トップページ > トピックス > 特集 > 企業リスクとIT統制 <第4回>

特集

2008/09/25企業リスクとIT統制 <第4回>

■第4回 ITリスク対応の実務上の課題とポイント

< ITリスク対応(内部統制の整備・運用)の課題>


ITリスク対応の課題として、悪意のある権限者による不正への対応が挙げられます。
不正には以下のような兆候があります。内部統制により不正を犯す機会をなくすことが重要です。


「倫理観の欠如・不正の正当化」。
・例えば、機会があれば不正を犯す「その気」があること

「不正を犯す動機」
・例えば、多額の借金、遺恨等により不正を働こうとする動機があること

「不正を犯す機会があること」
・例えば、内部統制(コントロール)が十分でないため(脆弱性があるため)

---------------------------------------------------------------------------
(不正が行われるケースの例)

・アプリケーションもしくはデータを開発・変更する者による行為

不正の機会(脆弱性):開発担当者が自由にプログラムやデータの変更が可能

・データメンテナンス作業上の行為

不正の機会(脆弱性):データを直接修正できる環境

・本番環境の保全における問題に乗じて

不正の機会(脆弱性):本番環境のアクセス権限、特権アカウント 多くの要員が本番環境に自由にアクセス可能

・アーキテクチャー上の脆弱性(2層クライアントサーバ、ウェブアプリ、など)

不正の機会(脆弱性):データベースへアクセスするアカウント/パスワードをPC内に保持、1つのアプリケーションアカウントによるデータベースへのアクセス
---------------------------------------------------------------------------


< 監査性(Auditability)を確保するためのポイント>

ここで、システム監査と内部統制評価の違いを比較します。監査は基準と現状とのギャップを評価するものであり、内部統制評価は経営者が整備したコントロールのデザイン、有効性を評価するものであるという本質的な違いがあります。この両者の違いを踏まえることが重要です。


---------------------------------------------------------------------------
(監査と内部統制評価の比較)

監査:

・一般的にシステム監査をはじめとする監査は、監査基準に基づき、基準とのギャップを評価すること
・第三者により基準との整合性を評価され、整合状況が明らかとなるものである
・監査基準への準拠がポイントであり、教本は監査基準

内部統制評価:

・経営者(会社)自らが整備したコントロールのデザインが良いかどうか、また整備したコントロールが有効に機能しているかを評価すること
・内部統制評価は、自らが整備したコントロールがリスクに対して有効であることを自己証明するもの
・リスクの低減度合いがポイントであり、教科書が無い、あくまでもリスクに応じたコントロールにより、リスクを低減していることを証明
---------------------------------------------------------------------------


監査や評価には、
「準拠性」評価(定められた手続き(ルール=内部統制)が、その通り実施されているか?
「実証性」評価(定められた手続きは関係なく、結果(データやシステム)として改ざんされていないか?) が挙げられます。
セキュリティ監査や脆弱性評価においても、「準拠性」評価と「実証性」評価の両方が存在します。これら2つの観点から現状を捉え、改善していくことが重要となります。


■準拠性評価の例
・ポリシーを基準に、ポリシー通りに設計・運用されているかの確認
・コンフィグレーション仕様書を基準に、その通り設定されているかの確認
・セキュリティスタンダードやプロシージャーを基準に、その通り設定・運用されているかの確認


■実証性評価の例
・システムの設定パラメータを確認し、脆弱性が存在するかの評価
・データに改ざんされた形跡が無いかの確認
・アクセスコントロールリストを評価し、異常なアカウント登録が無いかの確認


IT統制は、ITの強度(信頼性)を担保する仕組みです。
例えば、トランザクションのパケットがネットワーク上に流れている際に、ネットワークが断線した場合、端末ではレスポンスのタイムアウトを設定、サーバー側ではキューを設定、仕掛チェックを行うことにより、当該トランザクションをリカバリーします。
また、バッチジョブが流れている途中でプログラムがアベンドした場合、一般的には、チェックポイントを設定し、ロールバック、リスタートを行うことにより、当該ジョブネットをリカバリーします。これらは、まさに内部統制の具体例です。


システムに機能として組み込む内部統制と同様に、ITを管理するプロセスにおいても、そこにリスクがある限り、内部統制を整備することは、当たり前の要件であることをご認識され、対応されることが肝心です。


<< 第3回 企業リスクを考えるベースライン -ITとリスク


[ 特集Top ]


page-top