PR

内部統制の整備におけるITの果たすべき役割は大きい。では,企業が「ITへの対応」を実現するために,運用管理者は何をすべきなのか?ここからは,その疑問に答えていこう。

 Q3 監査証跡として活用するログはどう取得・整理する?

 ITの統制においてポイントとなる監査証跡記録では,何を記録し,どのように整理するかが重要になってくる。

 まず一般に監査で重要になる記録は,「いつ」「誰が」「どの権限で」「何をした」という情報である。多くのシステムはどんなエラーが出たか,エラーを出したプログラムは何かなどの情報しかログに出力していない。そうしたシステムを「いつ」「誰が」「どの権限で」「何をした」という情報を出力するように変える必要がある。

 例えば,情報漏えい対策ツールは,クライアントPCの操作ログ取得機能という形でこれを実現している。

 同様に,サーバーの運用管理においては,そうした監査に役立つ情報をログに出力する仕組みをこれまで以上に整備する必要がある。

 運用管理では,複数の処理をまとめてジョブとして登録・実行することやソフトウエア配布によってシステム構成を変更するといったことが行われる。こうした運用管理の操作を,業務,人,システムの面から,正しく行ったという記録を取る仕組みを整える必要がある。つまり,「いつ」「誰が」「どの権限で」に加え,「どこから」「どのような手段で」「何をした」という情報が,分かるようにすることが求められているのである。

運用実績の記録を監査用に整理

 次に,取得した監査ログを効率的に整理する手段を用意する。監査ログは一般に膨大な量になる。これを財務報告に関する内部統制の整備という観点から絞り込んで収集しなければ手に負えなくなる。さらに,その監査ログを自由に検索できるようにしておきたい。例えば,業務システムの運用変更に伴って,その管理操作が正しく実施されたかを調べたいときに,期間や場所でログを検索することになる。

 こうした要件を踏まえ,JP1 V8.1では「運用実績の記録と管理の容易化」に取り組んだ。

 具体的には運用実績の記録となる監査ログの出力を既存製品JP1/AJS2やJP1/NETM/DMで実現するとともに,監査ログを監査証跡として整理する機能をJP1/NETM/Audit-Managerという新製品で用意している(図4)。

図4●取得した運用実績の記録は監査用にまとめておく
図4●取得した運用実績の記録は監査用にまとめておく
ITの統制では,取得した運用実績の記録を監査用にまとめておく必要がある。JP1はV8でクライアント中心の操作ログ記録を実現していた。V8.1では,業務システムのサーバー運用まで含めた監査ログ記録に加えて監査証跡管理までを実現する  [画像のクリックで拡大表示]

 ジョブ管理JP1/AJS2では,ジョブネットという管理単位の登録や登録の取り消し,一時変更,実行の中断などについて操作ログが出力できる。

 また,ジョブの定義を新たに登録/変更/削除するなど,業務の変更が実施されたかの履歴情報もログとして出力できる。

 JP1/NETM/DMはソフトウエアの配布ツールだ。この製品はV8.1でソフトウエアのパッケージングや再実行された配布ジョブなどについて操作ログが出力可能になった。詳細なユーザー管理機能も備える。ユーザーごとに権限レベルを分け,操作と機能に制限を設けられる。

 JP1/NETM/Audit-Managerでは,証跡記録となる監査ログを,どのタイミングでどれだけ収集するかを監査ポリシーの設定という形で任意に決められる。集めたログは,監査の際に要請に応じて,自由に検索・表示可能である。長期保管のため,収集した監査ログを一定期間ごとにバックアップする機能も備えている。バックアップ処理に関するログも簡単に閲覧できる。