リスクの評価と対応
「ITは利用者に対し業務処理の効率化・有効化をもたらすが、管理しなければ企業価値に影響を与えるほどの潜在的な脆弱性を持つことになる」(システム管理基準 追補版より)
「USBメモリ」は大変便利だ。 最近は軽量なノートPCがあるとはいえ、それでも移動先に自由に使えるPCがあるのなら、USBメモリにデータだけ保存して持ち歩いたほうがはるかにラクだ。
先日、私が電車に乗ろうとしたときに、つま先で何かを蹴った感触があった。なんだろうと思ったら、ホームにUSBメモリが落ちていた。
まわりに持ち主らしき人はいなかったが、私はそれよりもメモリの内容が気になった。
「個人情報が保存されていないだろうか」「会社の機密資料がないだろうか」「守秘義務のある新製品の企画書が入っていないだろうか……」
最近、USBメモリは、大容量のものでも比較的安価に買えるようになった。このUSBメモリを、社員証と一緒に首に下げている人も多く見かける。人によっては、携帯電話のストラップとして使ったりしているかもしれない。そういう人には、ぜひ、今、確認していただきたいのだが、USBメモリは、あるべき場所にちゃんとついていますか?
リスクの評価と対応としての立場から、会社としては、従業員にUSBメモリの使用を許可するか、あるいは禁止するかを決める必要がある。もし、許可するのであれば、万が一USBメモリを紛失した際のリスクと、紛失した場合の手続きを考慮しておかなければならない。
ちなみに、もし仮に許可した場合であっても、USBメモリを紛失した「人だけ」を非難し、重い懲罰を課すような基準を作ってしまうと、紛失の事実を隠すようになってしまい、問題の根はより深くなる。 故意でない過失は、だれにでも起こりえるもの。あくまでも、日ごろから注意をすることと、事故が発生した場合には遅滞なくその状況を会社に知らせ、対応を検討できるようなフローを作るのだということを念頭に置いておこう。
「リスクの評価と対応」に関連して、本連載で紹介する機能は以下のとおり。
第2章 | ユーザーIDの集中管理 【Active Directory】 |
---|---|
第3章 | 誰がファイルを読み書きできるのか【アクセス許可(共有フォルダ、NTFS)】 |
第4章 | PCの集中管理【グループポリシー】 |
第5章 | 社内のPCを守るために【セキュリティの維持に必要な機能】 |
第6章 | 監査のために【監査機能】 |
統制活動
「ITは、業務の効率性や有効性を高めるだけではなく、内部統制機能に組み込んで統制の質の向上を図る手段に利用することができ、業務推進側のみならず統制をおこなう側にも効果をもたらす」(システム管理基準 追補版より)
「IT内部統制」というテーマで話を進めていくが、この場合、会社においては「業務にITを使う」という面と、「統制にITを使う」という側面がある。
たとえば、ITを「統制」のために使うと考えた場合に、WindowsというOSには「ログオン」と「ログオフ」といった認証機能が用意されている。 ITを使って業務を行う側面では、この認証機能を使っていなければ、「IT統制」はできない。
さらに、この認証機能は「正しく使われる」必要がある。規模が小さな会社であれば、社内のPCを使うときに、全社員で共通のIDとパスワードを使っているようなところもあるかもしれない。他の従業員が外出していたり、休んでいたりするときに、別の人が代わってお客様とのメールをやり取りできたりもするので、一見便利で、問題がなさそうだ。しかし、これでは、社内の人間がだれでも、他の社員になりすませてしまう。IT内部統制では、まず、こうしたなりすましや詐称ができない仕組みを作る。
「統制活動」に関連して、 本連載で紹介する機能は以下のとおり。
第1章 | IT内部統制の基本要素を理解する |
---|---|
第2章 | ユーザーIDの集中管理 【Active Directory】 |
第3章 | 誰がファイルを読み書きできるのか【アクセス許可(共有フォルダ、NTFS)】 |
第5章 | 社内のPCを守るために【セキュリティの維持に必要な機能】 |