インベントリやログからの月次監査報告が 内部統制コストを軽減

インベントリやログからの月次監査報告が
内部統制コストを軽減
クオリティ株式会社
常務取締役 グローバルマーケティング本部長
飯島 邦夫
目次
ƒ クオリティ株式会社のご紹介
ƒ 監査法人における、IT統制に関わる項目
IT統制の工数とコストは削減できる！
ƒ IT統制による制限と承認による許可
IT統制は、業務の邪魔にならずに実現できる！
ƒ IT統制月次監査レポートと是正アクション
これならPDCAサイクルがきちんと回る！
ƒ 導入効果シミュレータのご案内
2
クオリティ株式会社のご紹介
• 設立日 ： 1984年2月24日
• IT資産管理ソフトウェア「QND Plus」を1998年にリリース
QualitySoft
Corporation,
Seoul
QualitySoft
Corporation,
Shanghai
(闊利達軟件（上海）有限公司)
QualitySoft
Corporation,
Seattle
クオリティ東京本社
大阪支店
名古屋支店
株式会社エスアールアイ
(和歌山)
3
監査法人における
IT統制に関わる項目
監査の範囲、ご存知ですか
会計士、監査法人が企業のITの利用情報を把握する際に、
基本的なガイドラインにしているチャート
全領域を監査法人任せにしてい
ることが、監査コスト増大の最大
の要因
監査業務には、企業側でも低負担で
確実に行える領域があります!!
監査のガイドラインを
理解し、必要なところ
はコストをかけずに自
社で行う方法があり
ます
IT3号：ITのコントロール目標と経営者の主張の関係（日本公認会計士協会）
5
監査法人は、これを見ている
監査法人が現在、監査を行う際にガイドラインにしている考え方
正式名称（日本公認会計士協会 ）
会計士、監査法人での通称
監査法人、会計士の間の
「財務諸表監査における情報技術
(IT)を利用した情報システムに関する 通称は、「IT3号」
重要な虚偽表示リスクの評価及び評 ※先文書が、日本公認会計士協会
価したリスクに対応する監査人の手続 IT委員会からリースされた、IT委
について」
員会報告第3号のため
「IT3号」は、監査人の会計監査を中心としたITを利用した内部統制のリスク評価の考え方と
手続を中心に整理されており、内部監査人や会計監査人が実施していくうえでの手引書として
利用するのに適している。
6
ガイドラインからわかる企業の義務①
つまり、
具体的にはこれが重要!!
IT3号：統制環境の具体的な理解ポイント（日本公認会計士協会）
不正アクセス防止法対策
脆弱性監査によるハッキング、ウィルス混入防止
著作権法対策
禁止ソフト制御強化による著作権違反対策
個人情報保護法対策
脆弱性監査による個人情報漏洩対策
新会社法対策
金融商品取引法
7
内部統制システム構築
ガイドラインからわかる企業の義務②
つまり、
これが重要!!
個人情報の管理体制強化、社員の意識レベルアップ
つまり、
これが重要!!
ID・パスワード管理、脆弱性監査が重要
8
監査費用は、こんなに増加中
2008年4月～
～2008年3月
上場企業の監査費用の平均額
上場企業の監査費用の平均額
年間
平均2億2,400万円
毎月平均 平均1,900万円
年間
毎月平均
年間
平均2億9,200万円
平均2,400万円
約7,000万円上昇
内部統制監査業務の増加によって
監査法人への年間支払額が約3割上昇し、
収益を確実に圧迫中
9
山積みの課題
• PC台数管理
• 使用状況の把握
監査コスト
増大
• ログ取得
• 危険ソフトウェアの
起動阻止
• 機密情報の持ち出し阻止
ƒ アンチウイルスソフト
導入徹底
ƒ セキュリティパッチ
適用
• ポリシ適用状況管理
• ネットワークからの
危険PC排除
• ソフトウェア
ライセンス管理
様々な統制義務と、監査コストの増大で、
クライアントPC管理業務は大変な状況です。
10
そこで「自動化」！
重い
自動化！
• PC台数管理
• 使用状況の把握
• ログ取得
自動化！ ƒ アンチウイルスソフト
導入徹底
ƒ セキュリティパッチ
適用
自動化！
自動化！ • ポリシ適用状況管理
• ネットワークからの
危険PC排除
自動化！
• 危険ソフトウェアの
起動阻止
• 機密情報の持ち出し阻止
自動化！
• ソフトウェア
ライセンス管理
管理自動化ツールの導入で
IT統制を実現、監査工数を削減!!
11
監査
コス
ト
管理自動化ツール導入による監査コスト削減
監査法人と会計士が、
内部統制を監査する際に、
基本的なスタンスにしているチャート
自動化ツールで信
頼性のある管理を
すれば、
監査の必要な範囲
が狭まる＝コスト削
減につながります!!
この分野に
作業を集約
IT3号：ITのコントロール目標と経営者の主張の関係（日本公認会計士協会）
12
管理自動化ツールとは？ - QAW/QND Plus
2000年問題やNimda騒動からUSBウイルス対策まで、
時節に応じた課題に対応してきた信頼のIT資産管理ツール
3300社、312万ライセンスの導入実績
IT資産
管理機能
13
起動制御や
ネットワーク検疫などの
IT統制機能
QAW/QND Plusのしくみ
タスクにスケジュールを設定して、クライアントPC管
理に必要な色々な作業を自動化できます。
例
セキュリティポリシに合致しているか調査する
阻止する
を
動
起
の
ア
する
ウェ
ト
フ
ソ
ル
た
し
止
トー
あらかじめ禁
ス
イン
を
フト
ソ
ルス
イ
チウ
ン
ア
14
管理者
QAW/QND Plusの共通主要機能
インベントリ収集
ソフトウエアのインストール情報の収集/
ハードウエアの構成情報の収集 etc
各種台帳作成
クライアントPCより取得したインベントリ
情報を元に台帳を作成
ソフトウェア遠隔自動インストール
ファイル配信
アプリケーションのバージョンアップ/ウイル
ス定義ファイルやセキュリティパッチの更新
クライアントPC構成維持・管理
リモートコントロール
インテル® vPro™テクノロジー対応
レジストリ/INIファイル設定・変更/脆弱性
監査
クライアントPCの遠隔操作により、管理者
の作業工数を削減します
クライアントPCの電源管理（オン/オフ）、
HW障害対応、セキュリティポリシ違反PC
の遮断
初期展開・管理除外の自動化
クライアントPCの電力管理による
電気代削減
クライアントPCの導入・ポリシ設定から管
理除外までのライフサイクルマネジメント
の自動化
グリーンITプラグイン （QPM）
幅広く対応できる動作環境
国際化対応
15
クライアント、コンソールともに最新の環境に対応
日本語・英語・中国語（簡体字）に対応
Ver.3.5 SP1
NEW
QAW限定機能
ソフトウェア利用制限
アプリケーション利用状況把握
不適切なソフトウェアの起動を禁止/使用
禁止ソフトウェアのインストール制限
クライアントPCごとにソフトウェアの使用時
間を測定
ネットワーク遮断
定期ポリシチェック・是正・抑止
クライアントモジュールがインストールされな
いPCのネットワークからの遮断
ポリシチェックとポリシに合致しないPCの
是正・利用抑止
16
オプション機能の組合せ
17
QAW/QND PlusでできるIT統制コスト削減例
監査＋是正の所要時間
ツールで自動化
手作業
禁止ソフトウェア監査
1.25時間
監査(10分/台)＋是正(10分/台)
セキュリティパッチ適用の監査
1時間
監査(5分/台)＋是正(5分/台)
ウイルス対策ソフト
更新状況の監査
0.5時間
監査(5分/台)＋是正(5分/台)
スクリーンセーバパスワード
脆弱性の監査
0時間
監査(5分/台)＋是正(1分/台)
ハードディスクパスワード
脆弱性の監査
0.25時間
監査(10分/台)＋是正(1分/台)
18
IT統制による制限と
承認による許可
IT統制と業務の両立
IT統制に不可欠な、
「ログ監視」「ファイル書き出し制御」「個人情報・機密情報ファイル探査」・・・
個人情報漏えい
機密情報漏えい
ルール違反の増加
法令違反
業務に支障
対策
しないと
・・・
対策
しても・・・
社員から苦情
管理工数の増加
社会的信用の低下
「適切な統制」と「業務の効率化」は、両立が難しいと思っていませんか
20
ツール利用による理想的な統制
「ログ監視」「ファイル書き出し制御」「個人情報・機密情報ファイル探査」など、
IT統制に必要な作業はツールで自動化ができます
個人情報の保護
機密情報の保護
ルールの遵守
法令の遵守
業務の効率化
きちんと
対策
こちらも
両立
管理コスト削減
管理工数削減
社会的信用アップ
大事なのは「統制ツールの活用」「無理のない社内ポリシ」
21
IT統制で制限すべき行為(例)
退職予定者による操作
1.
2.
3.
4.
ファイルの書き出し
メールへファイル添付
５頁以上の印刷
FTPによるファイル転送
重要システム操作
1. 時間外のシステム利用
2. 登録者外のシステム利用
重要情報・個人情報ファイルへの操作
派遣社員や外注社員による操作
1.
2.
3.
4.
ファイルの書き出し
メールへファイル添付
５頁以上の印刷
FTPによるファイル転送
1.
2.
3.
4.
5.
6.
7.
対象ファイルの外部記憶媒体書き出し
対象ファイルのローカルディスク保存
対象ファイルの印刷
対象ファイルのアクセス
対象ファイルのリネーム
メールへ対象ファイル添付
FTPによる対象ファイルアップロード
このようなリスクの高い行為に対しては、
① 操作を行わせない環境をつくる
② 利用者本人と管理者に対し即座にアラート
22
リスクの高い行為を制限するには
ƒ IT統制自動化ツールの運用が鍵になります
操作を行わせない環境をつくる
利用者本人と管理者に対し即座にアラート
• 承認USBメモリへの常時書き出し機能
• CD-R/DVD-Rなどへの一時書き出し許可機能
• プリンタやキーボード、認証デバイス、マウス等の
USBデバイスの使用は可能
• QND/QAWを使ったeX WPの自動インストール
可能
• 一度インストールしたeX WPのアンインストール禁
止機能
• ユーザが行った操作を13種類のログデータとして収
集
• ポリシの設定とポリシ違反行為に対するアラート表
示
• グループを作成し、ログの取得条件を個別設定
• 条件指定、またはファイル名をキーとした快適な検索
が可能
• 操作ログデータはCSV出力により、他システムとの
連携が可能
• 管理コンソールの個別アクセス権設定
23
承認による許可
USBメモリなど外部記憶媒体へのファイルの書き出しを一切禁止する。
PCから外部へのファイル書き出しは原則禁止とする。
業務上外部へファイルを渡す必要がある場合は、
下記手順にしたがい、書き出し対象ファイルを特定し
申請を行うこと。
上長承認を受けた後に会社が認める暗号機能付き
USBメモリを利用して書き出しを行うこと。
書き出し終了後に書き出し報告書を提出すること。
24
承認による許可 – データ書き出し制御ツールeX WP
PCからUSBメモリなど、外部メディアへのデータ書き出しを防止するツールです。
QAW/QND Plusと連携することにより、一時的なデータ書き出しの許可や、
指定書き出しUSBメモリを設定できるので、堅牢かつフレキシブルな情報漏え
い対策が可能です。
許可されていない記憶メディアへの書き出しは制
限されます。
コピー不可
使用可
記憶装置を持たないUSB機器は使用できます。
推奨USBメモリ
使用可
25
管理者がeX WPで許可した指定USB
メモリであれば、データ書き出しができます。
承認による許可 – 業務上の一時書き出しを許可
書き出したいファイルを
選んで申請提出
26
承認者による承認
運用担当者より
解除キー受け渡し
承認による許可 – 書き出し終了報告
運用担当者より
報告書提出要請
報告書提出
運用担当者が
操作ログを確認
承認者へ報告され
照査
ログ取得ツール
QOH
27
ログ取得ツールQOH
QOHは、クライアントPC上で操作した最大11種類の情報を履歴として収集す
るクライアント操作ログ取得ツールです。情報漏えい事故など万が一の際の適
切な処置や、ユーザへの社内アナウンスによる抑止効果を期待できます。
管理者のログも
取得
QOHサーバ
条件設定でログデータから
個人を特定
複数ログにまたがって時系列に
ユーザの操作を追跡
管理者コンソール
ログDB
11種類のクライアント操作ログを収集
ポリシ違反操作があれば
管理者とユーザにアラート
ユーザがQOHクライアントサービスに
変更を加えても修復可能
操作ログ
操作ログ
28
操作ログ
ログ取得ツールによる警告
不正操作を監視、操作直後に利用者PCに警告メッセージ
同時に管理者PCにも警告不正操作の発生を直後に通知
通知
警告！
不正な操作
29
IT統制月次監査レポートと
是正アクション
クオリティの統制サイクル(社内事例)
監査
(データ収集、レポート作成)
是正勧告
(違反者やPC管理者へ連絡)
• 禁止ソフトウェアの監査
• セキュリティパッチ適用の監査
• ウイルス対策ソフト更新状況の監査
• スクリーンセーバパスワード脆弱性の監査
• ハードディスクパスワード脆弱性の監査
など
是正
(違反者、PC管理者による是正)
確認
(データ収集、是正確認)
31
禁止ソフトウェアの監査を例に
具体的な統制サイクルを見てみましょう
禁止ソフトウェア導入状況の監査(例)
場合によっては
管理者側で強制的に是正
•遠隔アンインストール
•リモートコントロール
•ソフトウェア起動制御
ソフトウェア
インベントリ収集
IT資産管理ツール
QAW/
QND Plus
32
レポート
作成
違反者へ
是正指示
レポーティングツール
eX Report
QAW限定機能
是正結果確認のため
再度インベントリ収集
IT資産管理ツール
QAW/
QND Plus
レポーティングツール eX Report
eX Reportは、QAW/QND Plusで取得したPC情報や、QOHのログデー
タ、eX PDSの機密情報/個人情報保有データなどを可視化するツールです。
レポーティングツール
IT資産管理ツール
クライアントPC
QAW/QND Plus
eX Report
Webブラウザで
閲覧
データ
連携
操作ログ取得ツール
QOH
インベントリ情報
各種操作ログ
個人情報・機密情報
個人情報探査ツール
eX PDS
PDFも生成可能
33
監査方法① – インベントリ収集と報告
9QAW/QND・・・ソフトウェアインベントリ収集
9eX Report・・・禁止ソフトウェア導入状況レポート作成
34
監査方法② - 違反者へ是正指示・結果確認
9是正メールによりアンインストール指示
9 ソフトウェアインベントリ画面による確認
35
インベントリ収集のタイミングと設定
‹ 毎日の初回ネットワーク接続時
‹ スケジュール設定により自動収集
36
監査報告と是正
• 報告書類作成
「月次セキュリティ報告書」
「月別リスク点数推移表」
• 社内運用定例報告会
社内運用定例報告会の開催。
社長を含むセキュリティ委員会メンバー
へ報告
• セキュリティ委員会からの是正
セキュリティ委員会から使用者本人へ
警告
ルール違反行為の公開
必要に応じて人事委員会などへ提言、
罰則を検討
37
セキュリティ統制の効果
1．セキュリティ統制のPDCAが回り始める
PCのセキュリティ状態を定量的に把握することによって、PC利用におけるポリシや
対処を具体的に見直し、組織の実情にあった対策プランを計画することができる。
2．PC利用者の意識向上させる
PCのセキュリティ状態をモニタリングしていることを組織内に周知するこ
とで、PC利用者のセキュリティ意識を向上させることができる。
3．基礎的なセキュリティ統制活動の浸透
PCのセキュリティ状態を把握していることで、実態を組織内の責
任者と当事者に周知し、確実な是正を行うことができる。
38
監査報酬のコストカットシミュレータ紹介
導入効果シミュレータのご紹介
導入効果が測れる各種シミュレータをWebで公開中!!
手作業/自動化の場合の
管理コストを比較できる
コストカット
シミュレータ
40
PC電源管理による
電気代削減効果を測定
クオリティ
検索
監査の自動化による
コスト削減効果を測定
内部統制
省エネ
コストセーブ
シミュレータ
シミュレータ
コストカット事例
実績があるからご紹介できる、多くの導入事例
•750台のPCにQAW導入、初年度だけでも3000万
超のコスト削減、4年間では削減額2億円超
•WordとExcelしか使っていないPCを特定し、Microsoft
Office ProfessionalをPersonal版に買い換えて
300万円削減
•システム管理者がたった2名でも、
電力消費量25%削減を達成
41
まとめ
このように、IT統制のコスト・工数削減は、
QAW/QND Plusをはじめとした
管理自動化ツールによって
無理なく実現できます。
42
製品導入に関するお問い合わせ
0120-359-217
平日9:00～18:00まで
http://www.quality.co.jp
[email protected]
無断転載を禁じます。
43