IT全般統制支援ソリューションに求められる機能を探る：「内部統制」に振り回されない賢いログ活用とは（2/2 ページ）

[増田克善，ITmedia]

　システムマネジメントツールの基本的な機能としては、デバイスの自動検出と変更管理アラートによる環境の変更管理、アプリケーションなどソフトウェアのインストールと維持、アクティブな構成管理とパッチ展開によるシステムセキュリティの確保、問題と障害に対応するためのリモート問題解決ツールによる継続的なサービスのサポート、リアルタイムの健全性とパフォーマンス監視によるパフォーマンスとキャパシティの管理などがある。

　いずれもIT全般統制では重要な要素だ。特にIT基盤の把握と管理におけるデバイスの自動検出と変更管理アラートによる環境の変更管理は、IT基盤の把握の基礎的な部分になる。また、社内に存在する各種リソースの自動検出に加えて、そのリソースにハードウェアやソフトウェアで何らかの変更が加えられた際にその情報を収集する機能も提供する。

　これにより、システムの適正な運用の基本となるリソースの把握を自動化し、内部統制の強化に向けた第一ステップを踏み出すことができるだろう。

IT全般統制はITILの延長線に

　IT基盤の把握によって評価範囲を決定するとともに、実施基準案の具体例であるITの開発、保守に係る管理およびシステムの運用・管理という項目に着目すれば、システム運用管理を中心としたマネジメントフレームワーク「Information Technology Infrastructure Library」（ITIL）が有効だ。

　ITILはもともと、運用を可視化することで、業務（サービス）の効率化、サービス品質の向上、運用コスト削減効果が注目された。だが、IT全般統制においてはシステムの正確性、信頼性が運用のキーワードとなっている。

　目的には違いがあるものの、障害の根本的な原因を追及する（問題管理）、サービスレベルを規定して維持する（サービスレベル管理）、ITの構成情報や他のプロセスの最新情報を管理する（構成管理）、業務に必要な可用性の実現を計画または監視する（可用性管理）など、IT全般統制に対応するために実施すべき主要な管理項目は、そのままITILの管理プロセスに置き換えることができる。

　ITIL準拠をうたったシステムマネジメントツールやサービスはすでに多く存在しているので、対応の効率化にはそれらを活用することが有効だ。内部統制は、ITILの考え方に沿ったツールによって整備することに加え、COBIT（Control Objectives for Information and related Technology）で規定されているように、「第三者による監査」と「証跡」の2つのポイントを考慮する必要がある。

　監査の視点で見れば、開発管理プロセスでは、プログラムに変更があった場合にソースや実行モジュールが正しく管理されていることが必要である。それに対する対策はプログラム変更管理ツールが重点策となる。

　また運用管理プロセスでは、ジョブの実行や最新のパッチにおける適用が正しく管理されていることや、的確な障害対応が実施されていることが必要である。それにはジョブ実行・変更管理、スケジュール管理、展開管理、インシデント管理ができるツールを導入する。そして、証跡管理プロセスでは、文書やログデータなどの証跡が検索・分析できることが必要であり、コンテンツ管理やログ収集・分析機能を持つツールが有効である。

IT基盤全体のセキュリティ管理が要求される

　実施基準案の具体例のもう1点は、「内外からのアクセス管理などシステムの安全性の確保」だ。前回でも触れたように、システムにおける職務分掌を含む認証とアクセス管理だけを指すものでなく、IT基盤全体のセキュリティ管理の有効性が問われることになる。

　これを実現するには、サーバやクライアントのエンドポイントセキュリティの確立に加え、データのバックアップ、災害対策など事業継続のための体制を整える必要がある。もちろん、こうした対策は、単なるセキュリティツールの導入を促すものではない。物理的・人的な仕組みをきちんと整備することが重要であることを忘れてはならない。

本記事は、ITセレクト2007年2月号「内部統制ソリューション最新事情」を再構成したものです。