本文へジャンプ

ミドルウェア

uVALUE 実業×IT

Hitachi

監査に必要なログを簡単に収集・管理・保管ができる!

特集記事:キーマンズネット掲載

※「株式会社リクルート キーマンズネット2007/04/12より転載」

日立製作所 監査に必要なログを簡単に収集・管理・保管ができる!

内部統制における監査では、業務が決められた手順に従って適正に行われたことを証明するために、業務システムの運用にかかわる証跡記録が求められます。


重要な監査ポイントは、

     
  • システムが不当に変更されていないこと
    •  
  • システムの変更を実施した際の過程が適切に記録、保存されていること

です。

このような場合に備えて、運用実績の監査ログの収集・管理が必要になります。

監査では、「本当に正規の手続きを踏んでいるか」という証拠を提示する必要があります。そのためには、「いつ、だれが、どの権限で、どこから、何をした」という記録を集め、保管し、いざという時に見やすい形で証跡記録を参照できる仕組みづくりが重要です。

「でも、その仕組みどうしたらいいの?」という方にオススメなのが、JP1 V8.1の「JP1/NETM/AD(JP1/NETM/Audit)」です。“必要なところから”、“簡単にできる”、監査証跡の管理をお手伝いします。
内部統制の監査に備えたい! JP1/NETM/AD登場! 運用に関する膨大なログをこんなに簡単に管理できる 見やすいデータ表示形式 長期保管に対応するバックアップ運用
このページの先頭へ


*:JP1/Automatic Job Management System 2
JP1でプログラムを配布している JP1でジョブ管理をしている その他 ほかの運用管理ツールを利用している 監査ログを収集していない

JP1/NETM/ADを追加するだけで、JP1製品(JP1/AJS2、JP1/NETM/DM、JP1/Base)が出力する監査に必要なログ(証跡記録)を収集でき、保管、検索も簡単に実現できます*

内部統制の監査対応で、ここは絶対に必要という監査証跡管理の仕組みを容易につくることができるのです。

*:対応バージョンはお問い合わせ下さい。

業務システムの運用に関連する操作ログやシステム変更のログなど、監査時に必要となる証跡記録を定期的に収集できます。


監査ログ管理サーバから、証跡記録を残したい製品名を指定すれば、自動的に収集対象にできます。また、通常業務に影響が出ないように、収集予定時刻を指定して収集することもできるのです。

証跡記録からは、「いつ、だれが、どの権限で、どこから、何をした」といった内容が分かります。

JP1/AJS2・・・業務変更の正しさを証明

「いつ、だれが、どの権限で、どこから、どの業務(ジョブネット)を変更したか」を記録し、その変更個所まで詳細な変更履歴を記録します。これにより、業務変更が正規の手続きに従っていることを証明できます。

JP1/NETM/DM・・・業務プログラム変更の正しさを証明

「いつ、だれが、どの権限で、どこから、どのような操作(業務プログラムの変更)をしたか」の記録ができます。これにより、業務プログラムの変更が、正規の手続きに従っていることを証明できます。

JP1/NETM/ADは、JP1製品が出力する証跡記録だけでなく、OS(Windows)が出力する監査に必要なユーザー情報のログも収集対象とすることができ、一元管理をすることができます。

JP1を導入していなくても、JP1/NETM/ADを活用して、監査証跡管理の仕組みづくりの第1歩を簡単に踏み出すことができます。それが、「Windowsサーバのユーザー権限情報の収集・保存・管理から始める」という方法です。

例えば、OSの証跡記録からは、ログインユーザーの情報、ユーザーの作成/削除、ユーザー権限グループの作成/削除、繰り返しログインに失敗したユーザーなどの情報をはじめ、多様なユーザー情報が得られ、監査に対応する証跡として利用できます。

JP1以外のツールであっても、監査に必要なログがCSVなどテキスト形式で得られればログ収集対象に指定でき、JP1/NETM/ADで一元管理できます。

JP1/NETM/ADでOSのユーザー情報に関するログ収集から始められるユーザーには、次のステップとして、JP1によるジョブの自動化をお勧めします。人手によるシステム運用でのミスのリスクを大きく低減できます。

更に、ジョブ操作ログは自動的にJP1/NETM/ADが収集し、監査で重要な業務運用の変更の証跡記録を容易に管理できます。

このページの先頭へ


ここまではJP1/NETM/ADのログ収集についてご説明しました。以下では、監査で必要になる証跡の検索、集計もJP1/NETM/ADなら簡単にできること、そして長期保管も万全なことをご紹介します。

このページの先頭へ

JP1/NETM/ADが収集するログには様々な情報が含まれ、収集対象によって情報内容も形式も異なります。

そこでJP1/NETM/ADでは、管理DBに格納する際、情報の形式と項目を整える正規化を行い(上図の3)、見やすい形式にするとともに検索・集計が可能なデータとして保存します。

正規化ルールを作成すれば、ほかのアプリケーションのログを正規化して取り込むことも可能です。

監査に必要な証跡記録を取り出すために、任意の検索条件を指定して検索することができます。JP1業務に関する検索条件、およびWindowsのユーザー情報の検索条件は標準提供しているので、監査も容易に行えます。

また、検索条件は、次回の評価・監査時に利用できるように条件の保存ができます。

抽出結果はCSV形式としても、改ざんを防止するPDF形式*としても出力できます。

*:PDF形式でデータを出力する場合は、帳票システム構築支援 EURが必要です。

証跡記録の事象の増減傾向などを把握するために、製品別や発生場所別にどの事象がどのくらい発生しているかを集計できます。検索条件と同様に、JP1業務に関する集計条件、およびWindowsのユーザー情報の集計条件は標準提供しています。

また、集計条件も、次回の評価・監査時に利用できるように条件の保存ができます。

結果はCSV形式やPDF形式のデータで出力できます。

このページの先頭へ

監査証跡は長期間の保管が求められ、保管するデータも膨大になります。そこで必要になるのがバックアップ運用。JP1/NETM/ADでは、バックアップ効率を上げるため、収集された監査ログは一定期間ごとに分割してバックアップできます。

バックアップの際は、「いつからいつまでの証跡記録」「どんなファイル名で保管したか」の情報を管理し、参照する際は、その証跡記録の発生時期から復元すべきバックアップ対象を特定できます。

内部統制のための監査というと、必要なことは分かっても、何か面倒で手間のかかることと思われる方も多いと思います。また、何から手をつけたらいいのかとお悩みの企業も多いでしょう。

その場合、既存のシステムを利用しながら、これだけは必要ということをまずやってみることではないでしょうか。そうすることで、その先にやるべきことが見えてきます。

JP1は、その「まずやってみる」を簡単にスタートできるように、今回ご紹介した新製品「JP1/NETM/AD」をリリースしました。金融商品取引法(日本版SOX法)が適用される2008年4月に向け、内部統制への本格的な取り組みが開始される今こそ、ぜひご検討下さい。

このページの先頭へ



関連サイト