日本版SOX法に必要なセキュリティポリシーとは？

中島 浩光

2006/11/2

第6回｜1　2　3｜次のページ

　これまでシステムセキュリティ保証ということで、アイデンティティ管理やアクセス管理、監査／監視というテーマで解説をしてきました。これらのセキュリティ対策は、当然日本版SOX法対応におけるIT内部統制の構築を行うのにとても重要になります。

　では、日本版SOX法対応において、それ以外のセキュリティ対策は重要でないかというと、もちろんそうではなくて、それ以外の部分もきちんと対策を行っていく必要があります。今回は、日本版SOX法対応で必要になってくる「それ以外」の部分について解説します。

セキュリティポリシーは必須

　最初にセキュリティポリシーについてですが、これはIT内部統制の構築において非常に重要な位置を占めています。日本版SOX法における内部統制は財務報告にかかわるシステムを対象としており、個別システムでのセキュリティ実装が重要視されるため、全社的なシステムを対象としているセキュリティポリシーとの関係は薄く見えます。

　しかし、セキュリティポリシーはそれら個別システムのセキュリティ実装のベースとなるものであり、組織体制を含めたセキュリティ運用のベースである必要があります。

　また、内部統制の監査においては、各種の統制活動を次の3つのポイントからチェックします。1. 設計（Design）、2. 実装（Implementation）、3. 運用（Operation）で、それぞれ以下の点を監査します。

1. 設計（Design）＝統制活動が文書化され、承認されている
   
   
2. 実装（Implementation）＝実際のシステムが設計どおりに実装・設定されている
   
   
3. 運用（Operation）＝対象の期間内できちんと運用されている（監査ログの取得）

　セキュリティポリシーは、この3つの中では「1. 設計（Design）」の段階にあります。セキュリティ対策における根本的な方針を示すべき文書であり、個別システムの設計・実装・運用のみならず企業内のさまざまな個所に影響があると考えられるため、非常に重要です。

　そのため、セキュリティポリシーの有無や、記述内容に不整合や不明確な点がないか、経営陣によって承認されているか、社内に周知されているか、といった点は監査においてチェックされると考えてよいでしょう。

　また、セキュリティポリシーの下位文書として「セキュリティ標準／ガイドライン」といった文書が存在しているかどうかも、重要なポイントになります。セキュリティポリシーが情報セキュリティの構築・運用における全体的な概要を示しているのに対して、セキュリティ標準はもう少し詳しく、さまざまな個所で取るべき対策について記述したものとなります。従って、個別システムを含むセキュリティ対策の設計図のベースラインとなります。

　各システムにおいて、個別にリスク分析やセキュリティ対策、製品の選定、さらにその文書化を行っても構わないのですが、その場合、各システムでセキュリティ対策にばらつきが出てしまうことが多く、システム全体としてのセキュリティレベルの確保や、設計（文書化）・実装工数や監査工数の増加などの問題が発生します。そのため、社内的に標準となる文書を定め、それに従った対策を行っていくことで、これらの問題を解決することができるのです。

　さらに、セキュリティ標準／ガイドラインについては定期的に見直すことも重要です。いわゆるPDCAサイクルですが、「セキュリティを攻撃する技術」も日々進化しているため、ある時点で策定したセキュリティポリシーは時間がたつにつれて十分なものでなくなっている可能性があります。そのため、定期的な見直しによりメンテナンスしなければなりません。

第6回｜1　2　3｜次のページ

	Page 1 セキュリティポリシーは必須
	Page2 外部から本番環境を守ることも大切 外部委託におけるセキュリティ管理とは
	Page3 外部委託業務におけるSAS70（もしくは18号監査）の利用について

＠IT情報マネジメント メールマガジン　情報マネージャのための情報源（無料）

情報マネージャのための「今日のひと言」 - 2010/3/19 『仕事の順序』　仕事の順序を決めるに当たっては「緊急性と重要性」が2大要素です。仕事ではつい目先の緊急課題が気になりますが、実は…… >>続きはクリック