アジェンダ企業を取り巻く環境の変化日本版 SOX 法企業システムにおける電子メール電子メールのリスク及び対策電子メール監査の実施例まとめ

Size: px

Start display at page:

Download "アジェンダ企業を取り巻く環境の変化日本版 SOX 法企業システムにおける電子メール電子メールのリスク及び対策電子メール監査の実施例まとめ"

うたろういせき
5 years ago
Views:

1 今こそ再点検! これからの電子メールセキュリティの在るべき姿企業における電子メールのリスクマネジメント内部統制 IT 統制におけるメール監査システムとは 2007 年 3 月 8 日キヤノンシステムソリューションズ株式会社

2 アジェンダ企業を取り巻く環境の変化日本版 SOX 法企業システムにおける電子メール電子メールのリスク及び対策電子メール監査の実施例まとめ

3 企業を取り巻く環境の変化コンプライアンス ( 法令遵守企業倫理 ) 意識の高まり個人情報保護法施行日本版 SOX 法内部統制の重要性の高まり

5 企業はリスクマネジメント法令社会通念業務規定などの多岐にわたる規則規範を全役員全従業員が遵守する必要がある違反行為があった場合早期に発見して是正できるマネジメント体制を作ることが求められる

6 内部統制に関する統合的枠組み COSO により公表 SOX 法の基本的な考え内部統制の 3 つの目的業務の有効性および効率性財務報告の信頼性法令の遵守 5 つの基本的構成要素統制環境リスク評価統制活動情報および伝達モニタリング日本版 SOX 法

7 日本版 SOX 法日本版内部統制に関する統合的枠組み COSO モデルからの拡張内部統制の 4 つの目的 (SOX 法 +1) 業務の有効性および効率性財務報告の信頼性法令の遵守資産の保全 ( 経営者担当者による独断行動の抑止 ) 6 つの基本的構成要素 (SOX 法 +1) 統制環境リスク評価統制活動情報および伝達モニタリング IT( 情報技術 ) への対応

8 日本版内部統制に関する統合的枠組み財務情報の正確性業務処理の透明性の確保日本版 SOX 法 IT システムによる処理の適正性も確保が必要 > 電子文書格納保存の方針情報へのアクセス管理明確に文書化 > 規定どおり実施されていることを監査によって証明エビデンス ( ログデータ ) の保存財務報告に係る内部統制の評価および報告内部統制の有効性を経営者が自己評価し報告書を作成財務報告に係る内部統制の監査上記評価を第三者の監査人 ( 公認会計士など ) が評価監査することでその正当性を評価する

9 日本版 SOX 法日本版 SOX 法 ( 通称 ) の特徴資産の保全 IT への対応の独立化トップダウン型のリスクアプローチ内部統制の不備の区分 ( 米 :3 段階日 :2 段階 ) 二重評価の回避内部統制監査と財務諸表監査の一体的実施など ( 補足 ) 電子メールの保存について法務省が中心となって法制化作業進行中 IT 関連分野の法規制強化

10 企業システムにおける電子メール特徴自由な情報交換システム社内にとどまらず世界中と情報の送受信が可能プロトコルとしては中途検閲する仕組みを持たないため自由な情報をやりとりする仮想回線が利用者単位に世界中につながっているとみなせるシステムとしては統制 ( コントロール ) の仕組みがないどんな情報を誰とやり取りするか完全に利用者個人の裁量次第

11 電子メールの危険性顧客名簿社員住所録などの誤送信機密情報の漏えい財務人事研究開発データなど公序良俗に反するメール会社ドメインのメールアドレスの私的利用社内規定の無視添付ファイル指定間違い宛先指定間違い

12 リスク顕在化による想定される被害誤送信例

13 リスク顕在化による想定される被害誤送信例

14 リスク顕在化による想定される被害利益損失賠償責任負担社会的信用低下法的リスク

15 電子メールのリスクマネジメント社内規定などによるルール化業務上の観点効率性の観点システムによるリスクコントロール手段効率と管理のトレードオフ社内規定への適合性

16 電子メールリスクへの対策リスク予防リスク顕在を事前に食い止める仕組み実行時管理監査リスク軽減事後追跡能力正しく利用されているかどうか評価するまたは証明するための仕組み問題が発生した時に被害を最小限にとどめる仕組みまた原因究明の仕組み

17 1 リスク予防実行時監査誰から誰へ特に宛先が社外のケース担当業務役職業務規定に対する妥当性中身 ( コンテンツ ) の妥当性担当業務業務規定に対する妥当性法規制への適合性個人情報保護法一般社会的通念公序良俗

18 1 リスク予防実行時監査送信制御メッセージの削除保留転送保留メールの許認可を実行する仕組みイベント通知記録ログ本体

19 2 リスク軽減事後監査証拠能力通信記録存在 ( 発生 ) 証明原本性保証発生追跡検索機能原本復元長期保管保管期間保管形式運用サポート

20 メール監査フローメール監査システム受信者送信者アーカイブメール監査 ( 実行時 ) メール監査 ( 事後 ) 管理者

21 実行時監査ルールの例外部へ送信するメールは上司に CC する条件を満たさないメールは保留する保留されたメールは上司が内容監査の上送出削除などの操作を実行する個人情報を含むと判定されるメールは保留し上位と情報システム部門担当者へ通知する

22 事後監査ルールの例部門 A のスタッフが外部へ送信したメールは部門 A 管理者 X が毎週以下の事項について監査する発信者送信先標題添付ファイル有無実行時監査結果 ( 送出 OK NG) 実行時監査 NG の場合は本文添付ファイルまで確認し情報セキュリティ管理部門へ監査実施報告を行う

23 導入までのフロー 1. リスク分析リスクの洗い出し 2. 各リスクに対する管理方法の決定 3. 監査ツール要件設計 4. ツール選定 5. 導入設計ツール評価 6. ツール導入テスト運用 7. 本番適用

24 導入後のフロー 1. 監査業務評価メール分析統計分析監査業務評価セキュリティ評価効率性 ( コスト ) 評価 2. 改善業務フロー見直しシステム改善観点 ( 効率性セキュリティ )

25 改善最適化フェーズセキュリティ管理強化グループ企業間メールの暗号化業務効率化人事情報連携人事異動に伴う各種設定の自動反映監査操作 ( 保留メール操作 ) の簡易化カスタマイズ

26 メール監査ツールの要件リスク予防メッセージ識別機能配送制御機能実行時監査機能 ( 保留メール管理 ) リスク軽減ロギング原本保存非改ざん証明機能検索機能データ保管管理リスク評価統計分析運用監査機能セキュリティアクセス管理管理操作記録運用サポート機能

27 電子メール監査の実施例

28 実施例 1

29 金融業某社の事例背景複数の他企業との業務提携や M&A を検討中社内でも特定のメンバ間でのみ機密情報の共有が必要取り組み事例社外とやりとりする情報は全て暗号化する ( メール暗号化添付ファイル含むプロダクトとの連携 ) 条件を満たさないメール ( 送信不可キーワードを含むメールなど ) は一旦保留され必ず上司判断を行う社内 - 社外間の送受信メールは全て保存し過去 5 年間分は即時閲覧検索ができる

30 監査レベル ( 実施例 1) レベル対象メール送信時監査保存 High 全て ( 社内社内含む ) 全て ( 社内社内含む ) 全て ( 社内社内含む ) Middle 社内社外特定条件メール社内社外 Low 社内社外保留なし特定条件メール

31 実施例 2

32 背景製造業某社の事例電子メールによる情報漏えい対策の形骸化を防ぎたい取り組み事例条件を満たさないメール ( 送信不可キーワードを含むメールなど ) でも CC に上司が入っていれば外部送信は OK 各部長は自部門のメンバが送信した機密情報の入ったメールを 1 回 / 週は必ず確認し自部門への指導 / フォローを行う上記運用を徹底するために管理部門は各部長がメール監査を行っているかを定期的にチェックしメール運用監査の形骸化を防ぐ社外への送信メールのみ保存し過去 3 年間分はバックアップデータから閲覧検索ができる

33 監査レベル ( 実施例 2) レベル対象メール送信時監査保存 High 全て ( 社内社内含む ) 全て ( 社内社内含む ) 全て ( 社内社内含む ) Middle 社内社外特定条件メール社内社外 Low 社内社外保留なし特定条件メール

34 メール監査業務の評価メール監査システム受信者送信者アーカイブメール監査部門 A 管理者部門 B 管理者管理者監査業務の評価部門 C 管理者

35 まとめ電子メールのリスクと内部統制との関係電子メールのリスクマネジメント手段電子メール監査のポイント実現可能なツールは GUARDIANWALL

36 さらに GUARDIANWALL をすでにご利用いただいているお客様でこんなことがしたいこんな機能があったらということはございませんか?! 組織変更異動が頻繁で異動者の数も多い全社 ID データと GUARDIANWALL と連携したい監督官庁から新しくルールの通知が! 新しいレポートを作成したりルール変更の自動化をしたいメールを保留したいけど管理者が大変だ! 月々レポートがあればいい一括処理をしたい決められた年限メールを保存しなければ間違ったデータ消去や改ざんされないようにしたい! GUARDIANWALL 運用支援ソリューションが解決します

37 GUARDIANWALL 運用支援ソリューションとは?! GUARDIANWALL の開発販売元であるキヤノンシステムソリューションズ株式会社だからできるサービスですお客様が GUARDIANWALL をお使いになる際あったらいいなのニーズにお応えできます製品開発で培ってきたノウハウをお客様のために提供できる唯一のインテグレーターです例えば!

38 運用の効率化 GUARDIANWALL 運用支援ソリューションとは?! 運用に関する問題点やご要望解決するソリューション人事異動が頻繁にありその度に GUARDIANWALL の設定変更を行うのは大変できれば設定変更を自動化し運用負荷を軽減したい検査配送ルール / 検査キーワードを定期的にブラッシュアップしたいそもそもどういうルール設定をしたら効果的なのかよくわからない人事異動に伴うグループ情報変更や部門管理者情報変更ルールの再設定を自動変更できる仕組みをご提案いたします各種ログを基にメール検査結果を評価できルールやキーワード設計にフィードバックできる仕組みをご提案いたします PDCA サイクルで実施する GUARDIANWALL 運用コンサルティングサービスをご提案いたします資産の有効活用機能強化各種 GUARDIANWALL ログ情報を有効に活用したい関係者へのレポート提出を自動化したい社内社外のメールだけでなく社内社内のメールも保存したい必定時に条件で絞ったメールを一括ダウンロードしたいメールデータの長期保存が必要になったが対応できるのか? ルール別のヒットランキングの表示集計結果のダウンロードを行いたいメールの誤送信を防止することはできないか? GUARDIANWALL が出力する各種ログをお客様のご希望される形式で出力するまたは閲覧できる仕組みをご提案いたします例 ) グループ ( 組織 ) 別にキーワードで引っかかったメール数を集計部門情報管理者のメール確認状況を集計等お客様のご希望される形式で各種ログの集計やレポート化を自動化する仕組みをご提案いたします MS-Exchange Notes をお使いのお客様へ GUARDIANWALL でメールを一元管理 ( 一括保存 ) できる仕組みをご提案いたしますメールダウンロード機能をカスタマイズし複数のメールを一括ダウンロードできる仕組みをご提案いたしますお客様がご希望される保存期間を前提に大量メールを保存し必要時に対象を絞り取り出すことのできる仕組みをご提案いたします GUARDIANWALL 側ログを独自に集計し管理画面での表示ダウンロードができる仕組みをご提案いたします GUARDIANWALL 側で一定時間メールを保留し送信キャンセルを実現できる仕組みをご提案いたします

39 全社 ID システム全社セキュリティポリシー法制コンプライアンス内部統制グループテーブルポリシールールキーワードテーブルメールアーカイブ統計ログ監査ログ長期保存リライト禁止ディスクメール本文プリンタ出力加工検索集計解析帳票集計解析帳票保留通知保留メールの一括通知

40 ご清聴ありがとうございました

内部統制ガイドラインについて資料

内部統制ガイドラインについて資料内部統制ガイドラインについて資料内部統制ガイドライン ( 案 ) のフレーム (Ⅲ)( 再掲 ) Ⅲ 内部統制体制の整備 1 全庁的な体制の整備 2 内部統制の PDCA サイクル内部統制推進部局各部局方針の策定公表主要リスクを基に団体における取組の方針を設定全庁的な体制や作業のよりどころとなる決まりを決定し文書化議会や住民等に対する説明責任として公表統制環境全庁的な体制の整備

アジェンダ 企業を取り巻く環境の変化 日本版 SOX 法 企業システムにおける電子メール 電子メールのリスク及び対策 電子メール監査の実施例 まとめ

アジェンダ企業を取り巻く環境の変化日本版 SOX 法企業システムにおける電子メール電子メールのリスク及び対策電子メール監査の実施例まとめ