編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

カネ、ヒト、時間いらずのIT内部統制--第1章:IT内部統制の基本要素を理解する - (page 2)

木村尚義

2007-04-16 13:13

リスクの評価と対応

 「ITは利用者に対し業務処理の効率化・有効化をもたらすが、管理しなければ企業価値に影響を与えるほどの潜在的な脆弱性を持つことになる」(システム管理基準 追補版より)

 「USBメモリ」は大変便利だ。 最近は軽量なノートPCがあるとはいえ、それでも移動先に自由に使えるPCがあるのなら、USBメモリにデータだけ保存して持ち歩いたほうがはるかにラクだ。

 先日、私が電車に乗ろうとしたときに、つま先で何かを蹴った感触があった。なんだろうと思ったら、ホームにUSBメモリが落ちていた。

 まわりに持ち主らしき人はいなかったが、私はそれよりもメモリの内容が気になった。

 「個人情報が保存されていないだろうか」「会社の機密資料がないだろうか」「守秘義務のある新製品の企画書が入っていないだろうか……」

USBメモリ USBメモリは大変便利なツールだが、その扱いには十分な注意が必要。利用を禁止するというのもひとつの手だ。

 最近、USBメモリは、大容量のものでも比較的安価に買えるようになった。このUSBメモリを、社員証と一緒に首に下げている人も多く見かける。人によっては、携帯電話のストラップとして使ったりしているかもしれない。そういう人には、ぜひ、今、確認していただきたいのだが、USBメモリは、あるべき場所にちゃんとついていますか?

 リスクの評価と対応としての立場から、会社としては、従業員にUSBメモリの使用を許可するか、あるいは禁止するかを決める必要がある。もし、許可するのであれば、万が一USBメモリを紛失した際のリスクと、紛失した場合の手続きを考慮しておかなければならない。

 ちなみに、もし仮に許可した場合であっても、USBメモリを紛失した「人だけ」を非難し、重い懲罰を課すような基準を作ってしまうと、紛失の事実を隠すようになってしまい、問題の根はより深くなる。 故意でない過失は、だれにでも起こりえるもの。あくまでも、日ごろから注意をすることと、事故が発生した場合には遅滞なくその状況を会社に知らせ、対応を検討できるようなフローを作るのだということを念頭に置いておこう。

  「リスクの評価と対応」に関連して、本連載で紹介する機能は以下のとおり。

第2章ユーザーIDの集中管理 【Active Directory】
第3章誰がファイルを読み書きできるのか【アクセス許可(共有フォルダ、NTFS)】
第4章PCの集中管理【グループポリシー】
第5章社内のPCを守るために【セキュリティの維持に必要な機能】
第6章監査のために【監査機能】

統制活動

 「ITは、業務の効率性や有効性を高めるだけではなく、内部統制機能に組み込んで統制の質の向上を図る手段に利用することができ、業務推進側のみならず統制をおこなう側にも効果をもたらす」(システム管理基準 追補版より)

 「IT内部統制」というテーマで話を進めていくが、この場合、会社においては「業務にITを使う」という面と、「統制にITを使う」という側面がある。

 たとえば、ITを「統制」のために使うと考えた場合に、WindowsというOSには「ログオン」と「ログオフ」といった認証機能が用意されている。 ITを使って業務を行う側面では、この認証機能を使っていなければ、「IT統制」はできない。

 さらに、この認証機能は「正しく使われる」必要がある。規模が小さな会社であれば、社内のPCを使うときに、全社員で共通のIDとパスワードを使っているようなところもあるかもしれない。他の従業員が外出していたり、休んでいたりするときに、別の人が代わってお客様とのメールをやり取りできたりもするので、一見便利で、問題がなさそうだ。しかし、これでは、社内の人間がだれでも、他の社員になりすませてしまう。IT内部統制では、まず、こうしたなりすましや詐称ができない仕組みを作る。

 「統制活動」に関連して、 本連載で紹介する機能は以下のとおり。

第1章IT内部統制の基本要素を理解する
第2章ユーザーIDの集中管理 【Active Directory】
第3章誰がファイルを読み書きできるのか【アクセス許可(共有フォルダ、NTFS)】
第5章社内のPCを守るために【セキュリティの維持に必要な機能】

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]