継続的に監査し、強化するIT統制強化ステップサイクル

IT統制を目的としたセキュリティ統制の確立が重要
　クオリティ

■IT統制を強化するステップサイクル

　日本版SOX法が参考にしているIT統制の国際的ガイドライン「COBIT（Control Objectives for Information and related Technology）」では、IT統制を目的や対象によって3つに分類している。全社のIT統制が有効に機能するための環境を提供する「IT全社統制」、IT業務処理統制を適切に機能させるための環境を提供・維持する「IT全般統制」、会計上の取引記録の信頼性（完全性、正確性、正当性）を確保する「IT業務処理統制」である。

　つまり、「IT全社統制」というIT統制のグランドデザインの上で、すべてのIT統制が構築される構造となっているのである。しかし、基準となるIT統制のグランドデザインを決定する際、社内の状況を十分に考慮しきれないケースが多い。これは、最も基本となる「現状の把握」、つまり可視化ができていない場合に起こる。企業内のIT資産が“どこにどのようにあり”、“誰が使っているのか”といった基本的な情報を正しく把握しなければ、正しいグランドデザインを決定することは困難となる。

　クオリティでは、IT統制を強化するため、いくつかのステップを用意している。そのステップはセキュリティポリシ、セキュリティスタンダードを策定・見直し、IT統制への指針を明確にする「ルールの策定・見直し」、IT資産の現状を把握するための情報収集を行い、現状をデータで具体的に把握する「IT資産の現状把握」、現状を把握した上でルール違反情報を公開し、課題の明確化とルール遵守を促進する「ルール違反者の開示」、違反の起きない仕組みを構築する「IT全社的統制」などとなっている。つまり、IT統制のためには「現状を把握」し、セキュリティ統制基盤を確立した上でなければ、IT統制を実現することが難しい。IT統制を確立するためには、まず「現状の把握」が何よりも重要となる。

■工数を減らしながらIT統制を実現へ

　「現状を把握」といっても、必要な情報は1つではない。社内にあるクライアントPC、次にネットワークに接続されているネットワーク機器、現状でセキュリティリスクが最も高い個人情報の把握が必要不可欠となる。

　クオリティは、IT統制基盤の確立に欠かせないIT資産管理ツール「QAW/QND」といったソリューションや、IT資産接続監視ツール「eX IPD」、IT資産可視化ツール「eX IFM」、個人情報ファイル探査ツール「eX PDS」などを用意している。これらのソリューションを組み合わせて利用し、レポーティングツール「eX Report」でITリスクへの評価をおこなうことにより、社内の現状を正しく把握することができる。

　ここで得た情報をもとに、IT統制のグランドデザインを決定すれば、社内の実情に沿ったIT統制の強化が可能となるだろう。

　IT統制の実現のカギを握るのは「現状の把握」だけではない。違反が起きない仕組みを構築することも重要だ。これは、言ってしまえば非常にシンプルだが、その仕組みを構築するために、何をどうすればいいのかが漠然としてしまう。

　クオリティでは、さまざまなIT統制の文献を読み解き、違反の起きない仕組み作りのポイントを「情報の完全性、正確性、正当性を確保する」「機密保護の対策を行う」「運用状況を適切に記録・補完する」「アクセス権限の設定・管理を行う」「誤り防止・不正防止の対策を行う」「データのバックアップを行う」「モニタリングを行う」という7つ分類した。それぞれのキーワードに応じた対策を行うことで、違反できない仕組みを構築し、IT統制体制が強化できる。

　IT統制は継続的に強化していかなければならない。IT統制強化ステップサイクルを回し、IT統制を継続的に監査・強化することが何より重要だ。クオリティが提供するツール群によって監査などの工数を削減し、必要な情報を取得することで、IT統制環境をより構築しやすくするだろう。


クオリティ＝http://www.quality.co.jp/

[次のページ]