J-SOX対応は「主張の場」と心得よ――ログ保管ではどうする？：Tips of SOX（2/3 ページ）

[平安彦，ITmedia]

IT全般統制で求められている記録とは？

　企業においてJ-SOXの対象となるような勘定に絡むシステムは、もともと重要なシステムと企業で位置づけられていることが多く、それなりにきちんと見えるさまざまな制限がかけられていたと思います。

　例えばシステムのアプリケーションを使用する際には使用者に与えられた権限以外のメニューは使用できない、データを作成したり変更した使用者のIDや日時を記録するなどの措置が取られていることが多いでしょう。従来からこのようなシステム利用者に対しての統制は必要性が認識されており、比較的整備の進んでいる領域なのです。

　例えば「業務上権限のない人間が決裁の承認はできないか？」に対して「ログイン時に自身のIDとパスワードでログインを行い、自身に許可された業務メニューの中からのみ承認行為が実行可能である」というようなシステム的な手当てができていると答えられる企業は多いでしょう。しかし元々このような通常業務上の統制行為が問われるのは業務プロセス統制であったり、ITアプリケーション統制の分野で求められることであり、IT全般統制ではアプリケーションの内部で通常業務に関して行なわれる行為に対しての保証は求められません。通常求められるのは、アプリケーション上の行為ではなく、その下のレイヤーに位置するOSやデータベースに関しての行為なのです。アプリケーションにおいてはシステム利用者はアプリケーションの提供している定型的な行為を行なうのみであり、記録を取っても同じ作業の反復であることが分かるだけでしょう。

　IT全般統制で求められている記録は、IT部門やシステムの開発や保守を行なうベンダー各社が行なう、不定形な行為についてが対象なのです。「網羅的なログの記録」という言葉は完全性を保証しているようで一見魅力的ですが、そもそも全ての記録が求められているのではなく、リスクを識別した上で、対象となる業務の記録が求められているのです。一般的なシステムでは恐らくシステムのアクセス数全体を見れば、アプリケーションを通した定型的なアクセスが90％後半を占め、開発行為にあたるような不定形な行為は数％でしょう。また長く使われているシステムであれば0.01％を切るような頻度のシステムもあるでしょう。数が少ないから誤差と考えてよいわけではありません。しかしそもそも危険視されるべき行為を特定しないと、全てのアクセスを記録しなければならないという錯覚に陥り、多大な出費の覚悟しなくてはならなくなります。最悪の場合はその出費に驚き、「社としてログの記録は行なわず、マニュアル統制にて制御をする」との結論が導かれる可能性もあります。リスクの対象を明確にできないゆえに統制ができないという最悪の事態となるのです。