本文へジャンプ

ミドルウェア

uVALUE 実業×IT

Hitachi

内部統制を実現する日立のITソリューション「ITの統制」編

特集記事:キーマンズネット掲載

第3章 内部統制を実現する日立のITソリューション「ITの統制」編
第1章 日立が考える「内部統制とITシステム」 第2章 課題とソリューション 「ITによる統制」編

課題その1:クライアントの統制による全社的セキュリティの確保
クライアントPCのセキュリティでこんな問題がありませんか?

『ITの統制でまず注意を向けるべきなのは、クライアントのセキュリティが確保されているかということです。脆弱性のあるPCや、ポリシーに違反する不正なソフトウェアを格納したPCからネットワークは守られていますか?』
内部統制で求められるのは・・・

  • 使用を認められていないPCをネットワークに接続させないよう徹底されていること。
  • ポリシーに違反する不正なソフトウェアを使用しないよう徹底されていること。
  • 社内情報を自宅に持ち帰らないように徹底されていること。
対処:クライアントPCの統制、媒体統制の適用

『ユーザーの意識を変えることも大事ですが、その前にITの仕組みでガードすることが必要です』

認証されていないPCはつながせない、安全な状態にしてから接続を許可する、不正なソフトウェアは起動させないといった仕組みが求められます。
また、情報漏洩を防ぐために、許可なくUSBメモリなどの外部媒体は使わせない、外部媒体にデータを格納する際には暗号化するといった仕組みも重要です。
日立のITソリューションで解決!
JP1(検疫システム、ITコンプライアンス)の適用により

  • ポリシーに違反したクライアントPCをネットワークから自動的に切り離します。
  • 不正PCの排除と自動治療を可能にする検疫システムを構築できます。
  • ポリシーに違反する不正なソフトウェアを事前に登録すれば、クライアントPCでの起動を抑止できます。
  • メディアへの無断コピーを禁止し、データ持ち出しを抑止できます。
  • データを持ち出す場合は暗号化し、万一の場合も第三者の閲覧を防ぎます。
  • クライアントPCのアクセス履歴、操作履歴を収集し、不正な操作がされていないか監視できます。

このページの先頭へ


課題その2:システムの障害発生時における迅速適切な対処
システムの運用管理上、こんな問題はありませんか?

『大規模システムでは、いくら予防措置を講じても、必ず問題は起きるものと考えるべきでしょう。肝心なのは、そのときに適切に迅速な対策がとられ、事故に至ることのないようにすることです』

上記の問題例では、放置したために重大な障害に発展する、システム変更後誤った帳票が出力される、ダブルチェックがないためデータが改ざんされる、といったことになる危険があります。
内部統制で求められるのは・・・

  • 問題の対策状況が把握でき、システムが正常に稼働するように管理されていること。
  • システムの変更が正当な手続き・承認の下で行われ、管理されていること。
  • 業務を分担し、互いにチェックしあうなど、権限の分離がされていること。
対処:総合システム運用管理の適用

『インシデントの発生がリアルタイムに見える、解決までのすべてを管理できる、そうした仕組みを取り入れるといいでしょう。
システム変更も、ワークフローにより正しい承認なしには進行できない、といった統制を施す必要があります。誰が、何をして、どうなったかを、後から検証できることが重要です』

CMDB(Configuration Management Data Base:構成管理データベース)
日立のITソリューションで解決!
総合システム運用管理JP1のITIL(R)関連機能を適用することで

  • 障害発生を検知し、迅速に対処することでシステムの安定稼働を実現します。
  • システムで発生した障害(インシデント)を管理し、解決までの作業内容を追跡・分析します。
  • 対策内容を保存するので、過去に行った作業の妥当性の検証や、新規問題発生時の対策を検討するときに利用できます。
  • システム変更などの作業プロセスを規定し、審査・承認が漏れなく適正に行われるようにできます。

このページの先頭へ


課題その3:証跡・証憑文書の適切な長期保管
業務処理の記録、管理でこんな問題はありませんか?

『内部統制では、膨大な業務処理の記録を適切に保管して、すぐに検索、閲覧できることが必要です』

文書には法令で5年・10年と保存しなくてはいけないものもあります。厳正なアクセス管理などにより、不正な改ざんや破棄が起きない保管が必要です。
また、業務文書は更新履歴管理により、重複を防ぎ、常に最新の内容が利用できるようにするとともに、誰が、いつ、何をしたかを記録することが求められます。
内部統制で求められるのは・・・

  • 取引履歴や決裁済み文書が、改ざん、または削除されない環境で保管されること。
  • 監査の際に、業務の正当性を証明できる証跡・証憑をすみやかに提示できること。
  • 法令で定められた文書を法定期間中、適切に保管できること。
対処:セキュアな文書管理環境での長期保管

『文書の登録、保管、アクセスを明確なルールに基づいて管理でき、長期保存にも対応可能な、全社的文書管理基盤の構築が望まれます』
日立のITソリューションで解決!
電子フォームワークフローセット、HiRDB、Document Brokerを導入することで

  • 業務の履歴文書、決裁文書を保管し、業務の正当性を証明する証跡・証憑を残します。
  • 大量の文書を効率的に管理し、多様な検索機能により監査に必要な情報を迅速に取り出せます。
  • データへのあらゆる操作を記録し、データの正当性を証明する監査証跡を残します。
  • 強固な改ざん防止機能(WORM*機能)により、1度記録したデータの変更・削除をすべて禁止します。 *Write Once Read Many

このページの先頭へ


「攻めと守りのIT」実現を支援する日立オープンミドルウェア

日立のオープンミドルウェアは、内部統制のITフレームワークで「ITによる統制」と「ITの統制」の両方を網羅して内部統制を支援します。
更に、 ITコンサルティングと業務の文書化の支援においては、株式会社日立コンサルティングと連携してご提供します。
第1章 日立が考える「内部統制とITシステム」
第2章 課題とソリューション 「ITによる統制」編
 
 
※ この記事は、「キーマンズネット」に掲載(2007.1.22)のコンテンツを一部再編集したものです。