「IT全般統制の中核はセキュリティ統制」――あるソフトウェア企業の取り組み:ITmedia エグゼクティブセミナーリポート
ソフトウェア企業のクオリティは、2003年から全社的にセキュリティ対策に取り組み始め、運用・見直しを図ってきた。内部統制で求められるIT統制の対応のポイントもセキュリティ対策と変わりはない、という。
内部統制におけるIT全般統制の目標は、信頼できる財務報告書を作成することにある。「ITmedia エグゼクティブセミナー」で講演したクオリティ取締役の飯島邦夫氏は、自社で取り組むセキュリティ対策を紹介した。内部統制では、既に社内のインフラとなったITに対する統制環境を整備する必要があるが、その中核は「セキュリティ統制」であると飯島氏は言う。
同社は2003年からセキュリティ対策を本格的に開始。IT統制にも適用できる独自のステップへとまとめ上げてきたという。2003年内にはセキュリティポリシーを整備し、翌年にはポリシーに基づいた具体的な対策をとして自社のセキュリティツールを展開、日々のセキュリティ状況を監視・見直しするPDCAサイクルを実践してきた。2006年からは日本版SOX法を見越し、IT統制を念頭に入れ、IT統制の視点からセキュリティポリシーを改訂してきた。
「内部統制におけるIT統制も、その中核はセキュリティ統制。IT資産の現状を把握するのが基本。そこから問題点を抽出し、違反が起きない仕組み構築する必要がある」と、飯島氏は話す。
クオリティが実践する5つのステップ
「IT全般統制の強化を支えられる製品で顧客の統制環境を支援したい」と述べるクオリティ取締役の飯島邦夫氏そのクオリティが独自にIT統制フレームワークとしてまとめたのが、(1)「ルールの策定・見直し」(2)「IT資産の現状把握」(3)「問題点の抽出」(4)「IT全般統制」(5)「ルール違反者の開示・対策」という5つのステップ。このステップをサイクルとして回し、IT統制を継続的に強化していくのがポイントだという。IT統制におけるPDCAというわけだ。
まずステップ1となるのは、ルールの策定と見直しだ。セキュリティポリシーやセキュリティスタンダードを作成するのと同様に、IT統制への指針を明確にした。ルールを策定することで、人間とITの双方からIT全般統制の体制を構築するための基礎となるからだ。
「もちろん、基盤となるからには、ある程度柔軟にするべきで、新しい法令への対応が必要な場合などは、随時見直しを行う必要がある」(飯島氏)。
ステップ2で、IT資産の現状を把握する必要がある。そのためには、既に社内に展開されているシステムの情報収集が不可欠だ。そこでクオリティでは、PCの台数や使用者、インストールされているソフトウェアなどの情報を総合的に収集する自社のソフトウェア「QND」を使用してクライアントPCやネットワーク機器を把握、PC上の情報漏えいリスクなどを把握し、IT統制基盤を構築するための情報を集めた。
そして、これら情報を利用して「社内にどのような問題があるか」を抽出するのがステップ3となる。同社製品のレポート機能を活用して、ステップ1で作成したポリシーに違反する内容がないかを評価し、課題を洗い出す。このステップは初期監査としても有効なステップともなる。
「問題を抽出することで、ルールと現状がどれだけ離れているかが分かる。これを実施できるだけでも、特にセキュリティ対策の7〜8割は達成できたと考えてもよいだろう」と飯島氏。
社員が違反しない環境づくり
問題を切り出したら、IT全般統制に必要な内容の対策を行う。これがステップ4となる。クオリティでは、この内容を7つのキーワードに分類し、それぞれに対策を施しているという。そのポイントは違反が起きない仕組みを構築する点ことにあるという。
クオリティでは、IT統制についての社内啓発のため2007年2月には1日1問セキュリティについて学ぶeラーニングを導入。社内のセキュリティ啓発にも力を入れている。「朝PCを立ち上げると、必ずこのeラーニングを行わないと作業ができないように教育を徹底した」(飯島氏)。
続く2007年3月には、オフィス化の見直しにも着手、社員の執務環境もセキュリティ違反を起させないものへとした。机には引き出しを設けず、ロッカーを割り当てるようにし、PCをしまい忘れるなどの物理セキュリティ面に対する対策を導入した。
「セキュリティポリシーの違反をした社員は、PCを没収されて、反省文を提出させている。そのためか、今では違反をするものはいなくなった」
そして最後のステップ5では、ツールの監視レポートの内容を定期的に分析してルール違反状況を監査し、現状を正確に評価するように務めているという。ここには再度、課題を明確化するだけでなく、違反者への対処を検討することも含んでいるという。
「定期監査を実施することは、自社のセキュリティ対策がどれだけ実現できているかを知る目安になる。だいたい違反する人間は決まって同じ人。その意味でも定期的に違反状況を監査することでリスクを特定できる。ルール違反者への対処法も明確化すれば、セキュリティ意識の浸透にもつながる」と飯島氏。
「IT統制も基本はセキュリティ統制」――飯島氏はこのようなステップでサイクルを継続的に回し、監査、見直しを繰り返すことが重要だと話した。
関連記事
社内の混乱を最低限に抑えて切り抜けろ
日本版SOX法を目前に控えた今、内部統制の整備・評価で大変なフェーズにさしかかっている企業は少なくないはずだ。そのフェーズを上手に切り抜ける方法として、東芝ソリューションでは整備(文書化)・評価支援機能を持った内部統制推進ソリューションの活用を提案している。
情報資産の保全はできているか?
情報セキュリティは企業にとって大きな経営課題の1つだ。フォーバル クリエーティブでは、「Check Point UTM-1」シリーズをはじめ総合的なセキュリティソリューションを提供し、その課題解決しようとしている。
内部統制で競争力は向上するのか?
内部統制は、法律に従って実施するだけのものではない。企業戦略の土台としてルールを整備し、さらなる市場展開を目指すための戦略的な基盤と考えるべきだ。牧野二郎弁護士はこう主張する。- 最終チェック 現実を見た日本版SOX法対応
- 法務とITに存在する「深すぎる溝」
- 内部統制整備、今起きている誤解
- 牧野二郎弁護士インタビュー:脆弱な「人間力」 規定でがんじがらめは正しいか?
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- なぜあの人は、いつも成果を出せるのか?── 「ほんとうに」仕事ができる人が持つ2つの資質
- 管理職としてZ世代を率いるリーダーが、チームビルディングのために意識すべき「3つのこと」とは?
- 日産、高性能EVへ「リチウム金属負極」 採用の全固体電池 エネルギー密度、従来の2倍
- 「志村の笑いは本物」……俳優・寺田農さんが産経新聞読書面に残した28本のコラムを読む
- 「ITmedia エグゼクティブ DX eマガジン 2024春」(PDF)の提供開始
- 事業規模2倍に「社員はイエスマンにならないで」シャトレーゼ社長、斉藤貴子さん
- 富士フイルム、ヘルスケアや半導体を中心に1.9兆円投資 今後3年間で
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- ヤマト運輸と佐川急便、1日から値上げ 「2024年問題」でドライバー不足など顕在化
- 東京、4月から5月に行くべきアート展
事務局からのお知らせ
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。