本文へジャンプ メニューへジャンプ

富士通

Japan

ホーム

印刷用

 

ここから本文です

初心者向けセキュリティ基礎講座

富士美咲のセキュリティ始めます! 第7回 ビジネス活動の“足跡”を明らかにし 企業の健全性を示すショウセキ管理:怪しい足跡や、気になる動きを見つけるぞ!

新米美咲にミッション!:ビジネスの遂行において誰が、どのような手続きを行なったかなど「ショウセキ」の記録が最近、企業に求められている。またショウセキは誤りや不正を明らかにし、その原因を解明する手段ともなる。つまり「ショウセキ管理」を実施している企業は、きちんとした手続きの記録を示せ、健全性を証明することが可能だ。G社も、スマートなショウセキ管理を行ないたい。このABCを理解せよ!

ケアレスミスから天変地異まで儘(まま)ならないのが人生やビジネス。とはいうものの、あきらめてばかりはいられない。間違いや不正を追跡・確認できるのが「証跡管理(しょうせきかんり)」らしい。何やら事件現場の足跡を追う探偵のよう・・・。また「証跡(しょうせき)」は企業活動のフェアさも証明するという。渋いテーマだけど、事業継続のポイントと言われれば、よーく理解しないといけないみたい。セキュリティ担当・美咲、今日もしっかり探求します!

セキュリティプロフェッショナル・トオル先輩との「いまさら聞けない・でも聞いちゃう」Q&A:その課題考えます!

美咲

部長から「証跡管理」を理解するように言われたんだけど、そもそも「証跡」って何なの?


トオル

一言で言うと、ビジネス活動の記録かな。
これは、システムのログといった電子的な記録もあれば、会社の創立時代から残っている管理簿のような、紙の記録も含まれるんだ。


美咲

会社の経営にかかわる重要なものなの?
企画部長や情報システムの部長が、重役会議で説明するからって、ハリキッてプレゼンの準備をしていたのだけど(笑)。


トオル

いわゆる日本版SOX法やその中のIT全般統制に関する会議じゃないのかな。
それらは、財務報告に関係するシステムのIT基盤において、正しく運用管理ができていることの確認や証明、検出された不具合に対する是正措置がとれる仕組みを求めているからね。これなんか法的に、証跡管理が要求されていると言えるかもね。


美咲

法律なども関係してくるのね。


トオル

うん。それと、会社がビジネスを健全に続けていくには、問題が生じないよう防御し、抑制することや、問題が起きたら理由や原因を特定し、解決に向かうことが欠かせないよね。
その際、すべての関連情報を記録して管理することは、将来のためにも重要でしょう。この最後の部分とか、まさに証跡管理だと思うよ。


美咲

法的に必要な部分があるし、企業の事業継続という点からも証跡管理が求められているというわけね。


トオル

日本版SOX法や新・会社法が制定されてからは、特にシビアになっているね。


美咲

でも、企業のビジネス活動なんてとっても幅広く多岐にわたるでしょう。それをすべて把握したり、記録するなんて神様じゃないんだからムリじゃない(笑)。


トオル

いい点を突いているね(笑)。
美咲が言うように、すべての活動の履歴を残すなんて不可能だし、また収集しても意味のない記録が含まれるのも確か。だから、目的を絞って記録を残すことが必要になる。それが、証跡管理なんだよ。


美咲

どんな目的に絞るの?


トオル

不正や誤りがあると企業やビジネス活動に重大な影響を及ぼす。だから、それらにかかわる一連のアクションや変化について履歴を残す、ということがまず基本だね。


美咲

それが証跡管理の基本ポイントなのね。私、普通の人間だから、具体例もあげてほしいな・・・(笑)。


トオル

そうだね(笑)。
たとえば、G社の売上データが勝手に書き換えられたら、いろいろなところに支障が出るでしょう?


美咲

会社の業績が正しいものでなくなってしまうし、取引先にも影響が及ぶかも・・・。


トオル

だから、売上データが正確であることを確実にするプロセス、というものが求められるわけだよ。


美咲

正確であることを確実にするプロセス! それって、いったいナニ?
わかんないよー(笑)。


トオル

ゴメン(笑)。
すごく簡単な例をあげると、売上データが営業担当者から会社に対して報告されるとき、上司(つまり承認権限を持っている人)がその売上データをOKって承認するよね。その承認手続きと売上データのすべてを、証跡として残すんだ。


美咲

誰がいつどこからどの売上データに承認をしたのかあるいは不承認としたのか、といった5W1Hのようなものを考えて記録するとか?


トオル

うん。わかりやすい(笑)。いい把握の仕方だね。
同様に、修正したときも誰がいつ・・・などとともに、どのような変更を加えてそれらを誰が承認したのか、といった追加修正の一連のアクションを証跡として残すんだ。


美咲

そうか! なんかヒラメいたかも!
そういう詳しい証跡がきちんと管理されていれば、後で売上データの間違いや不審な点を発見したときに、詳細や経緯が見えるし、“怪しい”動きや何かもつかめるかも。それが証跡管理なの?


トオル

ピンポン! で、その考え方でいけば、企業のビジネス活動の要所要所で証跡が必要になる、ということもわかってくるでしょう。


美咲

たとえば、G社の売上管理システムだったら、どうなるかな?
うーん。売上データへのアクションだけでなく、売上データベースへのアクセスとか、アクセス権とか、データベースシステムそのものの構成、あるいは設定・変更のログなど、さまざまなものが必要になってくるわね。


トオル

そう。企業の活動について誰が・いつ・どこから・何を・どうした・その結果・・・といったことを監視(モニタリング)して、ログを出力・収集しておくんだ。
そうすればログの異常や何かが起きたときに、脅威にさらされている可能性があるという「不正検知」の緊急警告を出せるし、後から追跡したり、検索・分析することができる


美咲

証跡管理って、企業の情報セキュリティ上、必須ということがよくわかったわ。
それに、法律や会社のルールに適合した企業活動が行なわれているか、これを検証する手がかりとしても使えるし、会社や事業を安全に継続させるためにも不可欠ということね。


トオル

飲み込みがすっごくいいね(笑)。


美咲

最近、スマートな美咲も目指しているの(笑)。
G社も企画部長が言っていたように、スマートな証跡管理を実現しなくっちゃね。さっそく、うちの会社がどのような証跡管理をやっているのか、探索してみるわ!


セキュリティ担当者への花道:ここがポイント

一、データなど情報へのアクションを記録するのが「ショウセキ管理」 二、不正の検知や追跡が可能 法的にも求められている 三、健全なビジネスのために不可欠 取り組むべし


目次 : 富士美咲のセキュリティ始めます!


お問い合わせ

情報セキュリティに関するお問い合わせ
情報セキュリティに関する ご質問、ご相談、資料請求

ページの先頭へ

ここから関連メニューです

SafetyValue フィジカルセキュリティ 事業継続 情報セキュリティ 安心安全マネジメント

関連製品・サービス


富士通のセキュリティ情報
ここからサイト内共通メニューです

Copyright FUJITSU

ページの終わりです