クライアント環境の正しい運用で実現する監査対応とコスト削減：今からでもまだ間に合う内部統制への対応

4月のJ-SOX法施行を控え、不正を許さない健全な企業風土の構築を実現するには、クライアントPCのセキュリティ統制が必須となる。今からでもクライアントPCのセキュリティ統制は、十分実現可能である。しかも、コスト削減などのメリットを生むことをご存知だろうか。

[PR／ITmedia]

PR

　4月の金融商品取引法（通称：J-SOX法）施行を目前に控えて、上場企業や上場企業と取引のある企業では内部統制の整備が急ピッチに進められている。業務プロセスの明文化や文書管理体制の構築、基幹業務における整備が進み、実運用段階に入っている企業も多い。だが、ビジネスの最前線となる社員のクライアントPCについては、十分なセキュリティ統制がなされているのだろうか。

　個人情報の漏えいなど、企業にとって大きな損失を与えかねない事件は、クライアントPCの現状把握ができていないことが原因であることが多い。ウイルス対策ソフトなど、各種セキュリティ対策を導入するにも、まずはクライアントPCの現状把握ができていなければ適正な対策を行うことはできないし、対策導入後の定期的な監査がきちんと行われていなければ各種の対策が十分に機能しない。内部統制をより確実なものとするためにも、クライアントPCのセキュリティ統制は必須である。

IT資産管理ツールの導入と活用

　クライアントPCのセキュリティ統制を実現するための手段として注目したいのが、IT資産管理ツールの活用だ。IT資産管理ツールの歴史は古く、さまざまなベンダーが製品を提供しており、機能面においてはどの製品もほぼ完成の域に達しているといっても過言ではない。よって、内部統制の観点では監査法人からの要求や内部監査に対し、ツールをどのように活用してスムーズな対応を図っていくのかという点が重要になる。

図1：IT資産管理ツールを利用した、セキュリティ統制の強化ステップ

　セキュリティ統制を実現するには、ルール違反をさせない体制を、ステップを踏んで、着実に作り上げていく必要がある。具体的には、まずルールを策定する。そのルールを運用しつつ、クライアントPCの現状を調査、把握する。ルールに違反したクライアントPCがあれば、その情報を積極的に公開してルール遵守を促す。さらに違反を再発させないシステムを構築し、定期監査を行う。このステップを回していくことで、ルール自体の改善を図り、ルール違反を発生させない体制をより強固なものにすることができる。

　このセキュリティ統制強化ステップを構築・運用する上で、IT資産管理ツールの果たす役割は大きい。例えば、クオリティのIT資産管理ツール「QND Plus」、IT資産管理機能に加え、より高度なシステムの適正利用をサポートする「QAW」、クライアントPCの操作ログを取得する「QOH」、USBメモリなどへのデータ書き出しを制御する「eX WP」、リポーティングツールの「eX Report」を利用すれば、このステップを構築・運用できる。ルールに基づいて、QAW/QND PlusでクライアントPCの現状把握、QOHで操作ログの取得を行い、eX Reportで公開。ルールに違反しているクライアントPCの状態を各種ツールにより最適化する。これらの監査状況をeX Reportで定期公開し、その結果に基づいてルールのさらなる改善を図っていくという具合だ。

図2：クライアントPC状態の可視化がセキュリティ統制実現に欠かせない

　クオリティでは、これらのツールを利用してクライアントPCのセキュリティ統制を実現していくためのアドバイスを導入企業やパートナー企業に提供している。QND Plusは10年近い歴史を持ち、以前には2000年問題や個人情報保護法への対応などにおいて、クライアントPCの効率的な管理体制を実現できるツールという評価・実績を獲得してきた。また製品を提供するだけでなく、時節に合わせた、最適な運用ソリューションを過去4年間毎週欠かさずリリースしてきた。その数は200種類以上あり、日常業務から全社規模にいたるまで導入企業が抱えるさまざまな課題に対して的確なアドバイスを提供できるという。

　さらに、同社ではクライアントPCのセキュリティ統制を効率的に強化したい企業のニーズに応え、「QAW（QND Plus)」と「QOH」、「eX WP」、「ex Report」をパッケージ化した「QAW（QND)セキュリティ監査セット」を発売する。クライアントPCの統制をワンストップで、短期間かつスムーズに実現できるだろう。

セキュリティ統制だけで終わらせない。メリットを生むためのノウハウ

　かつて、IT資産管理ツールは2000年問題や個人情報保護法対応など社会背景に対応すべく導入をしても、次第に活用されなくなるというケースが一部に見られた。その原因は、「一時的なPC棚卸し」という使用方法だけにとどまってしまう点にありそうだ。IT資産管理ツールの真の価値とは、上手に運用することで実現するコスト削減や社会貢献である。目に見えるものと目にみえないものの両面で、企業の利益を生む原動力になる。

　例えば、世界中で関心の高まる「グリーンIT」に関しては、IT資産管理ツールを活用することによってコスト削減と環境対策の両面で大きな効果を上げられる。QAWとQND PlusにはPCの電源設定を管理する機能があり、「電源接続時でも30分後にHDDの電源を切る」というようなポリシーを各クライアント環境に適用することができる。これにより、PCを利用しないにも関わらず外出中や夜間に電源がオンのままになっているPCの電源を強制的にオフできる。無駄な待機電力の消費を無くすことで、電気代を削減でき、CO2排出の削減にもつながる。

　クオリティの試算では、デスクトップPC600台とノートPC400台の環境を想定した場合に1カ月でCO2を約1.9トン削減できることが判明した。年間では約22.6トンの削減につながり、電気料金も約65万円節約できるという。5年後、10年後という時間軸でみた場合、この効果はさらに大きなものになることが分かる。

　同社自身も環境対策へ積極的に取り組んでおり、PCの電源管理に加えて、エアコンや照明のこまめなオン／オフ、印刷用紙や飲料の紙コップの削減、セキュリティオフィスの採用による省スペース化などを推進している。この結果、2007年3〜8月には本社全体の電気コストを前年比で23％削減した。照明やPCなどの電灯類のコストは32％削減できたという。

図3：セキュリティ統制によって、全社レベルで業務環境の最適化を図ることができる

　このように、IT資産管理ツールは運用の仕方によってクライアントPCのセキュリティ統制を強化するだけではなく、さまざまなメリットを生み出す。クオリティでは今春から製品の運用を支援するサービスを始める予定となっており、IT担当者を専任で置くことが難しい中小企業でも、内部統制の強化やコスト削減に取り組めるよう支援していく考えだ。

　内部統制の強化という直近の課題を解決するだけでなく、長期的な運用によって大きなコスト削減と社会貢献を実現することができるIT資産管理ツールの導入をぜひ検討してみてはいかがだろうか。

ホワイトペーパーダウンロード

今からでも間に合う！　IT全般統制対応を短期間で実現するツール群

情報漏えいを防ぎ、内部統制への対応を万全に整えるための最初のステップとして必要なのがログ管理だ。PC操作のログ管理および監視をサポートするツール群を紹介する。

　2008年4月に施行される日本版SOX法を控え、上場企業や上場企業と取引のある企業では内部統制の整備が急ピッチで進められている。業務プロセスの明文化や文書管理体制の構築、基幹業務における整備が進み、実運用段階に入っている企業も多い。しかしながら、業務処理統制を支えるIT全般（セキュリティ）統制がきちんと整備されていないケースも少なくない。本ホワイトペーパーでは、IT統制を実現する上で必須となるクライアントセキュリティ管理ツールとログ監視ツールを中心に紹介する。

TechTargetジャパン ホワイトペーパー ダウンロードセンターにて入手できます。