ケーススタディを通して考える特権
ID 利用管理
コスト削減とリスク管理の両立のポイント
エンカレッジ・テクノロジ株式会社 企業における内部統制確立に向けた取り組みはどのような状況なのか? 企業における IT 全般統制に関する取り組みの変遷 企業では 2008 年 4 月より適用となる改正金融商品取引法(日本版 SOX 法)対応に向け内部統制確立に向けた取り組みを 実施してきました。IT 全般統制については、どのような取り組みがなされてきたのでしょうか? 社団法人日本情報システム・ユーザー協会(JUAS)が毎年実施している企業 IT 動向調査から興味深い結果が示されてい ます。下のグラフは、2008 年、2010 年に行われた企業 IT 動向調査の中で、IT 全般統制に関わる取り組みについての回答 を表しています。 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 2007年 2009年 2007年 2009年 2007年 2009年 2007年 2009年 2007年 2009年 2007年 2009年 2007年 2009年 2007年 2009年 システムの変更 管理で必要なド キュメントを作成 し、承認者及び そのレベルを明 確にしている 事後的にログ情 報などアクセス 情報を分析して いる 開発と運用は組 織として明確に 分離している システムの再構 築やERPパッ ケージを導入す る ビジネスプロセ スを見直してい る 本番データのア クセス状況を管 理する専門担当 者を置いている 長期間の同一業 務を避けるた め、担当者を定 期的に入れ替え ている その他 実施しない 検討中 実施済 図 1. 金融商品取引法に対する IT 統制の具体的な対策(2009 年実施済の割合が多い順) (出典:企業 IT 動向調査 2008 および 2010 社団法人日本情報システム・ユーザー協会) この調査結果から、2007 年(日本版 SOX 法施行前)と 2009 年(施行後)の取り組みの変化を伺うことができます。 各項目で実施済の割合が増加しているものの、手続きや体制の見直し等で可能な対応(グラフ中囲んだ部分)にとどまり、 根本的な対応(人材の育成、プロセスの見直し、システムによる対応)は、リーマンショクの影響もあり、取り組んだ企 業は少ないことが見て取れます。 このことは、各企業がリスクを内在したままであり、かつ対応にかかる負担がアドオンされている企業が多いことが考 えられます。このグラフにはありませんが、業種や企業規模による対応の 2 極分化も見られます。 そこで弊社がお客様との会話を通し、内部統制に対する取り組みの典型的なパターンをケーススタディとしてご提示す ることで、現状の課題と課題解決のための提案をお示ししたいと思います。ケーススタディ① 製造業 A 社 プロファイル 従業員数約 1,000 名の製造業 A 社の情報システムは、基幹システムを中心に 10 種類ほどのサブシステムから構成されて います。UNIX/Windows サーバーなどオープンなアーキテクチャを採用し、現在サーバー数は約 200 台に及んでいます。情 報システム部は、社員 30 名で構成され、うち 18 名が運用担当者です。A 社のシステムは開発時 SIer に委託して開発しま したが、細かなプログラムの変更とリリース作業および運用監視業務は自社の社員で行っています。 プログラムの変更、OS のパッチ導入などの変更・リリース業務は、週平均して 20 件ほど発生しており、年間 1,000 件 ほどに達する業務量になっています。 内部統制強化への取り組み A 社は日本版 SOX 法施行前、開発と運用合わせて 27 名の体制で行っていました。内部統制の強化にあたり、開発と運用 の組織および環境の分離を行うことになり、今まで兼務で行っていた業務を完全に分離するためには体制を増強する必要 がありました。そこで追加要員を確保し権限の分離を図りました。 また IT 全般統制に関わる取り組みとして以下のようなルールの規定と運用手続きの変更を実施しました。 ① 確実な承認ベースでの変更作業の実施 開発担当者がプログラム変更など、本番環境に対してシステム操作を行うには作業申請書に作業目的と内容、作 業時間等を記述し、開発責任者の承認を経て運用チームから最終承認を得るという組織の分離に基づく承認ルー ルとしました。Excel ワークシートで作成された専用の申請用紙に記入、紙ベースで回覧し関係部署の承認を得る という形で運用を開始しました。 ② 厳密なアカウント管理 従来、個々のシステムのアカウント管理は各システムを担当する運用担当者が管理を行っていましたが、これも 権限を分離し専任のアカウント管理者を設けて管理するように変更しました。 これによりシステム担当者が自由にアカウントを作成して操作を行うことで発生する誤操作・不正操作などのリ スクを排除できたものの、開発チームから依頼のある変更作業を行うためには、アカウント管理者より一時的な 作業用アカウントを発行してもらう必要が生じました。 ③ ログの取得とチェック作業の強化 作業中に利用するアカウントの権限の濫用によるリスクを低減するため、プログラム変更作業などのシステム操 作の終了後、OS やデータベース、プログラムのシステムログ、作業ログを収集し、予定されていない作業の有無 を運用責任者がチェックするルールを導入し、週あたり 20 件ほどの作業の事後点検を行うこととしました。 A 社の課題:圧倒的なリソース不足 A 社ではこれらの取り組みにあたり、前述したように数名の増員は行ったもの IT の活用は見合わせました。システム規 模と取り組み内容からして、多大な投資は不要と判断したためです。ところが組織を変更し、権限の分離のもとで運用を 開始すると、人的なリソースが想定以上に不足する事態になり、さらに 10 名ほどのリソースを追加する必要性があること が判明しました。リソースの不足をまねいた要因は以下の通りでした。 ① プログラム変更・リリース業務において、当初権限の分離により運用担当者の作業量が増加、一方で、運用担当者 へ引き継ぐ作業手順などのドキュメントの作成工数が開発者の負担となり、開発、運用担当者を数名増員する必要 が発生した。 ② 毎日発生する変更作業に合わせて一時的なアカウントの管理が煩雑であるため、アカウント管理者を 1 名増員する 必要が生じた。 ③ ログのチェック作業が想定以上に工数のかかるものであったため、日々20 件の点検作業を行うため、数名の増員を 行うことになった。 現在 A 社では、これ以上の人員増は大きな企業負担となってしまうため、人員を増加させずに必要な手立てが行える方 策の検討に入りました。
ケーススタディ② 金融業 B 社 プロファイル B 社は従業員 5,000 名を有する金融業界の中堅企業です。情報システムは分社化した子会社によって開発、運用を行っ ており、子会社全体で 100 名、開発、運用部門は 80 名体制にて 600 台程度のサーバーで構成される親会社のシステムの開 発と維持を任されています。 法規制、新サービスの提供などでシステム変更頻度は高く、毎日 20 件、年間 4,000 件に及ぶ非定型的なシステム操作を 実施しています。 内部統制強化への取り組み B 社では JSOX 法の施行をきっかけに内部統制強化に向けた取り組みを計画、以下のような部分で IT の活用による対応 を実施しました。 ① 変更・リリースに関する電子ワークフローシステムの導入 従来の紙ベースの作業申請では効率的ではないと判断し、運用ルールに沿った承認ルールをデザインできるワー クフローツールを導入 ② 600 台のサーバーのアカウント作成や削除を集中管理するための ID 管理製品の導入 原則として共有アカウントの利用を廃止、作業単位で必要なアカウントの発行を行う運用にしたが、手作業では 多くの工数がかかるため、集中管理できる ID 管理製品を導入 ③ 操作内容やシステムへのログイン、ログオフを集中管理するための統合ログ管理 システムのログを個別に管理していると、点検作業が効率的に実施できないと判断、統合ログ管理製品を導入 上記システムの初期投資費用は、ソフトウェア、ハードウェアおよび設計、導入費用含め約 1 億円、システムの保守・ 運用費用は、年間約 2,000 万円となっています。 B 社の課題 B 社では、上記システムの導入を無事に終え、JSOX 初年度の監査に臨みました。IT 全般統制については、周到な準備と 上記 IT の活用で万全と思われていましたが、実際には以下のような不備を指摘され、改善を行う必要があると判断が下さ れました。 ① 変更モジュールのリリースに関する承認履歴とアカウント発行履歴の矛盾 一部のリリース作業において、ワークフローシステムで承認された日時よりも前にアカウントが発行され作業を開 始していたものがあり、「承認に基づく作業」の原則という統制が必ずしも有効に機能していない。 この原因は緊急でモジュールの修正を行う必要が生じた際、承認者が不在の場合に未承認状態ではあったものの、 事情を説明の上アカウントを発行してもらい、作業を実施したケースがいくつかあったが、その例外処理の記録や 事後承認が行われていない状態であった。 ② 作業開始時に発行されたアカウントの削除し忘れ 作業用に発行されたアカウントの一部に削除し忘れのものがありリスク要因になるため、定期的な棚卸作業を行い、 不要なアカウントの存在の有無を確認することで対処する必要があると指摘された。 ③ ログチェックによる評価の記録の不備 統合ログによって作業内容の妥当性をチェックしていることは説明したが、システム毎に取られるログの内容が異 なり、作業内容の妥当性の説明に多くの時間を取られることになった。加えて誰がいつチェックを行い、問題がな かったかどうかといったチェックを行ったことの記録がないという点について指摘がなされた。 B 社はこれらの不備を修正するために、「承認を得なければアカウント発行できない仕組み」、「アカウント棚卸の定 期的な実施」、「ログのチェックの実施を記録するための新たなデータベースの構築」を行う必要が生じました。しかし、 それぞれ構成される IT ソリューションの連携インターフェイスが共通化されておらず、一部の連携等については人による 手作業を行わざるを得ないことが判明し、根本的な課題解決に向けたアプローチを検討することになりました。
弊社が提案する特権 ID 利用のためのシステム運用のあり方 A 社のケースでは、IT の活用を行わず、運用ルールの変更を主体に、実際の運用はマニュアルで実施しようとしたことに よる人的コストの増加、B 社のケースでは、IT の活用がポイントソリューションであったため、(1)各ソリューション 間のつなぎの部分に人が介在せざるを得ず、その人の管理の不備が結果として、統制上のリスク要因となってしまった(2) 既存の仕組みを変えることなく対応しようとした結果、リスク管理レベルの統一に追加のコストが発生した例として紹介 しました。すなわち、体制面やシステム面での対応を施したにも関わらず結果として必要なレベルのリスク管理に到達し ていない状況にとどまっているといえます。 弊社が様々なお客様との会話を通して学んだことは、多くの企業が同様の課題を抱えていることであり、弊社ではその根 本解決に必要なものとして、特権 ID 利用のリスク対処の手続きである変更の申請・承認から実施結果の確認・レビューま でを統括的にサポートすることのできるソリューションである、という結論に至りました。このソリューションは、以下 の要素で構成されている必要があります。 ① 組織と権限分掌をサポートする承認ワークフロー 企業によって異なる組織と権限分掌の仕組みに対応し、かつ、組織や環境が変化してもその変化に追従可能な柔軟 性のある申請・承認基盤としてのワークフローシステム ② アクセス管理の自動化 ワークフローと連携し、承認済作業に応じて自動的に付与され、利用期限経過後に自動的に削除される ID 管理によ るアクセスコントロール基盤 ③ 人による操作の確実な記録 システム毎のログ内容のばらつきをなくすための操作記録の共通基盤 ④ 作業内容のチェックの自動化 承認された作業内容と実際に行われた作業の突き合わせ予定外の作業の有無を自動的に発見する自動突合機能 ESS AutoAuditor は、特権 ID 利用のリスク対応に必要な上記 4 つの要素を統括し、かつそれぞれの要素が有機的に連携す ることで人的要素の最小化し、システム運用の統制 自動化と効率化を実現するソリューションです。 2 つのケーススタディでの期待される効果 前述したケーススタディで例として示しました製造業 A 社と金融業 B 社のケースで、ESS AutoAuditor によってどのよ うな解決策が導き出せるのかをお示しします。 A 社の場合: ケース① 製造業 A 社においては、10 名程度の増員(年間約 5,000 万円)を行うかわりに ESS AutoAuditor によるシステム運用の 統制基盤を採用することにより、初年度の初期投資として一時 的に 4,000 万円程度の投資が必要ではあるものの、人員増を行 わずに必要な手だてが可能となることにより、結果として 1 年 目に投資回収を実現しつつ、必要とされる作業内容のチェック を自動化することで、人に依存しない均一化された統制レベル を手に入れることができます。 年間 5,000 万円を想定していた人的コスト増と比較し、初期費 用 4,000 万円、運用費用年間 1,000 万円を計上しても、1 年目 で投資回収が見込まれます。 図 2. A 社における TCO 比較シミュレーション 単位:千円 0 50,000 100,000 150,000 200,000 250,000 300,000 1年目 2年目 3年目 4年目 5年目 人員増による対処 ESS AutoAuditorによる対処
B 社の場合: ケース B 金融業 B 社については、今まで別々の IT ソリューシ ョンを導入しながらもプロセス間のつなぎで人が介在するこ とによる統制上の課題があり、これを解決するためには個々の システムのカスタマイズで約 2,000 万円の投資が必要な状況、 さらにこれら不備の修正に関わる監査対応、特にサンプリング による監査には相当の負荷が生じています。現在導入している ワークフローや ID 管理製品など部分的なツールをつなぐため に工数をかけるのではなく、これらを置き換え統合的な機能連 携が行える ESS AutoAuditor を新たに採用した場合、初期投資 として約 5,000 万円が必要ではあるものの、現状利用している 個々のソフトウェアをすべて置きかえることで 保守費用を年間 1,000 万円程度に抑えることができるほか、 監査にかかっていた人的費用(年間約 30 人月)についても、統制の自動化によりサンプリングの手法を行う必要がなくな り、トータルとして 40%程度の TCO が削減できる想定になりました。また同時に必要とされる統制レベルを獲得し、シス テム操作に関わる成熟度の高い統制活動を維持、さらに向上させることが可能になります。 まとめ 冒頭でご紹介した社団法人日本情報システム・ユーザー協会の 2010 年に行われた IT 動向調査では、日本版 SOX 法対策 に関する自己評価について聞いています。その中で明らかになっているのは、今の統制の仕組みの有効性について評価し ている企業が 22%と低い一方で、残課題があり対策を講じる必要があると考えている企業もわずか 5%に過ぎないという 結果になっています。この回答結果は、内部統制の確立が企業価値の向上につながるという基本理念が実際にはそれほど 浸透しておらず、特に IT 部門においては、最低限必要な手立ては行ったものの、効果を客観的に測定し、最終目標とのギ ャップを明確にしたうえで、これからの改善に向けた計画がなされていない傾向であることを示唆させるものと言えます。 弊社ではシステム運用における現状の課題についての具体的な声をもとに、改善のためのソリューションを提供する形 でご支援を行っております。是非、貴社におかれましてもシステム運用の現状をお聞かせいただき、コスト削減と効率化 のお手伝いができればと考えています。 2010 年 12 月 1 日 発行 エンカレッジ・テクノロジ株式会社 〒103-0007 東京都中央区日本橋浜町 3-3-2 トルナーレ日本橋浜町 7F URL : http://www.et-x.jp/ Phone : 03-5623-2622 Fax : 03-3660-5822 * 文中に記載されている会社名、商品・サービス名は、それぞれ各社の商標または登録商標です。 図 3. B 社における TCO 比較シミュレーション 単位:千円 0 50,000 100,000 150,000 200,000 250,000 1年目 2年目 3年目 4年目 5年目 現行ツールの追加カスタマイズ ESS AutoAuditorによる対処
