内部統制、実際のところどうするの？：いよいよJ-SOX始動！（2/2 ページ）

[藤平忠史，ITmedia]

内部統制の課題「ID管理」の効率化

　内部統制において、大きな課題といわれるのが「アイデンティティ管理」である。日本の企業では兼務や兼職、出向などが多いうえ、職位や所属によって、与えられる権限が異なる。

　また、正社員の入社や退職、人事異動に加え、派遣社員など正社員以外のID管理も必要となる。アカウントだけ発行して、契約終了後のアカウント削除が忘れ去られてしまうことも少なくない。アイデンティティ管理は複雑化しているのが現状だ。

効率的なアイデンティティ管理は運用負荷軽減のカギとなる

　そうした管理の手間を軽減するツールの導入は、情報を守る企業の責任において、取り組むべき課題と言えるだろう。

履歴の記録、調査で事故原因を究明

　昨今のシステムは、ネットワークで基幹系システムともつながっており、アクセス制御でコントロールするだけでは防ぎきれないこともある。そこで、重要になってくるのが“誰が”“いつ”“何を”“どのように使ったか”、情報の履歴を知る「ログ管理」だ。

　送受信のメールの内容、Webやファイルサーバへのアクセス履歴、操作内容の確認、これらを記録することは、不正アクセスを抑止する効果と、事故が起こった場合の追跡、法的な対応（フォレンジック）としても効果が得られる。実際、アクセスログの取得範囲や保存期間、ログのレビューの頻度やログの改ざんの可能性などが評価、点検されるだけに、いい加減な管理は許されない。

　ちなみに、内部統制に関わる書類は5年間の保存義務がある。また、ログ管理はログを貯めておけばよいというものではなく、膨大な情報をアーカイブして保管したり、別の場所に保管するなど、災害対策や事業継続を視野に入れた対応と、すぐにデータを探し出す検索性もポイントになる。企業は、企業を支えるステークホルダーに対して説明責任もある。Webやメールなどの領域ごとのログを一元的に収集・保管し、アクセス集計できるツールを導入すれば強い武器になるはずだ。

単一ソリューションから統合へ

　インターネットの高速・大容量化に伴い、インターネットを介したEDI（電子データ交換）が普及している。SCMやERPなどITの活用は、ビジネスの根幹を支えているだけに、インターネットから取り込むデータの改ざん、消去などは大きな問題になる。

　すでに、インターネットに関しては、ウイルス対策をはじめ、ファイアウォールやIPSなど外部からの脅威対策、さらにはネットワークの不正使用を防止する検疫ネットワークなどさまざまな対応を進めている企業も多い。だがこれらの取り組みにおいて、さまざまなベンダーの製品の単一機能で対応していることが少なくない。

　それゆえ、連携や操作性に課題があることも多く、それがセキュリティホールになる可能性もある。そうした課題に対し、統一された操作環境で、多層防御ができる同一ベンダーのソリューションを導入することは、企業全体のミッションクリティカルな業務、サーバの脆弱性、ポリシー違反など、効率的に管理するための1つの方法と言える。インターネットセキュリティ対策の効率化は、セキュアな環境による安定稼働、情報システムをはじめ、各部門の生産性向上を支援するだろう。

統一された操作環境を導入するのも1つの方法

　J-SOX法は、セキュリティ対策同様、1年間で終わるものではない。継続的な運用、管理が重要になってくる。コンプライアンス対応に加え、企業価値の向上という長い視点で取り組んでいくことが大切だ。J-SOX法施行後も、業務の有効性と効率性を向上させることが競争力のアップにもつながっていく。効率化をテーマに、今一度自社の対策を見直してみてはいかがだろうか。