課題
個人情報保護法に向けた検討
管理・保守業務端末にはOA端末とは異なるリスクが存在
操作制限と操作記録の両面での対策が重要
従来の業務プロセスを考慮した検討が重要
■要件の分析
2004年から個人情報保護法対策として、全社に共通の対策を実施する方向で検討を開始し、独自のリスク分析と外部アセスメントサービスの結果、各々の部門や業務の内容に応じて適用すべき対策が大きく異なるという結論に達しました。
「特に、システム管理・保守を行う業務エリアにおいては、システムに対して管理権限を持つアカウントで直接管理作業を行う必要があるため、アクセス制限や操作制限だけに頼った対策を施すことは結果的に難しいと判断しました。」 (北川氏)
システムに対するアクセス制限や操作制限も含めてコントロールする立場にある情報システム部門では、組織としての透明性を確保する必要があるとともに、いつでも遡って操作内容を監査することができる体制を構築することによって相互牽制作用と内部統制効果を生み出すことが重要であると結論付けました。
■OA端末とは異なるリスク
システム管理・保守業務端末においては、一般のOA端末とは全く異なるリスクが存在します。コンピュータシステムの利用者が使用するOA端末では、必要なアクセスや操作以外はすべて禁止することによってセキュリティレベルを向上させることができます。
これに対してコンピュータシステムの管理端末では、状況に応じてコンピュータシステムに対して最高レベルの管理権限で操作を行う必要があります。したがって、システム管理・保守業務に対する不正操作や誤操作などのリスクが非常に高いと言えます。
選択
業務プロセスとの統合
システム管理・保守業務の一部始終を記録
申請内容に含まれない外部媒体の操作を遮断
操作内容を第三者によって監査する手順を確立
■製品選定の基準
ニッセイ情報テクノロジーでは、システム管理・保守業務のリスク低減を目的に、システム管理・保守業務における『システム作業申請書』による承認に基づき、業務が行われてきました。
この業務プロセスを踏襲しつつ拡張・強化するための機能も併せて製品選定の基準としました。 システム管理・保守業務プロセスに沿って、操作端末へのログオンが許可され、作業時には操作内容が長期保存に耐え得る記録として保存し、作業申請書に記載された作業項目と、操作記録の内容が一致していることを確認できる機能の必要性を認識していました。
①システム管理・保守業務の操作内容の一部始終を記録し長期保存できること。
②申請内容に含まれない外部媒体の操作等に対して遮断・通知機能を有すること。さらに
③操作内容を第三者が容易に監査できる記録であることが選定の基準となりました。
「ESS RECによる記録は操作した内容をそのまま再現できるため、作業内容を点検・監査しやすい点が特徴として挙げられます。また、記録機能と制限機能のバランスが取れていることが選定の一番の理由です。」(北川氏)
「また、ESS RECの導入により、作業内容を遡って追跡(追跡可能性=トレーサビリティ)できるようになった結果、作業申請書の内容と作業内容を正確に照らし合わせ、監査することができるようになりました。」(重延氏)
効果
ESS RECの導入効果
構築に要した期間は2ヶ月
システム管理・保守業務プロセスの内部統制環境を構築
業務プロセスの遵守とセキュリティに対する意識の向上
■内部統制環境
ニッセイ情報テクノロジーでは、およそ2ヶ月間の構築期間で、保険システムのASP基盤のシステム管理・保守業務へのESS REC導入を実現しました。
システム管理・保守業務におけるすべての操作を記録・蓄積し、システムの操作内容が申請書に記載した内容と一致していることを確認する監査プロセスを運用しています。
この結果、①作業申請書から逸脱した行為が行われていないことを保証。②誤操作等に対する確認体制の強化。さらに③システム管理・保守業務の統制力が強化されました。
「不測の事態に対する備え以外にも、日常の業務に対するセキュリティの意識が高まりました。」(重延氏)
■人と組織による統制がゴール
ニッセイ情報テクノロジーでは、セキュリティの強化や内部統制の実現には、個人レベルでの意識と統制された組織が不可欠だと考えています。
「ESS RECは人と組織による統制を実現するための補完機能を提供するものであり、業務プロセスが正しく実施されていることを検証するためのツールという認識を持っています。」(北川氏)
※本内容は、2007年7月時点のものです。