連載
» 2009年02月10日 12時00分 公開

内部統制で有用なログの活用術SOX法コンサルタントの憂い(13)(1/3 ページ)

日本版SOX法対応監査が最終段階に迫っているいま、内部統制対応の強化に取り組む企業は多い。その内部統制対策に、従来セキュリティなどで用いられることの多かった“ログ”が非常に有効だ。今回は、内部統制におけるログの活用方法について説明する。

[鈴木 英夫,@IT]

 内部統制は、日本版SOX法によって「財務報告の信頼性を担保するために、その有効性を評価すること」が義務付けられています。また、会社法による規定によって、企業組織のさまざまな部門で内部統制の整備が求められています。

 一方、ITの障害・事故対応時や、監査証跡のために使われる“ログ”は、内部統制の手段としても極めて有用です。今回は「内部統制におけるログの活用」について、まとめてみました。

そもそも、内部統制とは?

 そもそも、内部統制(Internal Control)とは、組織の「業務の適正を確保するための体制(システム)」のことをいいます。

 内部統制はもともと会計上の、あるいは経営上の概念であることから、日本の法律・判例において「内部統制」という言葉が登場したのは、比較的最近のことでした。すなわち、2000年(平成12年)9月20日に大阪地方裁判所が、いわゆる「大和銀行事件」に関して下した判決が初出だといわれています。

 現在使われている法律用語としての内部統制は、大きく分けて、「大和銀行事件の判例」に端を発し、会社法が規定する「業務の適正を確保するための体制」と、金融商品取引法の「財務報告の信頼性を担保するために行われるチェック機能の評価(日本版SOX法)」の2種類があります。

内部統制の具体的な意味

 平たくいえば、内部統制は「組織の業務プロセスに組み込まれたチェック機能」と表すことができます。

 例えば、「入力内容と証憑(しょうひょう)の数字が合っているかを照合する」「伝票は上司が承認する」とか、「経理部門では、毎月の売り上げが統計的な傾向に乖離(かいり)していないかを分析し、役員会で報告する」などの統制活動。また、「社内規則などが整備されている」や「取締役会は定期的に行われている」といった統制環境を含みます。

 内部統制のフレームワークを発表した米COSO(トレッドウェイ委員会組織委員会:the Committee of Sponsoring Organization of the Treadway Commission)は、内部統制の目的に、「業務の有効性と効率性」「法規などへのコンプライアンス」「財務報告の信頼性」の3つを挙げています。

ではログとは何だろうか?

 これに対し、「ログ」とは何でしょうか?

 その語源は「昔、船の速度を測るために、木片(log)を結んで海に投げ、それを測定して記録した」ところからきています。この結び目が「ノット」で、船の速度の指標となり、この記録をログと呼びました。その後、航海日誌がログと呼ばれるようになり、このことから、コンピュータの動作記録を「ログ」と呼ぶようになりました。

 通常「システムログの取得機能」は、ERPなどの統合的システムパッケージには組み込まれていますが、手作りのシステムには自分で組み込む必要があります。

 「ログの機能」としては、「変更などが入力されたよ、という記録」を手掛かりにして、システムトラブルの回復を図ったり、組織的な内部統制に活用したり、広く業務監査に応用したりすることが挙げられます。

 「ログの種類」としては、大別すると「OSに対するもの」と、「アプリケーションに対するもの」があります。また、その取得の目的別では、「主にトラブル時に問題が起こった経緯を追跡するためのもの」と、「セキュリティやデータの完全性を担保するため」に取る、アクセス、データの変換・取り消し、新規データ発生などの記録があります。

 しかし、「やみくもにたくさんのログを取ればよい」というわけではありません。ログをたくさん取るとシステムが重くなってしまうので、バランス感覚が必要です。通常は、上記で挙げた程度のログを取ります。また、ソフトウェア更新のログも取るし、自社で開発したアプリケーションなら、テスト環境から本番環境に移したときにも取ります。

 よくある問題としては、「ログは取ってあるが、内容がよく分からない」という点が挙げられます。

 その場合は、変更個所の内容を見るためのソフトを作らなければなりません。一般的に取っているログは、「日、時間、誰が、どこを変えた」です。内容として、「どう変えた」かは、そのログを精査してみないと分かりませんが、その変更内容まで常時取るかどうかは、コストとベネフィットのバランスの問題でしょう。

 近年セキュリティ管理が厳しく問われている状況から、例えば「不正なアクセスを瞬時に警告する」といった、ログ管理システムも市販されています。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ