内部統制を支えるIT全般統制〜まずはクライアント管理による「現状把握」から

日本版SOX法の施行が目前に迫り、企業にとって内部統制の実現は待ったなしの急務となっている。内部統制の実現には、ERPなどのIT業務処理統制を支えるIT全般統制が重要だ。そしてIT全般統制の実現には、社内資産などの現状把握が不可欠である。内部統制を足下から固めていくボトムアップのアプローチを効率的に実現するには、どういったソリューションが必要だろうか？

[PR／ITmedia]

PR

関連リンク

クオリティ

クオリティ製品情報

クオリティ　ソリューション

クオリティ　導入事例

インフォメーション

ホワイトペーパー Vol.1
「QAW/QND法制度対策ソリューション」
ダウンロードはこちらから

ダウンロードには無料の会員登録が必要です

ホワイトペーパー Vol.2
「ISM(IT Security Manager) 」
ダウンロードはこちらから

ダウンロードには無料の会員登録が必要です

　内部統制の実現は、今、企業にとって待ったなしの急務となっている。その根拠は、2009年4月期より実施される改正金融商品取引法（日本版SOX法）や2006年5月に施行された新会社法だ。これらの法規制では企業に対し、内部統制の基本方針の決定と開示、その効率的な運営を要求している。

　内部統制の目的には、「業務の有効性と効率性」「財務報告の信頼性」「関連法規の遵守」、そして日本固有の目的として「資産の保全」の4つがある。この目的が達成されているという合理的な保証を得るために、業務に組み込まれ、取締役会、経営者および職員など組織内のすべての者によって遂行されるプロセスが内部統制であり、「統制環境」「リスク評価と対応」「統制活動」「情報と伝達」「モニタリング」「ITへの対応」という6つの基本的要素から構成される。企業には、こうした要素を実現し、業務プロセスを可視化し、モニタリングし、不正などを未然に発見できるチェックシステムを作り上げていくことが求められている。

　この内部統制を効率的に運営していく上で、ITが果たす役割は大きい。金融庁が11月6日に公表した日本版SOX法の実施基準案でも、ITの利用および統制について言及されている。具体的には「ITには、情報処理の有効性、効率性などを高める効果があり、これを内部統制に利用することにより、より効率的な内部統制の構築を可能にする」という文言がある。必ずしも新しいITシステムの構築を求めるわけではないが、手作業によるミスを防ぎ、内部統制の目的を達成するためにITは不可欠なものと位置付けられている。

　一般にIT統制は、「IT業務処理統制」と「IT全般統制」の2つに分類される。IT業務処理統制とは、個々の業務処理システムにおいて、データの入力や処理、出力が正しく行われていることを保証するための統制だ。ひいては、業務処理システムが出力する財務報告書の内容を担保するための統制であり、具体的なソリューションとしては財務会計システム（ERP）などがそれに当たる。

　このIT業務処理統制が有効に機能することを間接的に保証するのが、IT全般統制である。具体的には、ユーザー認証やログの監視、暗号通信といった要素が含まれ、アプリケーションの企画から開発、運用、管理という一連のフローにまたがる統制を意味する。

　このようにITシステムには、内部統制を効率的、継続的に運営していく体制を確立していく役割が求められる。この目的を達成するために必須の要素が、セキュリティ対策だ。IT統制を実現するモニタリングやアラートといった要素を含んだセキュアなシステムを構築することが、IT統制の実現につながる。また、IT統制の目的やその基本的要素を読み解くと、セキュリティの3要素である「機密性」「可用性」「完全性」に重用することができる。つまり、IT統制はほぼセキュリティ統制に等しいと言っても差し支えないだろう。

　2006年には、WinnyやShareといったファイル交換ソフトやインスタントメッセンジャーなどを経由した個人情報の流出事件がたびたび発生し、さまざまな組織や企業が情報管理体制の甘さを指摘された。企業経営者にとってセキュリティは重要な課題であり、内部統制を確立させていく上で欠かせない要素と言える。

大企業だけの問題ではない内部統制

　ところで、内部統制への対応が求められるのは、何も大企業に限った話ではない。規模を問わず、そうした大手企業との間に取り引きを持っている中小企業などにもその影響は及ぶ。個人情報保護法が全面施行となった折、大手企業だけでなくその取引先、アウトソース先にもプライバシーマークをはじめとするセキュリティ標準への準拠が求められたケースは記憶に新しいが、同じことが今、内部統制に関しても起ころうとしている。

　内部統制で必須の要素となるIT統制を効果的に行うには、まず、社内のクライアントPC台数や各クライアントPCのハードウェアスペック、インストールされているソフトウェアといった構成情報などの現状把握が必須となる。現状を把握しないまま対策を行うことは困難である。

　しかも、これらの構成情報は日々変化していく。セキュリティパッチやウイルス対策ソフトのパターンファイル更新、利用するアプリケーションのバージョンアップもある。こうした環境において、必要なセキュリティパッチがきちんと適用されているか、またライセンスに反することなく適切にソフトウェアが導入されているかといった事柄を、定期的に収集し、監査していくことが必要になる。

　大企業の場合は、専任の管理者があり、ある程度リソースを割くことが可能だ。このため、資産の把握にせよその後の定期的な監査にせよ、比較的対応しやすい。しかしながら中小企業においてはそうもいかない。多くの中小企業では、専任のシステム管理者はいないか、他の業務と兼任している場合が多く、十分な予算や時間がない。そのような環境で、内部統制の最初の一歩に当たるクライアント管理を実現する効率的な手段はこれまで少なかった。

クライアント管理に特化した日本発のASPサービス

　クオリティでは2007年より、十分なコストや人材を用意できない中小企業向けに、そうしたギャップを埋めるソリューション「ISM（IT Security Manager）」を提供していく予定だ。

　同社はこれまで、ハードウェアやソフトウェアのインベントリ（資産）管理を行う「QAW/QND」を中核に、内部統制や情報漏洩対策を支援する製品群を提供してきた。個人情報を含んだファイルを洗い出す「eX PDS」やUSBメモリをはじめとする外部記憶媒体の書き出し制御を行う「eX WP」などのオプション製品や、サードパーティ製のツールを組み合わせることで、脆弱性のチェックやパッチの適用管理、インストールされているアプリケーションの洗い出しを行うソリューションも提供してきた。

　クオリティでは内部統制を実現するセキュリティ統制フローとして、「ルールの確認」「IT資産の現状把握」「対策の実施」「監査レポートの作成」「IT統制を維持する体制の確立と評価」という5つのステップを提唱している。QAW/QNDを中核としたソリューション群は、これらの5つのステップを支え、IT全般統制の実現や情報漏洩対策をはじめとするセキュリティ対策を支援するものだ。

　ISM（IT Security Manager）は、同社のこれまでのノウハウを踏まえ、同様の機能を、パートナー経由のASP型のサービスとして提供していく。クオリティでは同サービスを、内部統制の実現に向けたボトムアップのアプローチを支援するサービスと位置付けている。

ISM（IT Security Manager）サービスの提供イメージ

　ISM（IT Security Manager）では、特にセキュリティに特化したメニューが用意されている。ハードウェア構成やインストールされたソフトウェアの台帳作成にはじまり、Windows OSパッチの適用レポート作成と更新、ウイルス対策ソフトのパターンファイル更新、社内ポリシーで認めていないソフトウェアを検知し、その結果をWebベースのレポートとして表示していく。さらに、一連の検査結果を基に、クライアントPCがどういったリスクにさらされているかを5段階で示すセキュリティ診断も実施する。

QAW/QNDの機能をベースにクライアントPCのソフトウェア、ハードウェア台帳の機能を提供する（クリックすると画像が拡大します）

クライアントPCのセキュリティパッチの適用状況を確認し、未実施の端末を一目で把握できる（クリックすると画像が拡大します）

　最大の特徴は、管理者がさまざまなツールを導入し、自らの手で運用していくという手間を掛けることなく、社内システムのセキュリティ状況を「見える化」できることだ。多くの企業は、リソースなどの問題から、専任の管理者を配置できない状況だ。中小企業はもちろん、多くの拠点を抱えて管理者を十分に配置できない大企業でも、ISM（IT Security Manager）を活用することで、TCOを大きく削減しながら、自社の今の姿を把握できるようになる。

　もう1つの特徴は、一連のセキュリティチェックの結果を基に、企業のセキュリティポリシーと端末の状況を照らし合わせ、5段階でシステムのセキュリティ評価を下すことができる点だ。これは、内部統制上求められるリスクの把握にも役立つ。

　こうしたサービスの登場は、システムインテグレーションやマネージドサービスを提供する側の企業にとっても大きなメリットをもたらすだろう。これまで、サーバを管理するためのツールやサービスは存在していたが、クライアントPCに特化したソリューションはほとんどなかった。内部統制の第一歩となるクライアント管理を自社メニューに追加することで、付加価値サービスにつながり、さらには新しい市場の開拓につながるだろう。

　繰り返しになるが、内部統制にせよ個人情報保護／セキュリティ体制の確立にせよ、それを実現するにはさまざまな角度から、中長期にわたる取り組みが求められる。しかしそれも、まずは足下の「自らの姿」を把握しないことには始まらない。ボトムアップのアプローチの第一歩として、まず社内リソースの現状把握をすることが重要だ。手間いらずのISM（IT Security Manager）はそのために有効なソリューションの1つといえるだろう。