事故前提社会における　　　　　　　　　　　企業を支えるシステム操作統制とは

Size: px

Start display at page:

Download "事故前提社会における　　　　　　　　　　　企業を支えるシステム操作統制とは"

ともあきしどり
7 years ago
Views:

1 エンカレッジテクノロジ株式会社企業における内部統制確立に向けた取り組みはどのような状況なのか? 企業における IT 全般統制に関する取り組みの変遷企業では 2008 年 4 月より適用となる改正金融商品取引法 ( 日本版 SOX 法 ) 対応に向け内部統制確立に向けた取り組みを実施してきました IT 全般統制についてはどのような取り組みがなされてきたのでしょうか? 社団法人日本情報システムユーザー協会 (JUAS) が毎年実施している企業 IT 動向調査から興味深い結果が示されています下のグラフは 2008 年 2010 年に行われた企業 IT 動向調査の中で IT 全般統制に関わる取り組みについての回答を表しています 100% 90% 80% 70% 60% 50% 40% 30% 20% 実施しない検討中実施済 10% 0% 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年システムの変更管理で必要なドキュメントを作成し承認者及びそのレベルを明確にしている事後的にログ情報などアクセス情報を分析している開発と運用は組織として明確に分離しているシステムの再構築や ERP パッケージを導入するビジネスプロセスを見直している本番データのアクセス状況を管理する専門担当者を置いている長期間の同一業務を避けるため担当者を定期的に入れ替えているその他図 1. 金融商品取引法に対する IT 統制の具体的な対策 (2009 年実施済の割合が多い順 ) ( 出典 : 企業 IT 動向調査 2008 および 2010 社団法人日本情報システムユーザー協会 ) この調査結果から 2007 年 ( 日本版 SOX 法施行前 ) と 2009 年 ( 施行後 ) の取り組みの変化を伺うことができます各項目で実施済の割合が増加しているものの手続きや体制の見直し等で可能な対応 ( グラフ中囲んだ部分 ) にとどまり根本的な対応 ( 人材の育成プロセスの見直しシステムによる対応 ) はリーマンショクの影響もあり取り組んだ企業は少ないことが見て取れますこのことは各企業がリスクを内在したままでありかつ対応にかかる負担がアドオンされている企業が多いことが考えられますこのグラフにはありませんが業種や企業規模による対応の 2 極分化も見られますそこで弊社がお客様との会話を通し内部統制に対する取り組みの典型的なパターンをケーススタディとしてご提示することで現状の課題と課題解決のための提案をお示ししたいと思います

2 ケーススタディ 1 製造業 A 社プロファイル従業員数約 1,000 名の製造業 A 社の情報システムは基幹システムを中心に 10 種類ほどのサブシステムから構成されています UNIX/Windows サーバーなどオープンなアーキテクチャを採用し現在サーバー数は約 200 台に及んでいます情報システム部は社員 30 名で構成されうち 18 名が運用担当者です A 社のシステムは開発時 SIer に委託して開発しましたが細かなプログラムの変更とリリース作業および運用監視業務は自社の社員で行っていますプログラムの変更 OS のパッチ導入などの変更リリース業務は週平均して 20 件ほど発生しており年間 1,000 件ほどに達する業務量になっています内部統制強化への取り組み A 社は日本版 SOX 法施行前開発と運用合わせて 27 名の体制で行っていました内部統制の強化にあたり開発と運用の組織および環境の分離を行うことになり今まで兼務で行っていた業務を完全に分離するためには体制を増強する必要がありましたそこで追加要員を確保し権限の分離を図りましたまた IT 全般統制に関わる取り組みとして以下のようなルールの規定と運用手続きの変更を実施しました 1 確実な承認ベースでの変更作業の実施開発担当者がプログラム変更など本番環境に対してシステム操作を行うには作業申請書に作業目的と内容作業時間等を記述し開発責任者の承認を経て運用チームから最終承認を得るという組織の分離に基づく承認ルールとしました Excel ワークシートで作成された専用の申請用紙に記入紙ベースで回覧し関係部署の承認を得るという形で運用を開始しました 2 厳密なアカウント管理従来個々のシステムのアカウント管理は各システムを担当する運用担当者が管理を行っていましたがこれも権限を分離し専任のアカウント管理者を設けて管理するように変更しましたこれによりシステム担当者が自由にアカウントを作成して操作を行うことで発生する誤操作不正操作などのリスクを排除できたものの開発チームから依頼のある変更作業を行うためにはアカウント管理者より一時的な作業用アカウントを発行してもらう必要が生じました 3 ログの取得とチェック作業の強化作業中に利用するアカウントの権限の濫用によるリスクを低減するためプログラム変更作業などのシステム操作の終了後 OS やデータベースプログラムのシステムログ作業ログを収集し予定されていない作業の有無を運用責任者がチェックするルールを導入し週あたり 20 件ほどの作業の事後点検を行うこととしました A 社の課題 : 圧倒的なリソース不足 A 社ではこれらの取り組みにあたり前述したように数名の増員は行ったもの IT の活用は見合わせましたシステム規模と取り組み内容からして多大な投資は不要と判断したためですところが組織を変更し権限の分離のもとで運用を開始すると人的なリソースが想定以上に不足する事態になりさらに 10 名ほどのリソースを追加する必要性があることが判明しましたリソースの不足をまねいた要因は以下の通りでした 1 プログラム変更リリース業務において当初権限の分離により運用担当者の作業量が増加一方で運用担当者へ引き継ぐ作業手順などのドキュメントの作成工数が開発者の負担となり開発運用担当者を数名増員する必要が発生した 2 毎日発生する変更作業に合わせて一時的なアカウントの管理が煩雑であるためアカウント管理者を 1 名増員する必要が生じた 3 ログのチェック作業が想定以上に工数のかかるものであったため日々 20 件の点検作業を行うため数名の増員を行うことになった現在 A 社ではこれ以上の人員増は大きな企業負担となってしまうため人員を増加させずに必要な手立てが行える方策の検討に入りました Copyright Encourage Technologies Co., Ltd. All Rights Reserved. 2

3 ケーススタディ 2 金融業 B 社プロファイル B 社は従業員 5,000 名を有する金融業界の中堅企業です情報システムは分社化した子会社によって開発運用を行っており子会社全体で 100 名開発運用部門は 80 名体制にて 600 台程度のサーバーで構成される親会社のシステムの開発と維持を任されています法規制新サービスの提供などでシステム変更頻度は高く毎日 20 件年間 4,000 件に及ぶ非定型的なシステム操作を実施しています内部統制強化への取り組み B 社では JSOX 法の施行をきっかけに内部統制強化に向けた取り組みを計画以下のような部分で IT の活用による対応を実施しました 1 変更リリースに関する電子ワークフローシステムの導入従来の紙ベースの作業申請では効率的ではないと判断し運用ルールに沿った承認ルールをデザインできるワークフローツールを導入台のサーバーのアカウント作成や削除を集中管理するための ID 管理製品の導入原則として共有アカウントの利用を廃止作業単位で必要なアカウントの発行を行う運用にしたが手作業では多くの工数がかかるため集中管理できる ID 管理製品を導入 3 操作内容やシステムへのログインログオフを集中管理するための統合ログ管理システムのログを個別に管理していると点検作業が効率的に実施できないと判断統合ログ管理製品を導入上記システムの初期投資費用はソフトウェアハードウェアおよび設計導入費用含め約 1 億円システムの保守運用費用は年間約 2,000 万円となっています B 社の課題 B 社では上記システムの導入を無事に終え JSOX 初年度の監査に臨みました IT 全般統制については周到な準備と上記 IT の活用で万全と思われていましたが実際には以下のような不備を指摘され改善を行う必要があると判断が下されました 1 変更モジュールのリリースに関する承認履歴とアカウント発行履歴の矛盾一部のリリース作業においてワークフローシステムで承認された日時よりも前にアカウントが発行され作業を開始していたものがあり承認に基づく作業の原則という統制が必ずしも有効に機能していないこの原因は緊急でモジュールの修正を行う必要が生じた際承認者が不在の場合に未承認状態ではあったものの事情を説明の上アカウントを発行してもらい作業を実施したケースがいくつかあったがその例外処理の記録や事後承認が行われていない状態であった 2 作業開始時に発行されたアカウントの削除し忘れ作業用に発行されたアカウントの一部に削除し忘れのものがありリスク要因になるため定期的な棚卸作業を行い不要なアカウントの存在の有無を確認することで対処する必要があると指摘された 3 ログチェックによる評価の記録の不備統合ログによって作業内容の妥当性をチェックしていることは説明したがシステム毎に取られるログの内容が異なり作業内容の妥当性の説明に多くの時間を取られることになった加えて誰がいつチェックを行い問題がなかったかどうかといったチェックを行ったことの記録がないという点について指摘がなされた B 社はこれらの不備を修正するために承認を得なければアカウント発行できない仕組みアカウント棚卸の定期的な実施ログのチェックの実施を記録するための新たなデータベースの構築を行う必要が生じましたしかしそれぞれ構成される IT ソリューションの連携インターフェイスが共通化されておらず一部の連携等については人による手作業を行わざるを得ないことが判明し根本的な課題解決に向けたアプローチを検討することになりました Copyright Encourage Technologies Co., Ltd. All Rights Reserved. 3

4 弊社が提案する特権 ID 利用のためのシステム運用のあり方 A 社のケースでは IT の活用を行わず運用ルールの変更を主体に実際の運用はマニュアルで実施しようとしたことによる人的コストの増加 B 社のケースでは IT の活用がポイントソリューションであったため (1) 各ソリューション間のつなぎの部分に人が介在せざるを得ずその人の管理の不備が結果として統制上のリスク要因となってしまった (2) 既存の仕組みを変えることなく対応しようとした結果リスク管理レベルの統一に追加のコストが発生した例として紹介しましたすなわち体制面やシステム面での対応を施したにも関わらず結果として必要なレベルのリスク管理に到達していない状況にとどまっているといえます弊社が様々なお客様との会話を通して学んだことは多くの企業が同様の課題を抱えていることであり弊社ではその根本解決に必要なものとして特権 ID 利用のリスク対処の手続きである変更の申請承認から実施結果の確認レビューまでを統括的にサポートすることのできるソリューションであるという結論に至りましたこのソリューションは以下の要素で構成されている必要があります 1 組織と権限分掌をサポートする承認ワークフロー企業によって異なる組織と権限分掌の仕組みに対応しかつ組織や環境が変化してもその変化に追従可能な柔軟性のある申請承認基盤としてのワークフローシステム 2 アクセス管理の自動化ワークフローと連携し承認済作業に応じて自動的に付与され利用期限経過後に自動的に削除される ID 管理によるアクセスコントロール基盤 3 人による操作の確実な記録システム毎のログ内容のばらつきをなくすための操作記録の共通基盤 4 作業内容のチェックの自動化承認された作業内容と実際に行われた作業の突き合わせ予定外の作業の有無を自動的に発見する自動突合機能 ESS AutoAuditor は特権 ID 利用のリスク対応に必要な上記 4 つの要素を統括しかつそれぞれの要素が有機的に連携することで人的要素の最小化しシステム運用の統制自動化と効率化を実現するソリューションです 2 つのケーススタディでの期待される効果前述したケーススタディで例として示しました製造業 A 社と金融業 B 社のケースで ESS AutoAuditor によってどのような解決策が導き出せるのかをお示しします A 社の場合 : ケース1 製造業 A 社においては 10 名程度の増員 ( 年間約 5,000 万円 ) を行うかわりに ESS AutoAuditor によるシステム運用の統制基盤を採用することにより初年度の初期投資として一時的に 4,000 万円程度の投資が必要ではあるものの人員増を行わずに必要な手だてが可能となることにより結果として 1 年目に投資回収を実現しつつ必要とされる作業内容のチェックを自動化することで人に依存しない均一化された統制レベルを手に入れることができます年間 5,000 万円を想定していた人的コスト増と比較し初期費用 4,000 万円運用費用年間 1,000 万円を計上しても 1 年目で投資回収が見込まれます 300,000 単位 : 千円人員増による対処 250,000 ESS AutoAuditorによる対処 200, , ,000 50, 年目 2 年目 3 年目 4 年目 5 年目図 2. A 社における TCO 比較シミュレーション Copyright Encourage Technologies Co., Ltd. All Rights Reserved. 4

5 B 社の場合 : ケース B 金融業 B 社については今まで別々の IT ソリューションを導入しながらもプロセス間のつなぎで人が介在することによる統制上の課題がありこれを解決するためには個々のシステムのカスタマイズで約 2,000 万円の投資が必要な状況さらにこれら不備の修正に関わる監査対応特にサンプリングによる監査には相当の負荷が生じています現在導入しているワークフローや ID 管理製品など部分的なツールをつなぐために工数をかけるのではなくこれらを置き換え統合的な機能連携が行える ESS AutoAuditor を新たに採用した場合初期投資として約 5,000 万円が必要ではあるものの現状利用している個々のソフトウェアをすべて置きかえることで保守費用を年間 1,000 万円程度に抑えることができるほか 250,000 単位 : 千円 200,000 現行ツールの追加カスタマイズ ESS AutoAuditorによる対処 150, ,000 50, 年目 2 年目 3 年目 4 年目 5 年目図 3. B 社における TCO 比較シミュレーション監査にかかっていた人的費用 ( 年間約 30 人月 ) についても統制の自動化によりサンプリングの手法を行う必要がなくなりトータルとして 40% 程度の TCO が削減できる想定になりましたまた同時に必要とされる統制レベルを獲得しシステム操作に関わる成熟度の高い統制活動を維持さらに向上させることが可能になりますまとめ冒頭でご紹介した社団法人日本情報システムユーザー協会の 2010 年に行われた IT 動向調査では日本版 SOX 法対策に関する自己評価について聞いていますその中で明らかになっているのは今の統制の仕組みの有効性について評価している企業が 22% と低い一方で残課題があり対策を講じる必要があると考えている企業もわずか 5% に過ぎないという結果になっていますこの回答結果は内部統制の確立が企業価値の向上につながるという基本理念が実際にはそれほど浸透しておらず特に IT 部門においては最低限必要な手立ては行ったものの効果を客観的に測定し最終目標とのギャップを明確にしたうえでこれからの改善に向けた計画がなされていない傾向であることを示唆させるものと言えます弊社ではシステム運用における現状の課題についての具体的な声をもとに改善のためのソリューションを提供する形でご支援を行っております是非貴社におかれましてもシステム運用の現状をお聞かせいただきコスト削減と効率化のお手伝いができればと考えています 2010 年 12 月 1 日発行エンカレッジテクノロジ株式会社東京都中央区日本橋浜町トルナーレ日本橋浜町 7F URL : Phone : Fax : * 文中に記載されている会社名商品サービス名はそれぞれ各社の商標または登録商標です Copyright Encourage Technologies Co., Ltd. All Rights Reserved. 5

事故前提社会における　　　　　　　　　　　企業を支えるシステム操作統制とは

事故前提社会における　　　　　　　　　　　企業を支えるシステム操作統制とは調査結果から見えた優先すべき内部不正対策 2016 年 6 月エンカレッジテクノロジ株式会社近年内部不正を原因とする情報漏えい事件の報道が相次いでおり被害も深刻化していますそのため企業にとって情報漏えい等を防止するための内部不正対策は対応すべき重要課題の一つですしかしながら講じるべき対策とその範囲はあまりに広く優先して取り組むべきポイントを考慮する必要があります内部不正経験者の半数以上はシステム管理者

事故前提社会における 企業を支えるシステム操作統制とは

事故前提社会における　　　　　　　　　　　企業を支えるシステム操作統制とは