PR

 キヤノンはアクセス管理を強化するため、週次でデータベースへのアクセス・ログを確認している。ID管理を実施しているが、不正がないことを証明するための補完的役割としてログをチェックする。この場合、ID管理を予防的統制、アクセス・ログのチェックを発見的統制と呼ぶ。不正や誤りの発生を事前に防ぐものか、事後的に見つけるための統制かの違いである。

 アクセス・ログを利用して予防的統制を補完している事例は多い。外部委託先の本番環境のアクセス・ログを取っている京セラや、操作ログと特権IDの申請履歴を突き合わせているNISグループなどだ。各社が指摘するのが、内部統制を整備する上でログ管理の手間は予想以上ということである(図10)。

図10●アクセス・ログは発見的統制に利用できるが、予防的統制がないと手間が発生する
図10●アクセス・ログは発見的統制に利用できるが、予防的統制がないと手間が発生する
[画像のクリックで拡大表示]

 アドバンテストは、ログ監視の負担を軽減するために自社開発のプログラム移行ツールを改良した。移行時に本番機のライブラリのログを取得し、変化があれば担当者に電子メールで知らせる。二井室長は、「SOX法対応前と比較して、ログのチェック頻度は月次から週次、あるいは日次になっている。省力化しなければ、日常の仕事が回らない」とツールを開発した理由を説明する。

 NISグループはログ監視ツールの導入を検討したが、「数千万円以上かかる投資になり、今回は見送った」(平部長)。同社のSOX法対応関連の全ログを集めると月間4000万行程度に上る。「すべてのログを収集して、ソートをして検索をすると数時間かかる」(同)ため、「作業負荷は大きい」という。

 負担はあるものの、ログによる発見的統制は万能に見える。だが、そう簡単ではない。「IT統制のすべてが発見的統制という状況では、内部統制の整備状況の不備とされても仕方ない」(新日本監査法人の中山代表社員)ことを知っておきたい。

 職務分掌のためのアクセス管理にしろログのチェックにしろ、ERPパッケージを利用している場合は、その機能を使える。だが、ここにも落とし穴がある。

 あるSAP ERPユーザーが、職務分掌違反になるパラメータ設定があるかを監視するツールの価格としてSAPジャパンから提示されたのは、「売上高600億~1200億円の企業の場合で1億2000万円」。特権IDの違反がないかを監視するツールなら4000万円と言われた。「結局は、こういうツールを導入するよりも、人件費の方が安い」と、そのSAP ERPユーザーはため息をつく。