Home > セキュリティプラットフォーム > 内部統制コラム > PCの操作履歴を基に効果的な内部統制を実現

PCの操作履歴を基に効果的な内部統制を実現 - 1

この記事の掲載誌は、「日経コンピュータ」2007年6月25日号、「日経情報ストラテジー」2007年8月号、「IT pro」(掲載期間:2007年7月5日~8月6日)です。

 内部統制対応では想定されるリスクを洗い出す予防的統制に加え、業務の正当性を証明する発見的統制の取り組みが極めて重要である。このような考えの下、ハミングヘッズではエンドポイント情報漏洩対策・内部統制ソリューション「セキュリティプラットフォーム」を提供。PCの操作履歴を網羅的に記録し、実施した業務の事実を詳細に把握することで、自社業務の正当性を証明し、効率的かつ効果的な内部統制対応を実現する。

予防的統制と発見的統制が可能

 多くの企業では今、日本版SOX法の施行に向けた内部統制対応が急ピッチで進められている。しかし、文書化やRCM(リスク・コントロール・マトリックス)の作成、システム改修などには多大な手間とコストが掛かる。限られた時間の中で、十分な対応策を講じるのは非常に困難だ。その理由として、ハミングヘッズの松澤 大之氏は「不正が発生しないことを証明する予防的統制アプローチに偏りすぎているからではないでしょうか」と指摘する。

 実際の運用では思いがけないリスクが発生する可能性もある。そのため、リスクを予見する対策を前提とした、予防的統制アプローチだけでは全社的な内部統制の仕組みを実現することは難しい。松澤氏は「予防的統制アプローチに加え、自社業務の正当性を証明する発見的統制アプローチを施すことが極めて重要です。内部統制の本来の目的もそこにあるのです」と主張する。

 発見的統制を行うには、第三者から見ても明らかに正当性が証明できる客観的なデータが必要である。「それには業務上使用するPC操作の履歴を網羅的に記録することが有効でしょう」と松澤氏は述べる。

 現在、PCはビジネスの不可欠なツールとなっており、PCの操作履歴は業務の記録とイコールの関係にあるからだ。「網羅的に取得されるPCの操作履歴を活用することで『何をやったのか』を証明する、現実的な内部統制を実現できます」(松澤氏)。それを可能にするのが同社の提供する情報セキュリティ対策・内部統制ソリューション「セキュリティプラットフォーム」(以下、SeP)である。

 SePはWindows環境において「どのPCで」「いつ」「誰が」「何を」「どのように操作したのか」を時系列で網羅的に記録し、実施した業務の事実を詳細に把握することが可能だ。その履歴を検証し、不正につながるような行為が確認できなければ、自社の業務の正当性を証明できる。

 「効果的なモニタリングにより、発見的統制を強化することができるのです」と松澤氏は話す。またPCの操作履歴が網羅的に記録されていることが抑止力になり、暗黙の行動指針を形成する。「社員のモラルの向上が期待でき、予防的統制を強化することもできます」(松澤氏)。

 つまり、発見的統制、予防的統制という双方からのアプローチにより、効果的かつ充実した内部統制対応を実現できるのだ。「これにより、想定されるリスクを軽減。業務処理統制における評価範囲を絞り込むことができ、全社的な内部統制を効率的に構築することが可能になります」と松澤氏は強調する。

SePが実現する内部統制の効果

SePが実現する内部統制の効果

PCの操作履歴を網羅的に把握することで業務の正当性を証明する。これにより、発見的統制を実現している。さらに記録されていることが抑止力となり、社員のモラルの向上にも貢献。予防的統制も可能になり、より効果的な内部統制対応が実践できる。