本文へジャンプ メニューへジャンプ

富士通

 

  1. ホーム >
  2. ITサービス、ソリューション >
  3. 内部統制 >
  4. 先進導入事例 >
  5. ID管理システム・ログ管理システムの導入
ここから本文です

IT全般統制構築事例
~ID管理システム・ログ管理システムの導入~

製造業 A社様 導入事例

2008年、多くの上場企業で金融商品取引法(J-SOX法)の適用初年度を迎え、各社において内部統制対応が進められてきました。そのような状況のなかで、現状業務を整理、評価した結果、多くの不備が発見され、その改善作業に精力的に取り組まれてきた、あるいは、現在も対応を継続されているといった企業は決して少なくありません。

ここでは、或るJ-SOX法対応企業(製造業、以下A社と記載)のIT全般統制対応の軌跡を一部ご紹介します。A社において、IT全般統制対応がどのように進められてきたのか、特に、統制強化を目的としてどのようなITソリューションが導入されたのかを垣間見ていただきたいと思います。

[ 2009年7月27日掲載 ]

IT全般統制対応の取り組み

A社が内部統制対応を本格的に開始されたのは、2007年半ばのことです。2007年5月に情報システム部門内にIT全般統制の整備・構築を行う「内部統制グループ」(情報システム部門員2名が内部統制対応専任担当者として所属)、同年7月にはA社全体の内部監査を担う監査部がそれぞれ設置され、A社におけるIT全般統制推進体制が整備されました。

内部統制グループでは、まず、業務プロセス統制の推進組織と連携して、社内に数多く存在する情報システムの中から財務報告の信頼性を担保するうえで重要なシステムの選定(スコーピング)を行い、IT全般統制の対象となるシステムを明確化していきました。

そして、それらのシステムに関する開発、運用、アクセス管理等のITプロセスの文書化および評価を行い、現状業務における統制上の課題を洗い出したのち、明確化された課題に対する対応策を検討し、必要な改善を順次進めていきました。

ページの先頭へ

IT全般統制上の課題への対応

上記の取り組みの過程で浮かび上がってきたIT全般統制上の主な課題は以下の通りです。

  • 課題1 規程および手順書の作成、整備
  • 課題2 ID・パスワード管理(各システムの定期的なパスワード変更)
  • 課題3 ログ(証跡)の管理(システムの使用ログの取得・解析)

「課題1 規程および手順書の作成・整備」については、現状の業務プロセスをベースにして、管理者による承認等のIT全般統制として必要な手続を盛り込んだ形になるよう再設計し、その内容をルール化・ドキュメント化することにより対応を実施しました。

「課題2 ID・パスワード管理(各システムの定期的なパスワード変更)」、および「課題3 ログ(証跡)の管理(システムの使用ログの取得・解析)」については、IDやログの管理手順の策定などの人手(人間系)による対応だけにとどまらず、必要なシステム改善を行うことで課題への対応を行いました。

以下の章では、そのシステム改善の内容であるID管理システム・ログ管理システムの導入について説明します。

ID管理システム・ログ管理システムの導入

システムの開発期間は、2009年3月から9月までの7ヶ月間。要件定義、基本設計フェーズにおいて当初想定よりも時間を要したものの、予定通り9月にカットオーバーを迎えることができました。本システム導入プロジェクトでは要件を実現するためにいくつかの製品を組み合わせて構築を行いましたが、システム開発ベンダーの契約窓口を一社に集約したことが、短期プロジェクトを推進することができた要因となりました。

システム開発のベンダー選定にあたっては、IT全般統制として満たすべき要件を整理してRFP(Request for Proposal)を作成し、複数のベンダーに提案を依頼、そして、各ベンダーから提示された提案内容を、実現すべき機能の網羅性および実現性、価格等から総合的に判断し、弊社を選定していただきました。

<システム導入プロジェクト実施スケジュール>

ページの先頭へ

ID管理システムの導入

各業務システムで使用されるIDを統一的に管理するため、従業員情報と連携した統合ID管理の仕組みを実現しました。また、IDの利用申請や承認をサポートするワークフロー機能やシステム利用者にパスワードを定期的に変更させる機能も合わせて実現しました。

各システムのIDおよびパスワードを一元管理し、それを人事システムの従業員情報と連携させることによって、不正なID登録や不要IDの削除漏れの防止を図りました。そして、ワークフローなどの管理者・利用者支援機能を入れることによって、業務処理の効率化を実現しました。

<ID管理システムの概要>

ページの先頭へ

ログ管理システムの導入

ログ管理システムでは、アプリケーション、オペレーティングシステム、データベースといったレイヤー毎のログをエージェントによって収集する仕組みを実現しました。これは、それぞれのレイヤー毎の不正アクセスのリスクに対して、確実に、網羅的に対応するためです。また、取得したログを集中管理し、ログ分析を支援するツールを導入することで、分析精度を向上するだけでなく、ログ管理業務の省力化を図ることもできました。

<ログ管理システムの概要>

今後の取り組み

このように、A社では、IT全般統制上の不備に対して、リスクを適切なレベルにまで低減するための統制活動を明確化し、それを実施するために必要な仕組みを検討し、構築されました。

今後は、さらなる統制強化および業務効率の改善のため、ワークフローシステムの統一化やシングルサインオン、各システムのプログラム登録・変更ログの統一的取得など、次の課題への対応を検討されています。

お問い合わせ

本事例に関するお問い合わせ

ページの先頭へ

ここから関連メニューです
  • 製造業 A社

関連リンク

お問い合わせ

ここからサイト内共通メニューです

Copyright FUJITSU

ページの終わりです