「IT全般統制の中核はセキュリティ統制」――あるソフトウェア企業の取り組みITmedia エグゼクティブセミナーリポート

ソフトウェア企業のクオリティは、2003年から全社的にセキュリティ対策に取り組み始め、運用・見直しを図ってきた。内部統制で求められるIT統制の対応のポイントもセキュリティ対策と変わりはない、という。

» 2007年10月23日 10時23分 公開
[谷崎朋子,ITmedia]

 内部統制におけるIT全般統制の目標は、信頼できる財務報告書を作成することにある。「ITmedia エグゼクティブセミナー」で講演したクオリティ取締役の飯島邦夫氏は、自社で取り組むセキュリティ対策を紹介した。内部統制では、既に社内のインフラとなったITに対する統制環境を整備する必要があるが、その中核は「セキュリティ統制」であると飯島氏は言う。

 同社は2003年からセキュリティ対策を本格的に開始。IT統制にも適用できる独自のステップへとまとめ上げてきたという。2003年内にはセキュリティポリシーを整備し、翌年にはポリシーに基づいた具体的な対策をとして自社のセキュリティツールを展開、日々のセキュリティ状況を監視・見直しするPDCAサイクルを実践してきた。2006年からは日本版SOX法を見越し、IT統制を念頭に入れ、IT統制の視点からセキュリティポリシーを改訂してきた。

 「内部統制におけるIT統制も、その中核はセキュリティ統制。IT資産の現状を把握するのが基本。そこから問題点を抽出し、違反が起きない仕組み構築する必要がある」と、飯島氏は話す。

クオリティが実践する5つのステップ

飯島邦夫氏 「IT全般統制の強化を支えられる製品で顧客の統制環境を支援したい」と述べるクオリティ取締役の飯島邦夫氏

 そのクオリティが独自にIT統制フレームワークとしてまとめたのが、(1)「ルールの策定・見直し」(2)「IT資産の現状把握」(3)「問題点の抽出」(4)「IT全般統制」(5)「ルール違反者の開示・対策」という5つのステップ。このステップをサイクルとして回し、IT統制を継続的に強化していくのがポイントだという。IT統制におけるPDCAというわけだ。

 まずステップ1となるのは、ルールの策定と見直しだ。セキュリティポリシーやセキュリティスタンダードを作成するのと同様に、IT統制への指針を明確にした。ルールを策定することで、人間とITの双方からIT全般統制の体制を構築するための基礎となるからだ。

 「もちろん、基盤となるからには、ある程度柔軟にするべきで、新しい法令への対応が必要な場合などは、随時見直しを行う必要がある」(飯島氏)。

 ステップ2で、IT資産の現状を把握する必要がある。そのためには、既に社内に展開されているシステムの情報収集が不可欠だ。そこでクオリティでは、PCの台数や使用者、インストールされているソフトウェアなどの情報を総合的に収集する自社のソフトウェア「QND」を使用してクライアントPCやネットワーク機器を把握、PC上の情報漏えいリスクなどを把握し、IT統制基盤を構築するための情報を集めた。

 そして、これら情報を利用して「社内にどのような問題があるか」を抽出するのがステップ3となる。同社製品のレポート機能を活用して、ステップ1で作成したポリシーに違反する内容がないかを評価し、課題を洗い出す。このステップは初期監査としても有効なステップともなる。

 「問題を抽出することで、ルールと現状がどれだけ離れているかが分かる。これを実施できるだけでも、特にセキュリティ対策の7〜8割は達成できたと考えてもよいだろう」と飯島氏。

社員が違反しない環境づくり

 問題を切り出したら、IT全般統制に必要な内容の対策を行う。これがステップ4となる。クオリティでは、この内容を7つのキーワードに分類し、それぞれに対策を施しているという。そのポイントは違反が起きない仕組みを構築する点ことにあるという。

 クオリティでは、IT統制についての社内啓発のため2007年2月には1日1問セキュリティについて学ぶeラーニングを導入。社内のセキュリティ啓発にも力を入れている。「朝PCを立ち上げると、必ずこのeラーニングを行わないと作業ができないように教育を徹底した」(飯島氏)。

 続く2007年3月には、オフィス化の見直しにも着手、社員の執務環境もセキュリティ違反を起させないものへとした。机には引き出しを設けず、ロッカーを割り当てるようにし、PCをしまい忘れるなどの物理セキュリティ面に対する対策を導入した。

 「セキュリティポリシーの違反をした社員は、PCを没収されて、反省文を提出させている。そのためか、今では違反をするものはいなくなった」

 そして最後のステップ5では、ツールの監視レポートの内容を定期的に分析してルール違反状況を監査し、現状を正確に評価するように務めているという。ここには再度、課題を明確化するだけでなく、違反者への対処を検討することも含んでいるという。

 「定期監査を実施することは、自社のセキュリティ対策がどれだけ実現できているかを知る目安になる。だいたい違反する人間は決まって同じ人。その意味でも定期的に違反状況を監査することでリスクを特定できる。ルール違反者への対処法も明確化すれば、セキュリティ意識の浸透にもつながる」と飯島氏。

 「IT統制も基本はセキュリティ統制」――飯島氏はこのようなステップでサイクルを継続的に回し、監査、見直しを繰り返すことが重要だと話した。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

根来龍之

早稲田大学商学学術院教授

根来龍之

小尾敏夫

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

郡山史郎

株式会社CEAFOM 代表取締役社長

郡山史郎

西野弘

株式会社プロシード 代表取締役

西野弘

森田正隆

明治学院大学 経済学部准教授

森田正隆