プログラム登録/変更監査ツール「WEEDS ITGC-Trace」
「いつ本番環境のプログラムや設定ファイルが変わったか検知したい」
「内部統制の監査で“プログラム登録/変更”について指摘されたが、どうすればいいかわからない」
「DBモジュールも監査対象と指摘されたが、どう検知すればいいかわからない」
プログラム登録/変更の監査を実施しようとご検討されているお客様では、このようなお悩みがあると思われます。
J-SOXのIT全般統制の統制目標の一つである“プログラム登録/変更監査”は、J-SOX初年度、2年目まではあまり指摘されませんでしたが、3年目以降、外部監査より指摘される企業が増えています。
プログラム登録/変更監査とは
J-SOXでは、財務諸表の不正な改ざんを防ぐべく、統制活動を行います。
財務諸表の改ざんは、プログラムを変更することで、容易に行えてしまいます。例えば、財務諸表をよく見せるために、計算式を変えたプログラムを用意し、それに差し替えれば簡単に財務諸表を改ざんできてしまいます。
また、財務諸表の改ざんという観点以外にも、許可なくプログラムを変更することで、業務システムが想定通り稼動しなくなる事態も起き得ます。
このようなリスクを回避するために、プログラム登録や変更を統制することが、企業のシステムでは求められています。
WEEDS ITGC-Traceとは
そこで、この統制活動が正常に機能しているかどうか証明するために、プログラムがいつ“登録”、“変更”、“削除”されたのかを検知し、登録/変更ログとして蓄積し、それらの操作が正当な許可を得た作業であったか監査できるのが、「WEEDS ITGC-Trace」です。
プログラム登録/変更監査のポイント
プログラム登録/変更監査のポイントは、
@アプリケーションが配置されているサーバ内の、すべてのファイルの登録/変更記録を
取得する。
Aデータベースプログラム(ストアドプロシージャやPL/SQL)の変更記録も取得する。
B取得した変更ログ(監査証跡)の中から、アプリケーションプログラムの登録/変更だけを
抽出し、監査できること。
プログラム登録/変更監査を実施する上で、上記の機能は必須です。
このポイントをすべて網羅したツールが、WEEDS ITGC-Traceです。
ポイント@:すべての登録/変更を取得
アプリケーションプログラムを監査するわけですから、該当のプログラムの登録/変更だけをログ取得すればよいという考え方もありますが、不正や改ざんを行おうとすると、アプリケーションに関係ない、別の場所へプログラムや設定ファイルを配置し、それらを動作させて行う方法も考えられます。 よって、該当のアプリケーションだけの登録/変更ログでは、万が一の追跡作業にログが不足しており、十分な監査が行えません。そこで、全ての登録/変更ログを取得する必要があります。
ポイントA:データベースプログラムの登録/変更も監査対象
J-SOXの監査では、データベースに保管して実行される、ストアドプロシージャやPL/SQLなどのデータベースプログラムも監査対象となります。
財務・会計システムや市販の販売管理システムでは、データベースプログラムが使用されていることが多いためです。よって、データベースプログラムの登録/変更も検知し、ログ取得することが重要になります。
ポイントB:監査すべきログだけを抽出
ポイント@で、全てのログを取得と書きましたが、通常の監査を行う際は、サーバ内の全てのファイルに対する登録/変更を監査すると、監査業務に負荷が高まるため、該当アプリケーションの登録/変更を容易に抽出し、監査できる仕組みが必要不可欠です。
また、アプリケーションサーバでは、パッチ適応などで大量のファイルが更新されます。これらを登録/更新ログとして記録はしても、通常の監査からは除くべきです。
このように監査機能を設けておくことで、Bで定期的に的確な監査が行え、監査運用業務を低コストに抑えることができ、かつ万が一の際は、@のようにすべての登録/変更ログが取得されているため、詳細な調査を行うことができます。
WEEDS ITGC-Trace活用事例
「プログラムモジュールの変更管理がシステム化された事で運用コストが大幅に削減」
某IT系東証1部上場企業システム企画室長様
<当初の課題>
「IT全般統制において、当初はプログラムモジュールの変更管理を人手によって行っていました。
リリース依頼書の内容とリリース後のプログラムモジュールに差異がないかを定期的にチェックをしておりましたが、人手によるチェックになっていましたので、監査の正当性を証明するために幾度となく監査結果を確認する場面があり、運用コストが非常に多くかかってしまっていました。」
<WEEDS ITGC-Traceを導入してから>
「WEEDS ITGC-Traceを導入する事で、今まで人手で行っていたプログラムモジュールの変更管理をシステムで自動的に取得する事が出来るようになりました。
また、プログラムのリリース情報を登録するワークフロー機能があり、リリース後のプログラムモジュールが申請通りにリリースされているか、未許可のプログラムがリリースされていないかなど、リリース作業の正当性を監査レポートで証明する事が出来るようになり、システムによる第3者チェックが実現出来ました。
運用面でもプログラムモジュール変更管理がシステム化された事で、人手による監査に比べ運用コストを大幅に削減する事が出来ました。」
「DBプログラムの変更統制を外部監査からの要求されるが、難なく対応を完了」
東芝ファイナンス株式会社 情報システム部 技術グループ 佐長 実 グループ長
<当初の課題>
「J-SOX対応では、プログラムモジュールの変更管理だけではなく、データベースプログラムの変更管理もチェック対象となっており、実際にどのようにチェックすべきか、監査運用をどうするかなど、検討課題が多くありました。
データベースプログラムの変更管理という名の通り、データベースの知識に長ける担当者をアサインしなければ、どのようにデータベースプログラム変更管理を監査していくべきかなどの要件も定まらない状態でした。
また、全ての変更情報を担当者が監査するという事は非現実的であり、効率よく監査出来る仕組みを探していました。」
<WEEDS ITGC-Traceを導入してから>
「WEEDS ITGC-Traceでは、WEEDS DB-Traceと併用して使用する事でデータベースプログラムの変更履歴を取得する事が出来ますので、プログラムモジュール+データベースプログラムの変更履歴を一緒に監査する仕組みを構築する事が出来ました。
また、監査レベルに合わせて監査レポートを使い分けることが出来るので、データベースプログラムの変更履歴件数はもちろんの事、データベースプログラムのどの部分が変更されたのかなど、詳細な変更内容まで掘り下げた監査が実現出来るようになりましたので、変更管理を効率的に運用に乗せる事が出来ました。」
プログラム登録/変更監査手段の比較
プログラム登録/変更監査を行う方法として、以下の3つがあると考えられます。それらを比較してみましょう。
@目視による変更管理(例:作業申請用台帳に変更記録を取り、目視で操作ログと比較する)
メリット : ツールを購入するお金がかからない。
デメリット : 工数や人件費がかかり、監査漏れリスクがなくならない。
A自社開発ツール(例:変更前後の画面ショットを取り、差分を目視で確認)
メリット : 自社開発なので業務に沿ったツールができる。
デメリット : 開発費が発生し、常に最新の監査指摘に耐えうる機能を更新していかなければならない。
Bパッケージ製品(システマティックな変更管理)
メリット : 網羅性、監査の観点としての客観性が高く、運用の負荷が軽減される。
デメリット : パッケージの購入費が発生する。
| 監査手段比較表 | 網羅性 | 客観性 | 工数 | 人件費 | 開発費 | 購入費 |
| @目視 | 低 | 低 | 高 | 高 | 無 | 無 |
| A自社開発 | 低 | 低 | 中 | 中 | 有 | 無 |
| Bパッケージ製品 | 高 | 高 | 低 | 低 | 無 | 有 |
上記の比較表から、
プログラム変更管理にはBパッケージ製品を使用することが最適と考えられます。
そして、パッケージ製品を使用するなら、上記@〜Bのポイントをおさえた「WEEDS ITGC-Trace」です。
製品仕様
| 導入効果 | 内部統制(IT全般統制対応)、監督官庁監査対応、個人情報保護法対応、 システム内部監査対応、Pマーク、ISMS対応、プログラム不正改ざん検知 |
|
| エージェント モジュール | 対応OS | Windows2000以降、AIX4.3.3以降・RedHat Linux3以降・ Sun Solaris 7以降 HP-UX 11i以降・Miracle Linux・Cent OS ※他のUNIX系OSはポーティング次第で即時対応可能 |
| 導入時 設定変更 | 特になし。 | |
| 稼動方法 | 実行形式。(常駐型ではありません) | |
| サーバへの 負荷 | 推奨稼動設定で、夜間に1日1回実行。10分程度CPUを使用。 メモリ使用量は、最大ファイルパスのサイズ。 |
|
| Log | ログ取得項目 | ファイル変更区分(登録、更新、削除)、ファイルパス、ファイル名、権限 ※ データベースプログラムの変更は、WEEDS DB-Traceの導入が必要。 |
| データベース プログラムの 変更操作 | CREATE PROCEDURE、ALTER PROCEDURE、 CREATE FUNCTION、ALTER FUNCTION、 CREATE TRIGGER、ALTER TRIGGER、CREATE VIEW、 CREATE OR REPLACE VIEW、CREATE PACKAGE (Oracleのみ)、CREATE PACKAGE BODY(Oracleのみ) |
|
| 転送 | エージェント実行時に転送(通常1回/日) | |
| ログ量 | 1ファイル変更あたりおよそ5kb | |
| ライセンス体系 | サーバOS単位 | |
| Price | Open(ボリュームディスカウント有り) | |
.jpg)
.jpg)