SOX法対策のCOBITガイドラインが無償公開

呉井嬢次(Johji Kurei) 2006-06-28 12:42:00

 COBITのガイドラインが無償で下記からダウンロードできる。
 http://www.isaca.gr.jp/standard/COBIT3MG_JP.pdf
公開されているのは2000年7月に作られた旧版だが、COBITの考え方は十分に理解できると思う。その後、COBITは見直しが行われ第4版に至っている。

 読んでみて気づいた点の一つは、COBITは最善を尽くしてITガバナンスに努めているが、IT時代のスピードには追いついていない点だ。IT環境の多様化、DoS攻撃、将来的なトラフィック予測甘さなどだ。逆に、よく言えば、今後も発展していく意味ではセキュリティを確保する上で押さえるべき情報の一つということだ。

 ウェブで公開されている第3版を読むと、金融機関におけるIT成熟度について大規模な調査報告が書かれている。日本では金融庁、関連団体のFISCがCOBITを参考にして、金融機関のITガバナンスを推し進めてきたが、金融機関の合併に伴う障害、証券取引所のシステム障害が後を絶たない。

 米国SOX法対応では、COBITが引き合いに出された。だが、SOX法に対応した企業からはCOBITを活用したことによる有効性、実効性を疑問視する声もあった。現在、日本版SOX法のセミナーが各地で行われているが、まず、COBITの考え方を十分に知ってから企業は行動に移すべきだろう。

ITトラブルは現場で起きる

 昨日は、ジャパンネット銀行で、特定アドレスからのログインが集中してアクセスできないトラブルが発生した。幸いにも、接続が不能になったのは、インターネット経由のみで、テレフォンバンキング、携帯電話によるアクセスには問題なかった。システムの可用性を損なうDoS攻撃に対しては、COBITを活用したIT分野の内部統制診断、金融庁による検査では発見することは正直なところ難しい。

 何故なら、プロセスを明確にしても、想定外のインシデントには無力だからだ。現場にる担当者は管理者から、手順通り作業することが指示されるため、想定外の取り扱いに不慣れなのだ。

想定外のITトラブルの対処

 そこで、ある企業では、情報インシデントに対して、業務の流れを明確にするプロセスアプローチを採用しない方式に切り替えた。ITトラブルが発生した場合、インシデント管理DBに登録し、必要な権限者に直接連絡して解決していく。企業の組織上は、ピラミッド構成を形成しているが、実態は臨機応変に機動するアメーバ的な組織となっている。

 COBIT、CMMなど色々な安全を確保する手法が存在するが、ベストプラクティスが有効に活用できず、ITトラブルに巻き込まれるのは、何故だろうか。一つには、実際の事故を経験した人がいないことだ。しっかりセキュリティ管理している組織は、事故に遭遇するケースは減るが、同時に事故に遭遇して解決した経験も減る。そこに未経験のインシデントが遭遇したら、組織の手順を手本にせざる得ない。インシデント管理を導入した理由はこんなところにもあるのだ。

 日本版SOX法によって、COBITが再び注目されている。それは素晴らしいことだが、日本が米国よりも先に進んでいる分野、独自のシステムについては、独自の仕組みが必要になるに違いない。

 COBITガイドライン第3版
 http://www.isaca.gr.jp/standard/COBIT3MG_JP.pdf

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR