IT統制 今後求められる対策とは
企業におけるIT全般統制の整備は、法の要請などの背景もあり重要な取り組みです。しかし効率化されていない統制の仕組みは、ビジネス規模の拡大やリスク管理レベルの高度化に伴い管理工数が増大するため、大きな負担になってしまいます。企業の成長や事業の拡大に伴い、IT統制の効率化が必要です。
エンカレッジ・テクノロジが考える、目指すべきIT統制の取り組み
弊社では、企業が目指すべきIT統制についての取り組みは以下の通りであると考えています。
1.効率化 - リスク管理レベルとかかる統制コストの関係を断ち切る
より多くのコントロールを実施したり、モニタリングのサンプル数を増加させることで、リスクは低減します。その一方で、統制活動を人手によるマニュアル対応で行う場合、かかる統制コストが増大してしまいます。
また、マニュアル対応の場合、同じ統制レベルを維持しようとすると、システムの規模が大きければ大きいほど、かかる統制コストも増大してしまいます。
統制レベルを維持したまま、統制活動の維持コストを下げ効率化するためには、ITによる自動化された統制の仕組みを構築し、人手を介する要素を最小化することが肝心です。
2.高度化 - 内部統制の本来の目的を達成するために
ITによる自動化された統制のメリットは、統制活動の効率化だけではありません。マニュアルでは人手の関係上、JSOX対象のシステムに対してのみ、法的要請の範囲内で対応するのが精一杯だった場合でも、ITによって統制活動を自動化することにより、効率化され余裕が生まれます。そうすることで、企業が本来めざすべきリスク管理態勢へと統制活動を高度化・広範化させることが可能になると考えられます。
IT統制のための弊社ソフトウェア
弊社では、以下のようなソフトウェアの提供を通して、企業のIT全般統制の整備・効率化・高度化のお手伝いをいたします。
※出典:内部脅威対策ソリューション市場の現状と将来展望 2023年度版【サイバーセキュリティソリューション市場19版目】デロイト トーマツ ミック経済研究所株式会社 及び同社における過去の調査結果
IT統制項目と照らし合わせた弊社製品の貢献点
業務 |
リスク |
コントロール例 |
弊社製品の貢献点 |
変更管理 |
プログラムが改ざんされたり、承認なく変更される。 |
システムソフトの変更を含むプログラム変更、システムの変更及び保守管理については、変更管理手続にしたがっている。
(標準化され、記録され、承認され、文書化されている) |
■ESS AdminONEによる承認プロセスの確立
■ESS AutoQualityによる変更・リリース手続きの文書化と標準化および変更作業の自動化と記録の保管 |
本番環境に変更結果を移行する際にプログラムが改ざんされる。 |
変更されたプログラムの本番移行に際して、移行を責任者が承認し、移行作業にあたっては権限の分離が行われていること。 |
テスト |
テスト結果の記録が残されていないと、機能が正しく開発されているかの証拠がない。 |
財務情報に係る情報システムの重要なテスト( 受け入れテスト等)では、テスト項目や結果を記録して、保管する。 |
■ESS AutoQualityによるテスト手順の文書化とテスト結果の記録と保存 |
システムの運用 |
運用時の誤操作によって誤った処理が行われる。 |
本番環境での運用で、財務情報に係るすべての処理が、完全性、正確性、正当性を満足するように、運用について標準的な手続として文書化されており、これにしたがっている。 |
■ESS AutoQualityによるシステム運用手順の標準化、文書化およびコマンド自動投入による作業の自動化 |
運用時の不正な操作等を発見できない。 |
情報システムとデータ処理について、企業にログ採取・分析についての方針があり、それに基づいてログが採取されて、必要な項目がモニタリングされている。 |
■ESS REC/ESS AdminONEによるシステム操作の動画やテキストによる記録とレポートによる定期モニタリングの実施 |
アクセス管理等のセキュリティ対策 |
特権IDは情報システムの変更や担当者の追加・削除等ができるため、統制されないと改ざん等の不正が発生する。 |
特権については、運用基準があり、特権の付与に際して、最小限にとどめていること。利用が終わって、不要になれば、すぐに特権を停止する。 |
■ESS AdminONEによる特権IDの貸出管理の自動化 |
情報セキュリティインシデントの管理 |
情報セキュリティインシデントへの対応が適切に行われないと、被害が拡大する。 |
情報セキュリティインシデントが発生したとき、適時に記録されて、分析され、解決される。 |
■ESS REC/ESS AdminONEの記録の分析によるセキュリティインシデントの原因究明と再発防止策の立案 ⇒検知ルールやレポートの出力や運用などの見直し |
承認されていない行為をモニタできず不正な行為が行われて、インシデントが発生する。 |
適切なログ管理機能によりインシデントの原因を究明する。 |
不正行為等が起きた場合に、適時に管理者に通知し、警告する機能(ユーザアカウントをロックする等) 等、セキュリティインシデント対応の機能が整備されている。 |
■ESS RECの画面ロック機能 |
IT全般統制のモニタリング |
IT 全般統制についてモニタリング機能がないため、不正や誤り等を検出できない。 |
IT の日常的なモニタリングに関するポリシや手続、ルールが定められ、これに基づいてモニタリング活動が実施され、記録が保存されている。 |
■ESS REC/ESS AdminONEによるシステムオペレーションの記録と点検
|
モニタリングの証拠が正しく保全され、保管されていない。 |
ログ等の情報は正しく保全され、保管されている。 |
■ESS RECにおける統制プロセスおよび活動内容の記録と保存 |