連載
セキュリティツールで作る内部統制(9)


プログラム変更はIT全般統制のもう1つの鍵

中島 浩光

2007/4/2

前のページ1 2 3第10回

ITILは非常に参考になるが十分ではない

 ここまでお読みになってお気付きの方もいらっしゃると思いますが、プログラム変更で求められることはITIL(IT Infrastructure Library)の変更管理・リリース管理と大きく重なります。

 そもそもITILが「IT運用のベストプラクティス」であると位置付けられているため、その変更管理・リリース管理のプロセスは非常によくできており、前述したポイントの中でも変更管理手続きの明確化や承認プロセスなどについては、そのまま適用することにより重要なポイントを押さえることができます。

変更管理プロセス(例)
リリース管理プロセス(例)

 しかしながら、「財務報告の正確性・信頼性の保証」という観点から考えると、権限分離の考え方や、作業者の不正やミスへの対策において、弱い部分があります。

- PR -

 従って、ITILの変更管理・リリース管理のプロセスをベースに、前述した必要な統制活動を追加するといったアプローチが有効であると考えられます。そういった追加のポイントとしては、変更(リリース)作業時におけるアクセス管理・監査証跡取得や、プログラムファイルに対する変更履歴の取得といったものがあります。

 さて、次回最終回は「コンピュータ運用」について説明するとともに、これまでのまとめとして、IT全般統制に対しての全体アプローチを考察していきたいと思います。

「日本版SOX法&コンプライアンス」コーナーTOPへ

筆者プロフィール
中島 浩光 (なかじま ひろみつ)
日本CA株式会社 カスタマーソリューションアーキテクト
1993年、アンダーセン・コンサルティング(現アクセンチュア)入社。同社の技術グループにおいて、幅広い業種のITプランニング、SI全般、運用、情報セキュリティ、プロジェクト管理などを経験。2000年ころから情報セキュリティを中心に活動。
2005年1月にCAに入社、2006年6月より現職。現在、セキュリティ製品を中心に顧客へのソリューション提案、アセスメントの実施、セミナーでの講演などを行う。
東京工業大学理工学研究科経営工学修士課程修了
■要約■
日本版SOX法における「プログラム変更」とは、プログラムファイル自体や設定、基盤などの変更を本番環境で行うプロセスのことを指す。プログラムを変更することは、システムの完全性を直接的に損なうリスクも高いため、IT全般統制の中でも重要な統制活動とされている。

正しいプログラム変更における統制活動とは、「業務上、変更が必要である」「変更内容が明確である」「変更内容によって目的が達成される」「変更作業が確実に行われる」「変更作業に不正がない」といった要素が必要となる。

プログラム変更で求められることはITILの変更管理・リリース管理と大きく重なる。しかし、「財務報告の正確性・信頼性の保証」という観点から考えると、権限分離の考え方や作業者の不正やミス対策において弱い部分がある。従って、ITILの変更管理・リリース管理のプロセスをベースに、前述した必要な統制活動を追加するといったアプローチが有効だ。
記事の先頭<Page1>に戻る

前のページ1 2 3第10回

プログラム変更はIT全般統制のもう1つの鍵
  Page 1
「プログラム変更」が重要な理由
  Page2
「正しい」プログラム変更における統制活動
→ Page3
ITILは非常に参考になるが十分ではない



ホワイトペーパーTechTargetジャパン

IT戦略 新着記事
@IT情報マネジメント メールマガジン 情報マネージャのための情報源(無料)

@IT情報マネジメント 新着記事

この記事に対するご意見をお寄せください managemail@atmarkit.co.jp

キャリアアップ

@IT Sepcial
→ @IT情報マネジメント Special ヘ

イベントカレンダー

PickUpイベント

- PR -
もっと見る

TechTargetジャパン

@IT Sepcial
→ @IT情報マネジメント Special ヘ
ソリューションFLASH

求人情報