@IT情報マネジメント会議室は、2009年4月15日に新システムに移行しました。
新たに書き込みを行う場合には、新しい会議室をご利用ください。
- PR -

Windowsの自動更新は内部統制上問題になるか?

参照元記事 | 同じ記事を参照しているスレッド一覧
1
投票結果総投票数:28
問題あり 3 10.71%
問題なし 25 89.29%
  • 投票は恣意的に行われます。統計的な調査と異なり、投票データの正確性や標本の代表性は保証されません。
  • 投票結果の正当性や公平性について、@ITは一切保証も関与もいたしません。
投稿者投稿内容
ハニワ祭り
大ベテラン
会議室デビュー日: 2005/11/15
投稿数: 115
投稿日時: 2007-04-02 22:55
日本版SOX法で求められるIT全般統制の中の、
「正しい」プログラム変更における統制活動について

@ITの記事より
-------------------------------------------------------------
プログラム変更における「正しさ」には、以下のような要素があります。

・業務上、変更が必要である
・変更内容が明確である
・変更内容によって目的が達成される
・変更作業が確実に行われる
・変更作業に不正がない
--------------------------------------------------------------

上記のことが求められるようですが、
やはりその場合、Windowsの自動更新機能は問題になるのでしょうか?


変更が必要であるかどうかを判断する必要があるといった時点で
もはや企業内では原則として禁止するしかない気がしますが・・・

また、一見するとサーバー側の問題のように思えますが、
企業内にはC/S型システムのように、クライアント側の環境にも
プログラムの正しさが求められるケースもあるかと思います。

皆さんはいががお考えでしょうか?
よろしければ、ご意見をお聞かせください。
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2007-04-03 00:31
引用:

変更が必要であるかどうかを判断する必要があるといった時点で
もはや企業内では原則として禁止するしかない気がしますが・・・


そこまで気にするのであれば、WSUS 等で管理者が更新を管理するでしょう。
はにまる
ぬし
会議室デビュー日: 2003/12/19
投稿数: 969
お住まい・勤務地: 誤字脱字の国
投稿日時: 2007-04-03 01:21
そんな細かい話まで内部統制の管理対象にしていたら、回らなくなりますよ...。
dodo
ベテラン
会議室デビュー日: 2004/05/12
投稿数: 99
お住まい・勤務地: 東京都渋谷区
投稿日時: 2007-04-03 01:25
引用:

ハニワ祭りさんの書き込み (2007-04-02 22:55) より:
(前略)
変更が必要であるかどうかを判断する必要があるといった時点で
もはや企業内では原則として禁止するしかない気がしますが・・・
(後略)


アンチウィルスソフトの自動更新機能はどうなるんですかね?
パターンファイルだけじゃなくて、エンジンやプログラム本体も更新しているものがありますが、
それも自動更新を禁止して、管理者が判断しないといけないのでしょうか?
まいるどきゃっと
大ベテラン
会議室デビュー日: 2004/08/12
投稿数: 135
お住まい・勤務地: 群馬
投稿日時: 2007-04-03 06:25
参照元記事の最初に書いてありますが、日本版SOX法対応における内部統制の目的は、財務報告の正確性・信頼性の確保なんです。
OSのパッチが財務報告の正確性・信頼性に影響するとはちょっと考えにくいです。

また、この記事における「プログラム」というのは、やはり最初のほうに「プログラム(業務システム)」と書いてある通り、業務システムのことなんです。

その辺を踏まえてもう一度記事を読み直してみれば、OSのパッチを管理対象にすべきか分かってくると思います。
wojisan
大ベテラン
会議室デビュー日: 2006/08/02
投稿数: 149
投稿日時: 2007-04-03 08:55
基本的には問題なしですが、
重要なサーバーでは
アップデートを実施することによりOSに依存した部分で不都合が出ないかを検証してからアップデートする、でしょうね。

*検証用のサーバーをどう用意するんだと言う事が問題だが。
unibon
ぬし
会議室デビュー日: 2002/08/22
投稿数: 1532
お住まい・勤務地: 美人谷        良回答(20pt)
投稿日時: 2007-04-03 09:43
引用:

ハニワ祭りさんの書き込み (2007-04-02 22:55) より:
変更が必要であるかどうかを判断する必要があるといった時点で
もはや企業内では原則として禁止するしかない気がしますが・・・

Windows の自動更新をしたらアプリケーションが動かなくなった、ということも聞きますし、厳密にとらえれば、やはり、おっしゃるように「禁止」にすべきだと思います。

引用:

ハニワ祭りさんの書き込み (2007-04-02 22:55) より:
@ITの記事より
-------------------------------------------------------------
プログラム変更における「正しさ」には、以下のような要素があります。

・業務上、変更が必要である
・変更内容が明確である
・変更内容によって目的が達成される
・変更作業が確実に行われる
・変更作業に不正がない
--------------------------------------------------------------

上記の「変更」を「パッチを当てない」に置きかえると(そして若干、言葉のつながりを修正)つぎのようになります。

Windows にパッチを当てない「正しさ」には、以下のような要素があります。

・業務上、パッチを当てないことが必要である
・パッチを当てないことで起こるかもしれない不具合内容が明確である
・パッチを当てないことによって目的が達成される
・パッチを当てないことが確実に行われる
・パッチを当てないことで不正が発生しない

プログラムを変更"しない"ことがデフォルトであり、Windows を自動更新"する"ことがデフォルトである、と考えれば良いのかもしれません。

#あとで、細かい個所を修正しました。

--
unibon {B73D0144-CD2A-11DA-8E06-0050DA15BC86}


[ メッセージ編集済み 編集者: unibon 編集日時 2007-04-03 09:45 ]
1

スキルアップ/キャリアアップ(JOB@IT)