編集部からのお知らせ
新着記事まとめPDF「ランサムウェア」
注目の記事まとめPDF「Chrome OS」

内部統制に必須のセキュリティ統制 - (page 2)

増田千穂(エースラッシュ)

2007-03-27 15:56

セキュリティのPDCAサイクルが内部統制を実現

 各種対策を行った上で、さらにセキュリティを徹底するために活用が見込める機能が、QAW/QNDの監査レポート機能だ。

 「禁止はされていないが、推奨されないソフトウェアというものがある。QAW/QNDでそれらの利用状況のレポートを作成して公表したところ、リスト上位に掲載されたユーザが自分の利用方法を省みるきっかけになり、目に見えて使用者が少なくなった。また、セキュリティ対策ソフトのアップデート教育は徹底してあったが、出勤日の少ない社員はPCの起動回数も少ないためにアップデートが遅れがちなことも判明したため、担当を決めて適切なアップデートのために適宜PCを起動することにした。対策の結果や実際の運用状況を把握することが、より良い運用につながることが分かる」(飯島氏)

 また「QAW/QND」のオプションである「eX PDS」を活用して各クライアントPCに保存されている個人情報ファイルを把握し、保有者にその利用目的等の申請書を定期的に提出させたところ、各PCでの保有量は激減したという結果も出ている。

クオリティ株式会社 取締役 飯島 邦夫氏

 こういった抑止効果に見られるように、最終的には人の対応が欠かせない。適切な対応を促すためには、教育によって意識を高める必要がある。 「業務に追われて教育プログラムは後回しにされがちだが、PC起動時に自動的に問題が表示され、1問でも答えれば通常画面が表示されるという仕組みをとった。これによって進度に差はあっても確実に全員が前に進める環境が構築できた。管理側、経営側のこうした工夫も必要だ」(飯島氏)

 こうしてIT統制を維持する仕組みを確立し、評価を行える状態を構築した上で、またルールの確認を行う。ルールは法改正やビジネスの変化に合わせるだけではなく、使用すべきではないソフトウェアを段階的に絞り込むなど、対策の進行具合に合わせるという方法もある。世の中の動きに合わせての見直しが必要だろう。

 ルールの見直しと設定、その実行のための対策、対策結果を確認するレポートの作成。定期的にこの繰り返しを行うことで、IT内部統制のPDCAサイクルを回す。

 「教育とツールの導入を並行するのが統制を実現させるコツ。一度に多くのツールが入るとストレスにもなり、反発も出る。どうしてこういうツールを導入する必要があるのかを教育し、理解を得た上で導入を行うという形が効果的だ。不正行為によるリスクを内部統制により継続的に削減することができる。これらはいつかはやらなくてはならないことだけに、今、時間を有効に利用してぜひ取り組んで欲しい事柄である」(飯島氏)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]