プログラム変更はIT全般統制のもう1つの鍵：セキュリティツールで作る内部統制（9）（3/3 ページ）

[中島 浩光，＠IT]

ITILは非常に参考になるが十分ではない

　ここまでお読みになってお気付きの方もいらっしゃると思いますが、プログラム変更で求められることはITIL（IT Infrastructure Library）の変更管理・リリース管理と大きく重なります。

　そもそもITILが「IT運用のベストプラクティス」であると位置付けられているため、その変更管理・リリース管理のプロセスは非常によくできており、前述したポイントの中でも変更管理手続きの明確化や承認プロセスなどについては、そのまま適用することにより重要なポイントを押さえることができます。

変更管理プロセス（例）

リリース管理プロセス（例）

　しかしながら、「財務報告の正確性・信頼性の保証」という観点から考えると、権限分離の考え方や、作業者の不正やミスへの対策において、弱い部分があります。

　従って、ITILの変更管理・リリース管理のプロセスをベースに、前述した必要な統制活動を追加するといったアプローチが有効であると考えられます。そういった追加のポイントとしては、変更（リリース）作業時におけるアクセス管理・監査証跡取得や、プログラムファイルに対する変更履歴の取得といったものがあります。

　さて、次回最終回は「コンピュータ運用」について説明するとともに、これまでのまとめとして、IT全般統制に対しての全体アプローチを考察していきたいと思います。

Profile

中島 浩光（なかじま ひろみつ）

日本CA株式会社　カスタマーソリューションアーキテクト

1993年、アンダーセン・コンサルティング（現アクセンチュア）入社。同社の技術グループにおいて、幅広い業種のITプランニング、SI全般、運用、情報セキュリティ、プロジェクト管理などを経験。2000年ころから情報セキュリティを中心に活動。

2005年1月にCAに入社、2006年6月より現職。現在、セキュリティ製品を中心に顧客へのソリューション提案、アセスメントの実施、セミナーでの講演などを行う。

東京工業大学理工学研究科経営工学修士課程修了

「セキュリティツールで作る内部統制」バックナンバー

• 内部統制におけるコンピュータの運用とEUC
• プログラム変更はIT全般統制のもう1つの鍵
• 日本版SOX法でプログラム開発に求められるもの
• 日本版SOX法に必要なセキュリティポリシーとは？
• “正しいログ”と日本版SOX法の関係は？
• IT統制のキモとなる認証とアクセス制御とは
• 統制の鍵となるシステムセキュリティ保証とは
• 日本版SOX法対応のためのIT内部統制とは？
• 内部統制におけるITとCOBITの関係は？
• 日米SOX法や内部統制とITの関係を理解しよう！