島邦夫氏は、「対応を進めている企業の担当者から、内部統制の確立に向けたアドバイスを聞いたところ、『パイロットプロジェクトを行ったり色々な企画書を作ったりすることよりも、どんどん始めた方がよい、やりながら修正するくらいでなければ間に合わないのではないか』との声が聞かれた。特に連結対象となる関連子会社までを統制下に置く必要があることを考えると、できる部分から着手せざるを得ないといわれている」と、企業の置かれた状況を説明する。

 内部統制の確立が企業に早急に求められている中で、そのための有効な手段となるのがITの活用だ。企業が業務を進めるにあたって、もはやITが不可欠となっている状況を踏まえ、IT業務処理統制とIT全般統制からなる、いわゆるIT統制を実現させることで内部統制を確立する必要がある。 「IT業務処理統制は、財務会計システムなどが健全に稼動している状態を保障することで、最終的な成果物である財務報告書などの信頼性を確保する。IT全般統制は、各種ITインフラが健全に管理されて稼動している状態を保障する。そして、今取り組むべきなのは、IT全般統制だ」(飯島氏)

 もっとも、IT全般統制を実現するためには、十分なセキュリティ統制が不可欠となる。セキュリティの3要素である可用性、機密性、完全性は、IT統制を行う上でも重要な要素となるからだ。その実現に向け、大いに活用が見込めるのがクオリティの製品群だ。

 例えば、IT資産管理ツールの「QAW/QND」を用いることで、導入しているアプリケーションのインストール数や、OSおよびIEのセキュリティパッチ適用状況、リスクをもたらすアプリケーションのインストール状況、PC使用者などの環境を一元的に把握することが可能になる。さらにオプションの「eX IFM」と「eX IPD」も併用すれば、社内IT資産の所在やネットワーク接続状況まで確認することができ、ひいては、セキュリティの徹底につなげることが可能になるわけだ。

 「セキュリティ統制のフローの最初のステップは、セキュリティにまつわるルールの確認だ。数年前に設定したセキュリティポリシが実際に守れるものであるのか、変化する法令やビジネスに対応できるのかといった観点から、改めてルールを見直す必要がある。その次がIT資産の把握。設定したルールが守られているかどうかを知るために、社内のIT資産について把握できなければならない」(飯島氏)

さまざまな側面からセキュリティ統制を支援するQAW/QND

 社内ハードウェアの状況を把握できるようになれば、業務で使用する機器が標準化されたものであるかどうかも確認することができ、標準化されていないことに起因するリスクへの対応も図れるようになる。加えて、ネットワークへのハードウェアの接続状況を監視することで、不正接続を検知することもできるようになる。

 単にITの全体像を把握するだけではなく、把握したデータを比較することで不正利用の実態を掴むことにできる。たとえば「QAW/QND」ではソフトウェアライセンス数と実際にインストールされている数の比較を簡単に行うことができる。ライセンスを購入していないソフトウェアが利用されていたり、購入したライセンス数より多い台数へのインストールがあったりした場合には、不正コピーされたソフトウェアが利用されている可能性が高い。

 こういった形で社内の現状について把握できるようになれば、ルールに従ったシステムが利用されているのかどうかを確認できる。問題なく運用されているということになれば、定期的な現状把握を実施することでその状態を維持することに努めればよいが、ルール違反が見つかった場合には対策を実施しなければならない。

 「対策として考えられるのは、QAW/QNDの利用を通じたクライアントPCの構成維持、監視による不正行為の抑止、不正行為の制御などだ。クライアントPCの構成維持については、最新のセキュリティパッチの提供や適切なパスワードの利用、スクリーンセーバロックなどのレジストリ情報管理などによって実現される。監視による抑止効果は、操作ログやネットワーク接続ログなどを監視することによってユーザに自重を求めることになる。

 不正行為の制御には、検疫ネットワークソリューションで社内で認めていないPCがネットワークに接続できないようにしたり、外部記憶媒体へのデータ書き出しを制御したりするなど、不正行為が行われないような環境を整備する対処方法だ」(飯島氏)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]