「IT全般統制の中核はセキュリティ統制」――あるソフトウェア企業の取り組み:ITmedia エグゼクティブセミナーリポート
ソフトウェア企業のクオリティは、2003年から全社的にセキュリティ対策に取り組み始め、運用・見直しを図ってきた。内部統制で求められるIT統制の対応のポイントもセキュリティ対策と変わりはない、という。
内部統制におけるIT全般統制の目標は、信頼できる財務報告書を作成することにある。「ITmedia エグゼクティブセミナー」で講演したクオリティ取締役の飯島邦夫氏は、自社で取り組むセキュリティ対策を紹介した。内部統制では、既に社内のインフラとなったITに対する統制環境を整備する必要があるが、その中核は「セキュリティ統制」であると飯島氏は言う。
同社は2003年からセキュリティ対策を本格的に開始。IT統制にも適用できる独自のステップへとまとめ上げてきたという。2003年内にはセキュリティポリシーを整備し、翌年にはポリシーに基づいた具体的な対策をとして自社のセキュリティツールを展開、日々のセキュリティ状況を監視・見直しするPDCAサイクルを実践してきた。2006年からは日本版SOX法を見越し、IT統制を念頭に入れ、IT統制の視点からセキュリティポリシーを改訂してきた。
「内部統制におけるIT統制も、その中核はセキュリティ統制。IT資産の現状を把握するのが基本。そこから問題点を抽出し、違反が起きない仕組み構築する必要がある」と、飯島氏は話す。
クオリティが実践する5つのステップ
そのクオリティが独自にIT統制フレームワークとしてまとめたのが、(1)「ルールの策定・見直し」(2)「IT資産の現状把握」(3)「問題点の抽出」(4)「IT全般統制」(5)「ルール違反者の開示・対策」という5つのステップ。このステップをサイクルとして回し、IT統制を継続的に強化していくのがポイントだという。IT統制におけるPDCAというわけだ。
まずステップ1となるのは、ルールの策定と見直しだ。セキュリティポリシーやセキュリティスタンダードを作成するのと同様に、IT統制への指針を明確にした。ルールを策定することで、人間とITの双方からIT全般統制の体制を構築するための基礎となるからだ。
「もちろん、基盤となるからには、ある程度柔軟にするべきで、新しい法令への対応が必要な場合などは、随時見直しを行う必要がある」(飯島氏)。
ステップ2で、IT資産の現状を把握する必要がある。そのためには、既に社内に展開されているシステムの情報収集が不可欠だ。そこでクオリティでは、PCの台数や使用者、インストールされているソフトウェアなどの情報を総合的に収集する自社のソフトウェア「QND」を使用してクライアントPCやネットワーク機器を把握、PC上の情報漏えいリスクなどを把握し、IT統制基盤を構築するための情報を集めた。
そして、これら情報を利用して「社内にどのような問題があるか」を抽出するのがステップ3となる。同社製品のレポート機能を活用して、ステップ1で作成したポリシーに違反する内容がないかを評価し、課題を洗い出す。このステップは初期監査としても有効なステップともなる。
「問題を抽出することで、ルールと現状がどれだけ離れているかが分かる。これを実施できるだけでも、特にセキュリティ対策の7〜8割は達成できたと考えてもよいだろう」と飯島氏。
社員が違反しない環境づくり
問題を切り出したら、IT全般統制に必要な内容の対策を行う。これがステップ4となる。クオリティでは、この内容を7つのキーワードに分類し、それぞれに対策を施しているという。そのポイントは違反が起きない仕組みを構築する点ことにあるという。
クオリティでは、IT統制についての社内啓発のため2007年2月には1日1問セキュリティについて学ぶeラーニングを導入。社内のセキュリティ啓発にも力を入れている。「朝PCを立ち上げると、必ずこのeラーニングを行わないと作業ができないように教育を徹底した」(飯島氏)。
続く2007年3月には、オフィス化の見直しにも着手、社員の執務環境もセキュリティ違反を起させないものへとした。机には引き出しを設けず、ロッカーを割り当てるようにし、PCをしまい忘れるなどの物理セキュリティ面に対する対策を導入した。
「セキュリティポリシーの違反をした社員は、PCを没収されて、反省文を提出させている。そのためか、今では違反をするものはいなくなった」
そして最後のステップ5では、ツールの監視レポートの内容を定期的に分析してルール違反状況を監査し、現状を正確に評価するように務めているという。ここには再度、課題を明確化するだけでなく、違反者への対処を検討することも含んでいるという。
「定期監査を実施することは、自社のセキュリティ対策がどれだけ実現できているかを知る目安になる。だいたい違反する人間は決まって同じ人。その意味でも定期的に違反状況を監査することでリスクを特定できる。ルール違反者への対処法も明確化すれば、セキュリティ意識の浸透にもつながる」と飯島氏。
「IT統制も基本はセキュリティ統制」――飯島氏はこのようなステップでサイクルを継続的に回し、監査、見直しを繰り返すことが重要だと話した。
関連記事
社内の混乱を最低限に抑えて切り抜けろ
日本版SOX法を目前に控えた今、内部統制の整備・評価で大変なフェーズにさしかかっている企業は少なくないはずだ。そのフェーズを上手に切り抜ける方法として、東芝ソリューションでは整備(文書化)・評価支援機能を持った内部統制推進ソリューションの活用を提案している。
情報資産の保全はできているか?
情報セキュリティは企業にとって大きな経営課題の1つだ。フォーバル クリエーティブでは、「Check Point UTM-1」シリーズをはじめ総合的なセキュリティソリューションを提供し、その課題解決しようとしている。
内部統制で競争力は向上するのか?
内部統制は、法律に従って実施するだけのものではない。企業戦略の土台としてルールを整備し、さらなる市場展開を目指すための戦略的な基盤と考えるべきだ。牧野二郎弁護士はこう主張する。- 最終チェック 現実を見た日本版SOX法対応
- 法務とITに存在する「深すぎる溝」
- 内部統制整備、今起きている誤解
- 牧野二郎弁護士インタビュー:脆弱な「人間力」 規定でがんじがらめは正しいか?
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.