内部統制におけるコンピュータの運用とEUC：セキュリティツールで作る内部統制（10）（1/3 ページ）

　　・対象領域についての全体方針の存在

　　例）セキュリティポリシー、開発方法論・標準

　　・業務・手続きの明確化、文書化とその実行

　　例）マニュアルの整備、監査証跡の取得

　　・業務要件／アプリケーション要件との整合性

　　例）役割ベースのアクセス制御、プログラム開発や変更管理におけるユーザー承認

　　・モニタリングの実施

　　例）セキュリティのモニタリング、開発における導入後レビュー、変更作業のレビュー

　コンピュータ運用においても、これらのポイントは同じなのですが、単にコンピュータ運用といってもさまざまな業務があるため、どの業務においてこれらのポイントがかかわっているのかを解説していきます。

最初は全体方針を決めよう

　日本版SOX法対応を含む内部統制の共通項として、トップダウンであることが挙げられます。コンピュータの運用、つまりシステムの運用管理においても同様であり、システム運用管理についての全体方針が必要となります。では、どのような点に留意すればよいのでしょうか？

　まず、システム運用の方針と企業のビジネス目標との整合性を取ることが必要になります。つまり、その企業のビジネスを運営していくために必要十分なシステムであり、ビジネスを支えるものでなくてはいけない、ということです。

　システム運用の要件といい換えても構いません。分かりやすい例でいえば、「24時間365日動かさなくてはいけないのか、それともそうではないのか」、あるいは「システム障害が発生したときに、どのくらいの時間のシステム停止が許されるのか」といったものがあります。

　そのほかには、「運用管理の主体を誰が行うのか？」といった人的資源の面や、システム運用業務プロセスの標準化、場合によっては「標準ソフトウェアの指定」といった、もう少し踏み込んだレベルの場合もあります。

　これらのシステム運用全体にかかわる要件に対し、「基本的な方向性としてどのように対応していくのか？」を全体方針として策定しておくとよいと思います。

システム運用管理作業の定義と実行

　業務プロセスとして、システムの運用管理プロセスを定義し、それに従った業務の実行・監査証跡の取得を行うことが、次のポイントとなります。システムの運用管理作業と一口にいっても、実際にはさまざまなプロセスがありますが、比較的アプリケーション側に近いプロセスと、基盤側に近いプロセスに分けられます。

　アプリケーション側に近いプロセスには、ジョブ管理（スケジュール管理）、データ管理、セキュリティ管理のアプリケーション部分、監視などがあります。これらのプロセスは、ビジネス要件や業務システム要件・機能などと密接にかかわっており、各業務システムによってその実施方法が異なる場合が多いのです。

　これらのプロセスは場合によっては、アプリケーション統制の一部として定義されることもあります（例：業務アプリケーションが持つアクセス管理機能など）。これらの業務においては、ビジネス要件に従ったシステム運用管理プロセスを定義する必要があります。そして、それに従ってプロセスを実行し、その監査証跡を取得することが重要になります。

　また、データ管理は、財務情報を含むデータの完全性と非常に密接にかかわってきます。財務システムにおいてディスク障害などが起こった場合、財務情報データが復旧できなくてはその完全性を保証することができないため、バックアップをきちんと取っておくことが必要です。また、バックアップされたデータが確実にリストア可能であることもテストしておく必要があります。