内部統制で有用なログの活用術:SOX法コンサルタントの憂い(13)(1/3 ページ)
日本版SOX法対応監査が最終段階に迫っているいま、内部統制対応の強化に取り組む企業は多い。その内部統制対策に、従来セキュリティなどで用いられることの多かった“ログ”が非常に有効だ。今回は、内部統制におけるログの活用方法について説明する。
内部統制は、日本版SOX法によって「財務報告の信頼性を担保するために、その有効性を評価すること」が義務付けられています。また、会社法による規定によって、企業組織のさまざまな部門で内部統制の整備が求められています。
一方、ITの障害・事故対応時や、監査証跡のために使われる“ログ”は、内部統制の手段としても極めて有用です。今回は「内部統制におけるログの活用」について、まとめてみました。
そもそも、内部統制とは?
そもそも、内部統制(Internal Control)とは、組織の「業務の適正を確保するための体制(システム)」のことをいいます。
内部統制はもともと会計上の、あるいは経営上の概念であることから、日本の法律・判例において「内部統制」という言葉が登場したのは、比較的最近のことでした。すなわち、2000年(平成12年)9月20日に大阪地方裁判所が、いわゆる「大和銀行事件」に関して下した判決が初出だといわれています。
現在使われている法律用語としての内部統制は、大きく分けて、「大和銀行事件の判例」に端を発し、会社法が規定する「業務の適正を確保するための体制」と、金融商品取引法の「財務報告の信頼性を担保するために行われるチェック機能の評価(日本版SOX法)」の2種類があります。
内部統制の具体的な意味
平たくいえば、内部統制は「組織の業務プロセスに組み込まれたチェック機能」と表すことができます。
例えば、「入力内容と証憑(しょうひょう)の数字が合っているかを照合する」「伝票は上司が承認する」とか、「経理部門では、毎月の売り上げが統計的な傾向に乖離(かいり)していないかを分析し、役員会で報告する」などの統制活動。また、「社内規則などが整備されている」や「取締役会は定期的に行われている」といった統制環境を含みます。
内部統制のフレームワークを発表した米COSO(トレッドウェイ委員会組織委員会:the Committee of Sponsoring Organization of the Treadway Commission)は、内部統制の目的に、「業務の有効性と効率性」「法規などへのコンプライアンス」「財務報告の信頼性」の3つを挙げています。
ではログとは何だろうか?
これに対し、「ログ」とは何でしょうか?
その語源は「昔、船の速度を測るために、木片(log)を結んで海に投げ、それを測定して記録した」ところからきています。この結び目が「ノット」で、船の速度の指標となり、この記録をログと呼びました。その後、航海日誌がログと呼ばれるようになり、このことから、コンピュータの動作記録を「ログ」と呼ぶようになりました。
通常「システムログの取得機能」は、ERPなどの統合的システムパッケージには組み込まれていますが、手作りのシステムには自分で組み込む必要があります。
「ログの機能」としては、「変更などが入力されたよ、という記録」を手掛かりにして、システムトラブルの回復を図ったり、組織的な内部統制に活用したり、広く業務監査に応用したりすることが挙げられます。
「ログの種類」としては、大別すると「OSに対するもの」と、「アプリケーションに対するもの」があります。また、その取得の目的別では、「主にトラブル時に問題が起こった経緯を追跡するためのもの」と、「セキュリティやデータの完全性を担保するため」に取る、アクセス、データの変換・取り消し、新規データ発生などの記録があります。
しかし、「やみくもにたくさんのログを取ればよい」というわけではありません。ログをたくさん取るとシステムが重くなってしまうので、バランス感覚が必要です。通常は、上記で挙げた程度のログを取ります。また、ソフトウェア更新のログも取るし、自社で開発したアプリケーションなら、テスト環境から本番環境に移したときにも取ります。
よくある問題としては、「ログは取ってあるが、内容がよく分からない」という点が挙げられます。
その場合は、変更個所の内容を見るためのソフトを作らなければなりません。一般的に取っているログは、「日、時間、誰が、どこを変えた」です。内容として、「どう変えた」かは、そのログを精査してみないと分かりませんが、その変更内容まで常時取るかどうかは、コストとベネフィットのバランスの問題でしょう。
近年セキュリティ管理が厳しく問われている状況から、例えば「不正なアクセスを瞬時に警告する」といった、ログ管理システムも市販されています。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。