BSP Internationalレポート

米国SOX法ではSection 302(財務報告に対する責任と証明)と404(財務報告に対する内部統制の評価と監査)において、CEOおよびCFOは財務報告に対してプロセスの内部統制を行う仕組みを導入し、ドキュメント化を行って正しく機能・実行されていることを検証し証明することが義務付けられました。今回はこの”検証と証明”について考えてみたいと思います。

米国では、内部統制の実施を証明したり、データベースやネットワーク等への不正アクセスを監視する手段として、AuditTrailやシステムログが重視され、対応するパッケージも数多くリリースされています。ログを収集し分析することは、証明や監視の手段として重要なばかりでなく、収集を行っていることを社内に公表することで情報流出原因の70%を占めると言われる内部からの不正アクセスによる情報漏洩や改ざんなどの抑止効果も期待できます。一般的に内部不正アクセスのリスクポイントとその対応策の例として、以下のような事があげられています。これらのリスクポイントに対してリスク評価を行い、自社に合った適切な対策を講じることが必要です。

主なリスクポイントと対策例

• コンピュータ設定管理：コンピューターロックやスクリーンセイバーロック
• アプリケーション管理：PCやサーバへのソフトのインストール監視や制限
• 入出館管理：セキュリティカード・指紋認証・生体認証などによる認証
• アクセス権限管理：ユーザID発行/失効管理、ユーザIDやデータベースのアクセス制限
• ネットワークアクセス管理：社内LANへのアクセス制限、無線LANの盗聴防止
• モバイルコンピュータ管理：持込・持ち出しPCやPDAの制限

米国では人の流動も激しく、職責にあった権限管理が通常に実施されていますが、日本では最近になって個人情報保護法の施行やPマーク取得などにより、ようやく対策されはじめたように思われます。これらのリスクポイントに対して物理的、システム的に対策を講じることと同様に、その対策を継続して実施していることや不正が発生していないことの検証と証明にログが有効となっています。

システムではイベントログとして、アプリケーションの実行履歴が出力されるアプリケーションログ、WindowsなどOSの実行履歴が出力されるシスログやセキュリティログがあります。MainFrame環境ではシスログやジョブログを収集して管理することが運用の一部として大多数の企業で実施されてきましたが、オープン環境においては何も実施されていなかったり、収集は行っているもののログの内容が難解なため、分析まで行っていない企業が大半です。セキュリティログを例にとってみても、ユーザ毎のログイン・ログアウトの時間、クリティカルなデータへのアクセス履歴、パスワード入力の成功・失敗履歴など重要な情報が含まれているにも関わらず、分析をするためにはログに関するノウハウが要求されるため、手付かずとなっているかログに精通した個人に依存して実施されているのが実情です。ログの分析を行い有効活用するためには、様々なサーバの様々なログを集中管理することで、システム化された内部統制の実行状況を検証し、不正が発生していないことを証明することが容易になります。

一部のパッケージでは、不正が行われたことをタイムリーにアラートする機能を実現しているようですが、現状「不正が行われなかったこと」を証明できるものは、処理結果を記録したログをおいて他にありません。 今後のSOX法対応を考える上で、今一度ログの有用性・重要性について見直してみてはいかがでしょうか。