 |
||||||||||||||
|
||||||||||||||
| 前のページ 1 2 3 次のページ | ||||||||||||||
|
||||||||||||||
| 日本版SOX法遵守にあたって | ||||||||||||||
|
企業を取り巻く環境が変化してきている今、日本版SOX法を考えた場合にIT資産管理業務は大きく変化し、その管理がおよぶ範囲が広がる。単に「IT資産の管理」ではなく、内部統制の理念である「企業活動に必要なIT資源をITシステムを利用して効率的に把握する」ことや「把握状況を随時監視し、問題ない状態(公正さ、透明さ)を維持すること」が求められてくる。 さらに資産調達における会計面での不正や資産の除去などの管理に問題がないことや、ソフトの不正コピーが行われていないか、セキュリティ問題からの情報漏洩を防止できているかなど、様々な監視を正式な運用担当者を任命して対応することが義務づけられてくる。 次の図2で水色の部分が、実際に日本版SOX法における主要項目の中で資産管理として対象となっている。  図2:日本版SOX法の中でのIT資産管理業務の位置づけ (画像をクリックすると別ウィンドウに拡大図を表示します) 本連載ではこれまでにも、日本版SOX法の中でIT統制強化には様々な対応が必要になるという話題を取りあげ、「情報漏洩のリスク対策」として脆弱性を有する端末のチェックおよび認証管理を行うため、LAN検疫ソリューションやVPN検疫ソリューションが必要であることを説明した。 このIT統制を強化する基盤の要素として「IT資産管理におけるリスク対策」という対応も求められてくる。これは、企業が所有するIT資産を効率的に管理できていることやその管理方法にリスクがないか、リスクがある場合の対応策が準備できているかなど「資産の保全」と「強制的な定常的運用」という要素が含まれてくる。 今後、IT技術を使って組織活動の効率化を促進して生産性を向上させ、日本版SOX法を遵守していくためには、様々な情報データを対象とした企業活動プロセスにおいて次の図3のような管理領域における、それぞれの達成レベルを把握することが重要である。  図3:資産管理領域とそのレベル (画像をクリックすると別ウィンドウに拡大図を表示します) そして現状の達成レベルの把握から次のステップへとカイゼンしていくことが王道である。 |
||||||||||||||
| ログ監視の重要性 | ||||||||||||||
|
これまでは主に日本版SOX法の対応などを意識して「対応すべき項目に対して企業が取るアクション」を中心に説明してきた。これらは企業活動のうち「事前対策」や「事中対策」の内容である。 しかし忘れてならないのが「事後対策」である。様々な企業活動のエビデンスを管理するということも重要であり、図2の通り日本版SOX法の遵守ポイントにも含まれている。 近い将来、ログ文化の変化が起こるかもしれない。つまり、今までのログという概念では対応しきれない、もしくは満足いかないレベルの情報の記録が企業として求められるようになる、ということである。 現在のログには以下のような問題点がある。
表2:現在のログの問題点
内部統制を強化するにあたってポイントとなるのは「各業務処理(アプリケーション)の監査証跡(ログ)を正しく保存・管理すること」と「システムのアクセスから終了まで、プロセス一連のログを管理する」ということがIT全般統制で求められるログとなる。
表3:IT全般統制で求められるログ
フォレンジックとはデジタルデータを対象として、ログや記録、状態を詳細に調査し、過去に起こったことを立証する証拠を集めることを意味する。主に「コンピュータフォレンジック」や「デジタルフォレンジック」「ネットワークフォレンジック」などで利用されている。 |
||||||||||||||
|
前のページ 1 2 3 次のページ |
||||||||||||||
|
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
-
-
連載
