FRONTLINE PARTNERSHIP
中小・中堅企業向け システム提案のための FLP:販売パートナオンライン

ホーム

ニュース

FLP:施策早見表

販促ツール

イベント

トレーニング情報

キャンペーン情報

お問い合わせ

ホーム > FLPパビリオン

FLPパビリオン

様々なニュースを読み解く、セールスパーソンのためのニュース解説。(週1回更新/全12回)
お客様のための有効な情報提供に役立つコンサルタントからのアドバイスをご紹介いたします。


ID管理をスッキリさせるIAMのお役立ち度:アクセス管理とIT内部統制の密接すぎる関係
(ITmediaエンタープライズ)

内部統制テーマでの提案に一押しの機能、ということで、第4号では「統合認証基盤」についてご紹介しました。今号では、これに関連して、ルール決めの考え方について大変わかりやすいニュースを活用します。
メッセージとしては、いくつかあるのですが、セールスパーソンとして拾うとしたら・・・
業務プロセスにITが利用されているかぎり、アプリケーションやデータへの「アクセス管理」は内部統制上必要不可欠であり、アクセス管理がないと監査で不備が指摘されることになる。
内部統制では、社内のシステムとそれを利用する従業員の関係を明確にするというアイデンティティの考え方に基づいたアクセス管理が求められる、という点が一つ。
「OSのアクセス制御機能だけでは、IT内部統制で求められているアクセス管理は不十分だろう」(斉藤氏)
そして、それは、OSだけでは実現できないという2点です。
今回のニュースは3ステップで使います。
▼STEP1
まず以下のニュースを利用して「日本版SOXってITを強制しているわけではない」。
きちんとした経営、財務管理のために、「決めたルール通りに動く、ルールが守られているか監視する」、こういった管理には、ITを利用するのが一番効率的だし、間違いなく強制できるので、ITを利用して、業務の統制や効率化を行うように示されている、という話をします。
日本版SOX自体はITを強制しているわけではなく、ITを利用して効率的に内部統制すべきことが明記されている。ITを使用した場合には、それに対して内部統制、つまりIT化された業務の統制や、ITを利用した統制の強化・効率化を行う旨が示されている。
決まったことを実行するのは、人間よりもコンピュータの方が得意ですから。という話です。
▼STEP2
コンピュータが得意な「決まったことを実行」させるには、まずその「決まったこと=ルール」を決めないといけない。ルール決めが面倒です。例えば財務情報をきちんと管理するためのルールを決める場合、まず考えなければいけない重要なことは何か?ということを以下のニュースを参考に伝えます。
E&Y ISACA(情報システムコントロール協会)が発表した、米国SOX対応におけるIT内部統制全体の評価と、監査上の指摘事項をまとめたトップ10である。

【IT内部統制における監査上の指摘 トップ10】
1. 識別されていない、もしくは解決されない権限分離の問題
2. 財務システムが稼働するOS(UNIXなど)のアクセス制御
3. 財務システムに利用されるデータベースが保護されていない
4. 開発スタッフが本番環境の業務トランザクションを実行可能
5. 多数のユーザーが本番環境の管理者ID(スーパーユーザー)を
  利用できてしまう状態
6. 退職者や過去の外注社員がシステムにアクセス可能
7. 財務アプリケーションにおけるデータ入力期間の制限
8. カスタム開発プログラム、テーブル、インタフェースなどが保護されていない
9. 手作業のプロセスの手続きが定義されていない、もしくは定義に従っていない
10. システム文書が実際のシステムと食い違っている
(出典:E&Y ISACA Sarbanes Conference,4/6/04)
IT内部統制における監査上の指摘トップ10、10項目中、なんと7項目が「OSに関するアクセス管理の指摘」です。「アクセス管理」は重要できちんとしなければいけないことなのに、みんなうまくできていない、OSの機能だけでは完璧な実現は難しいという話ですね。だから、HWにはいろいろな仕組みのある製品があり、いろんなアプリケーションのテクノロジーでカバーする必要があるわけです。よく、「そこまではいらない」「最低限の」というお客様がいらっしゃいます。不要なものはもちろんご紹介しません。ただし、セールスパーソンとしては、世の中から求められるレベルは当然把握しておくべきだし、お客様にもお伝えしたいものです。
▼STEP3
最後に、この指摘に対して本記事では「職務分掌の重要性を訴えている」という話題でしめます。アクセス管理をするためには、ある情報に対して、Aという社員(ユーザー)は何が許可されていて、何が許可されていないのか、という、社員と情報(社内システム)の関係性を決めなければいけません。
それから、そうしたアクセス権限をいつ与えるのか、いつ権限を失効するのか、そのプロセスも明確にしておかないと、ニュースの指摘にあるような、退職者や外注者がいつまでもアクセスできる、などという失敗がおきます。職務分掌は、職務範囲と責任範囲を明確に示したものですから、その関係性を考える時のモノサシといえます。
企業規模に関係なく、情報化の恩恵によって扱う情報の種類・量は過去と比較する事が出来ないくらい増えました。そのため組織が担う業務領域や指揮命令系統は複雑になっているのが現状です。これを回避する仕組みが職務分掌の規程なのです。
社内の情報と従業員との関係性を明確にすることは、内部統制、社内での情報活用を考える場合のルール決めに、最も重要な視点です。
きちんとした経営には、ルールが必要、ルールの徹底にはITの利用が最適。というわけで、サーバーを一台導入する、新しいシステムを利用する、そうして企業がIT化を進めるということは、いろいろな基準を考え、見つめ直していくということだと思います。

IAM
IAMは、Identity Access Managementの略称で「組織の方針に基づいた、システムリソースへのアクセス制御を一元的に管理する活動、及びその技術」を指します。
企業がITを活用する限り、アプリケーションやデータベースへの「アクセス管理」は内部統制上必要不可欠で、今後、ますます重要になります。
日本版SOX法
相次ぐ会計不祥事やコンプライアンスの欠如などを防止するため、米国のサーベンス・オクスリー法(SOX法)に倣(なら)って整備された日本の法制度です。上場企業及びその連結子会社に、会計監査制度の充実と企業の内部統制強化を求めています。「きちんとした経営」という、企業として当然のことを法でより求められるということでしょう。
SoD
SoD(エス・オー・ディー:Segregation of Dutiesの略称)は、日本語の職務分掌です。IT用語で用いる場合は、仕事上の立場を利用した不正や誤りを防止するために、社員一人ひとりの職務範囲(役割)や責任範囲を明確にする事を指します。

内部統制 日本版SOX法 コーポレートガバナンス IAM


森戸 裕一 (もりと・ゆういち)
ナレッジネットワーク株式会社 代表取締役
中小・中堅企業を対象にITを活用した経営手法、企業戦略などを提唱する、コンサルティング事業を展開。マイクロソフト社をはじめとするIT企業、自治体などが主催する中小・中堅企業向けIT化支援セミナーの講師も数多く担当し、“ITで元気になるヒント”の数々を提案し続けている。

【第4回】内部統制に一押しの機能を提案する
【第3回】”社員の思考や行動様式を改善する”という視点でIT活用を提案する
【第2回】自動化のメリットを内部統制の観点から伝える
【第1回】企業と社員のインタラクティブ(双方向)コミュニケーション