お客様の業務をITでサポートするアクセスログ監査システムのウイーズ・システムズ

03-6721-1356

IT統制

J-SOX対応に留まらず、もはやビジネスの根幹となる情報システムを安定稼動させるための必要不可欠な対策です。

IT統制活動にコストがかかり過ぎるのはなぜか?

J-SOXで謳われているIT統制。年々、企業にとって重要度を増す情報システムを安定性、正確性を保って運用するための施策です。今日では情報システムなくして企業活動が行なえないほど重要度が高まっているため、IT統制は非常に大切で前向きな活動のはずです。

本来、IT統制はJ-SOX対応に留まらず、広く情報システムの安定稼動、トラブルの未然防止、不正な改ざんの防止を目指し、ビジネスの根幹を成すシステムとして運用できるようにすることこそ大きな狙いです。

しかしながら、このような本来のIT統制の意義・目的に即した対策を取られている企業がどれほどあるでしょうか。

近年、IT統制への対応はコストがかかり、上場しているがゆえに“仕方なく実施している”企業が多く見受けられます。 意義・目的なく、目標だけを見て「IT統制とは○○をやっておけばよい」という本質ではないアプローチから実現されているケースが多く、非効率で非経済的、実務として意味が薄い対策となってしまっていることが現実のようです。

IT統制の難しさ

一方、そうはいってもIT統制を効率的に、手間なく実現するのは簡単なことではありません。

J-SOX対応を必要とする企業は、情報システムが複雑化、高度化しており、サーバ上のメンテナンス作業一つをとっても、どのようにその正当性を確認すればよいのか、方法を確立するのは困難です。

ではどのようにして、低コストに手間なくITを統制すればよいのでしょうか。

真のIT全般統制に必要な機能

それではまずIT統制の定義を考えて見ます。
“ITを統制する”とは一般的に、対象システムを「監視・記録・統制し、その健全性を保証する」活動のことです。システム全体を見える化した上で、システム運用を監視・記録・統制していくことです。

監視
(モニタリング)
システムの稼動状況の把握だけでなく、運用や障害対応などでサーバへアクセスする際に、作業承認が得られているか、予定通りの作業を実施しているか、確認を行うこと。
記録
(ロギング)
オペレータの操作やプログラムの変更、データベースへのアクセス、システムの稼働状況、ネットワークのアクセス状況などを時系列で記録に残すこと。
統制
(コントロール)
システムへのアクセスやログインを制御し、承認・許可がされていないアクセスや、予定にない操作を抑止し制御すること。

従って、IT統制にはシステム全体を“見える化”し、システム運用のされ方、アクセスのされ方を把握した上で、是正対処やトラブルを予見し、対処していくアプローチが真のIT統制と言えます。

そして、これらを自動化することが低コストに手間なく確実に行なうポイントとなり得ます。

手間を掛けない自動化したIT全般統制

これらの機能を人手を掛けず自動化し、システマチックに不正やルール違反を制御もしくは抽出する仕組みが「WEEDS」です。 以下に一般的なシステム運用作業の流れをWEEDSでの運用例としてご紹介します。

①,②,③
作業申請
WEEDS Apply-Workflowの申請画面にて作業申請を登録。(外部ベンダーが直接作業申請をすることも可能)
④,⑤
作業承認
承認者(システム責任者)は、WEEDS Apply-Workflowの承認画面にて作業内容を確認の上、承認。
⑥,⑦
ログイン許可
サーバのIDはWEEDS ID-Managerにてワンタイムパスワード化されているため、承認された作業の開始前にパスワードが運用担当者のみに通知される。 作業エリアにて作業者へパスワードを通知し、作業実施させる。

ログイン、
本人特定
サーバにログイン後、本人特定機能WEEDS-IDが発動し、作業者毎に割り振られたWEEDS-IDで認証。その後の作業は、作業者が特定されてログに記録される。

オペレーション、
操作制御、ログ収集
予め指定した操作(ブラックリスト方式)や、作業手順で登録した操作以外の操作(ホワイトリスト方式)が実行された場合に、操作を制御(ブロック)することが可能。 各WEEDS Trace Agent製品にて取得した操作ログをログサーバへ転送され、ログデータベースへ格納。

ログ自動分析、
自動通知、監査運用
作業申請情報と操作ログを突合せ、時間の超越や予定作業外の操作を行っていないかチェック。また作業申請以外に、予め用意されたポリシーを登録しておけば、ポリシーとの自動突合せも可能。 分析の結果、申請作業と操作が不整合となった場合、オペレータ(もしくはその上長、システム管理者など)へ自動メールアラート。 違反操作の理由をシステム担当者毎に実施してコメント入力させ、企業のセキュリティ責任者が監査内容を確認していく。(WEEDS Audit-Workflowのワークフロー機能)

IT統制のポイント:作業後の監査の自動化

いかに手間なく作業結果を監査するか

IT統制を既に実施されている企業でよくある課題として、監査運用の方法を定めても、作業結果をチェックすることが出来ないことがあげられます。 この理由は、操作ログをとっても人手で目視するしかなく、手間がかかり過ぎることと、操作ログを見ても良し悪しを判断する技術力のある担当者をアサインすることができないことです。 結局、目を通すことも困難になり、作業後の監査は未実施となってしまいます。

重要なことは、操作ログやアクセス記録のチェックを自動化することです。 作業申請や手順、ポリシー情報と操作ログを自動突合せし、違反した時だけ通知される仕組みの構築が重要になります。
そのためには、WEEDSでは、操作ログを分析して保持し、作業申請の情報および、ポリシー情報をデータベース化して、自動的に突合せする仕組みを提供しています。 これがIT統制を成功させる真の近道です。

WEEDSが提供するIT運用統制の目標と統制機能

上記のフロー以外に、IT全般統制として実施しておくべき管理項目です。この内容からピックアップして実施していき、徐々に統制レベルを上げていく対策を実施していきます。

統制範囲統制内容統制対象WEEDSで解決できる製品
アクセス管理ログイン/オフ、操作ログサーバ、データベース-WEEDS UNIX-Trace
-WEEDS WinServer-Trace
-WEEDS DB-Trace
による漏れのない監査に活用できる操作ログ取得
特権ID操作
不正ユーザ(共用IDなど)
申請外、時間外
ログイン失敗、操作失敗
外部持出し操作
変更管理プログラム変更・改ざんアプリケーションサーバ、データベース-WEEDS ITGC-Trace
のプログラム変更ログ取得による変更・改ざん検知。
サーバ設定変更サーバ-WEEDS EVT-Loader
-WEEDS SYSLOG-Loader
のWindowsイベントログ、UNIX/LinuxのSYSLOG取得による設定変更検知。
ID棚卸しサーバ、データベース-WEEDS ITGC-Trace
のID利用・変更ログ取得による棚卸し。
データ管理データ改ざんデータベース -WEEDS DB-Trace
のDBアクセスログ取得によるデータ改ざん検知。
重要ファイル-WEEDS UNIX-Trace
-WEEDS WinServer-Trace
の重要ファイルアクセス検知。
バックアップファイル-WEEDS ITGC-Trace
のファイル変更ログ取得による改ざん、消失検知。
ハード故障データベース、バックアップファイル-WEEDS EVT-Loader
-WEEDS SYSLOG-Loader
のWindowsイベントログ、UNIX/LinuxのSYSLOG取得によるハード障害検知。
構成管理利用許可ソフトウェアパソコン、サーバ-WEEDS WinServer-Trace
のソフトウェア資産情報取得による不正ソフト利用検知。