ツールから考えるのは「順番が逆」：「内部統制」に振り回されない賢いログ活用とは（1/2 ページ）

[高橋睦美，ITmedia]

本記事の関連コンテンツは、オンライン・ムック「『内部統制』に振り回されない賢いログ活用とは」でご覧になれます。

　「『ログを取ろう』とか『このツールを使おう』と言う前に、会社としてのポリシーとルールをきっちり定めておくことをお勧めしたい」――。

　ガートナー ジャパンのリサーチ バイスプレジデント、松原榮一氏に、内部統制の観点からログ取得、活用をどうとらえるべきかを尋ねたところ、こういう返事が返ってきた。

　同氏によると、「まずログありき」というのは順序が逆だ。会社としてのポリシーやルールを定め、それに基づいて内部統制の整備に求められるさまざまな整備項目をどのように実現していくかというステップの中で考えていかなければならない問題だと述べた。

　「最初から『ログを使ってこうしうよう、ああしよう』というのは、手段と目的を取り違えた議論になってしまう。こういうことをやっていると、情報システム部門として経営からの信頼を失うことになる可能性もあると非常に危惧している」（松原氏）

　また「内部統制支援ツール」を多発するベンダーにも苦言を呈す。

　「企業の側もだいたいわかってきていて、ベンダー側が『これを使えばこういうことができます』などと言うと、もう使うのを止めようと思う。ロジカルに説明する方向に切り替えていったベンダーがこれから伸びていくと思う」と松原氏。だが今のところ、外から見た限り、多くのベンダーの動きは逆に見えるという。

いきなり「ログから」じゃダメ

　松原氏が重視するのは、まず企業として業務をどのように進めるのかというポリシーとルールを定めること。このレベルで整備ができていなければ、そもそもツールの選定すらできない。当たり前だが、何をやらなくてはいけないのかが明確にできてはじめて「どういうツールが必要か」という順番になると同氏は述べた。

　「いきなりログから、というと全体感を見失ってしまう」（松原氏）

ガートナー ジャパンのリサーチ バイスプレジデント、松原榮一氏は、まず企業としてのルール作りが肝心だと強調

　最も卑近な例の1つが、Webサイト閲覧に関するルールだ。例えば、会社のPCではアダルトサイトは閲覧禁止だとして、それが就業規則に明記してあるか。また閲覧した場合には処分の対象になると人事規定に記してあるか。

　同様にデータの取扱いについてもルールが必要だ。あるデータは職責上必要だから使ってもいいが、無関係なデータにはアクセスを禁じるといったルールができているか。あるいは、このIDならばどのデータへのアクセスが許可されているといったルールができているか、そうした部分の整備ができていなければ「いくらログをとっても、それをどのように見るのか、どのように使うのかという話になる」と松原氏は述べた。

　最近ではいくつか、ログの収集、解析を支援するツールが提供されている。しかし、ログの活用／解析作業がすべて、自動的に行えるわけではなく、ある程度人間の介在が必要だと松原氏。そのときにルールがなければ「話にならない」とした。

　もう1つ、内部統制という意味でポイントになるのが「職務の分離」という考え方だ。

　「例えば、『課長の交際費の決済を本人が行ってはいけない』という具合に、起票者が承認者になってはいけない。だが日本の会社の場合、これが実際にできているかというと危ないのではないか。最近起こった不祥事や使い込みなどの事件を見ると、本当は信頼できるはずの役員や管理職によるものが多い」（松原氏）

　こうした状況を踏まえると、社内の仕組みとして「申請する人」と「承認する人」を分ける、権限分離を徹底することが重要だという。かつては、終身雇用／年功序列制度によって社員の高い忠誠心が期待できたが、それに頼る姿勢がある限り「内部統制はいくらやっても成立しない」と同氏は述べた。

　こうしたルールを徹底することによって、これまでのビジネスの進め方や商習慣が阻害される可能性もある。だが「それをどう考えるかはそれぞれの会社のポリシー、哲学によってくるだろう」と松原氏は述べた。