日本版SOX法対応のためのIT内部統制とは?:セキュリティツールで作る内部統制(3)(2/2 ページ)
「業務処理に係る内部統制」におけるIT〜アプリケーション統制とIT全般統制
「業務処理に係る内部統制」におけるITの統制活動として定義されているのが、「General Controls:全般統制」と「Application Controls:アプリケーション統制」の2つになります。
「アプリケーション統制」は、財務諸表の作成に深くかかわりのあるプロセスで使われているアプリケーションにおける統制活動となります。具体的には、該当するシステム/アプリケーションで入力・処理・出力の不正やミスを防止するための、「完全性」「正確性」「承認」「正当性」を確認するアプリケーション機能が、これに当たります。例としては、
- 入力バリデーション、入力データチェック
- 処理やシステム間インターフェイスの自動化
- システム機能としての承認機能
- システムの実行結果のチェック
などがあります。これらは、アプリケーション自体に実装されていくものとなります。従って、財務アプリケーションなどにこういった機能が備わっているかどうかをチェックしていくわけですが、このような機能がない場合にはそれを作り込むか、ほかの手段で代替し、不正やミスの発生するリスクを抑止する必要があります。
また、システム上での不正を防ぐという意味では、これだけでは不十分な場合があります。例えば、
- アプリケーションの業務仕様が間違っていた
- アプリケーションにバグがあった
- 設定が間違っていた
- 最新でないバージョンのアプリケーションだった
- 誰かがほかの人になりすまして使っていた
といったことです。このようなリスクはアプリケーションが置かれている環境によって発生するものですが、アプリケーション統制では防ぐことができないため、これらのリスクに対応するのが「IT全般統制」となります。
「IT全般統制」では以下の4つの種類を定義しています。
- Program Development:プログラム開発
アプリケーションがどのように開発されたか? 設計ドキュメントや仕様のレビュー、テストなどの品質管理はどのようにされているのか? など - Program Change:プログラム変更
アプリケーションを最新の状態に保つように、変更管理がきちんとされているか? - Computer Operations:コンピュータ運用
アプリケーションのハード、ソフト、データの運用。アプリケーションの設定の管理 - Access to Programs and Data:プログラムとデータへのアクセス
アプリケーションと使用するデータに対してのアクセス管理。ID管理、パスワード管理、アクセス制御などがきちんとされているか?
このIT全般統制に含まれるCOBITの活動は以下の表のとおりであり、これらの活動がきちんと実施されているかチェックしていく必要があります。
| ドメイン | COBIT領域(COBIT 3rd Ed.) | ||
|---|---|---|---|
| AI | 調達と導入 | AI2 | アプリケーションソフトウェアの調達と開発 |
| AI3 | 技術インフラの調達と保守 | ||
| AI4 | 操作、運用手続きの作成と維持 | ||
| AI5 | アプリケーションソフトウェアと技術インフラの導入とテスト | ||
| AI6 | 変更管理 | ||
| DS | サービス提供とサポート | DS1 | サービスレベルの定義と管理 |
| DS2 | サードパーティのサービスの管理 | ||
| DS5 | システムセキュリティの保証 | ||
| DS9 | 構成管理 | ||
| DS10 | 問題と事故の管理 | ||
| DS11 | データ管理 | ||
| DS13 | オペレーション管理 | ||
IT全般統制は、財務諸表の作成に深くかかわりのあるプロセスで使用されるシステムにおいて、「該当する統制活動がどのようになっているか?」を検討していくことになりますが、これらの活動についてはそのほかの全システム共通の管理や方法論であったりする場合、例えば、品質管理のISO 9000、開発方法論、ISMS、ITILといったものが導入されている場合、全社的な内部統制としてとらえることも可能です。
米国SOX法対応としてのIT内部統制はこういった形で行われていきますが、今後対応が進むであろう日本版SOX法の対応についても、それほど変わらないと想定されます。
◇
次回からは、これらのIT統制活動の中でも重要とされているセキュリティに関して解説していきます。
Profile
中島 浩光(なかじま ひろみつ)
日本CA株式会社 カスタマーソリューションアーキテクト
1993年、アンダーセン・コンサルティング(現アクセンチュア)入社。同社の技術グループにおいて、幅広い業種のITプランニング、SI全般、運用、情報セキュリティ、プロジェクト管理などを経験。2000年ころから情報セキュリティを中心に活動。
2005年1月にCAに入社、2006年6月より現職。現在、セキュリティ製品を中心に顧客へのソリューション提案、アセスメントの実施、セミナーでの講演などを行う。
東京工業大学理工学研究科経営工学修士課程修了
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- セキュリティ担当者に求められる役割と責任に変化 その背景には何がある?
ITmediaはアイティメディア株式会社の登録商標です。