高橋可祝
Kashuku Takahashi
IBM ビジネスコンサルティング サービス
ITガバナンス ソリューション・コンサルティング
シニア・マネージング・コンサルタント

コンプライアンス(法令順守)とは、日本版企業改革法(日本版SOX法)はもとより、個人情報保護法やe-文書法、あるいは各省庁が発するガイドラインや社内規則にのっとることであり、それを支える情報システムが精度のカギを握る。コンプライアンスを実現するためには、対症療法ではなく、アーキテクチャに沿った取り組みが必要だ。

 企業改革法をはじめ、色々な規制に対するコンプライアンス(法令順守)を達成するためには、情報システム(IT)が大きな役割を果たさなければならない。企業内業務の大部分がITを使って処理されている現在、内部統制を保証するためには、人間系の業務プロセスの内部統制の整備に加えて、内部統制の仕組み自体を情報システムに組み込むことが非常に効果的な対策である。  それだけに、情報システム自体の内部統制が重要になる。内部統制のための要件が、ユーザー部門が使う情報システムに組み込まれ、かつ要件どおりに情報システムが動いていることを保証できるかどうかの観点である。

機能要件と品質要件を洗い出す


図1●コンプライアンス(法令順守)を支えるにはITアーキテクチャが重要
[画像のクリックで拡大表示]

 システムの動作を保証するには、個々の技術を組み合わせるだけでは、網羅性や効率性を確保したとは言えない。そこでは、「ITアーキテクチャ」が必要になる。 狭義のITアーキテクチャは、ハードやOS、アプリケーションなどの基本設計や設計思想を指す。ここでの「ITアーキテクチャ」は、経営基盤となる情報システム全体の設計・設計思想の意味である。コンプライアンスに準拠した具体的なシステム構築に着手できるよう、システムが持つべきIT要件を整理し、どのような機能をシステムのどの部分に装備すべきか、どの程度の管理レベルを持ったシステム機能をどこに配置すべきか、について設計する。

 ITアーキテクチャでは、システムの全体像を概観するために、システム構成要素とその構造から、システム全体の構造を示す。ビジネスの要求にITを用いて応えるためのブループリント(青写真)であり、「全体概略設計図」だ。多数の要素で構成されるシステムを全体として機能させるためには必要不可欠なものだ。

  ITアーキテクチャを設計する際の最初のステップは、要求事項の洗い出しと整理だ。アーキテクチャの決定に影響を及ぼす要件を的確に洗い出すことが重要となる。逆に、アーキテクチャがよいか悪いかは要件の洗い出し次第だと言える。

  では、アーキテクチャ要件を策定するためには、具体的にどんな点に留意しなければならないのだろか。コンプライアンスを支える観点からアーキテクチャの要件を見ると、ビジネス要求を念頭に置きながら、「機能要件」と「品質要件」の二つの要件を洗い出す必要がある。

●機能要件:コンプライアンス対応としては、広くポリシーの策定、監査ログの取得、入退出管理システムの導入およびアクセス管理などがある。その中で特にITに求められる要件には、取り扱うデータの正確性を保証するコントロール機能(Control)と、そのコントロールが正しく機能していることを保証するオーディタビリティ機能(Auditability)がある。

 コントロール機能は、プロセス・コントロールとも言う。データが処理されたことだけでなく、どのように処理されたかまで把握できるように設計しなければならない。具体的には次のような機能が考えられる。

(1)入力データがあらかじめ設定された要件の範囲内であるかをチェックし、範囲外であれば異常終了させる
(2) 処理異常があればエラー・レポートを出し、それをフォローするプロセスを構築する
(3)データに対するアクセスを制御する(アカウント管理)
(4)アプリケーションの処理ログやデータの更新ログを残す
(5)生成されたデータやログファイル自身が不正に改ざんされることを防御する(完全性)

  オーディタビリティ機能は、データがアプリケーションの中で、何に基づいて発生し、どのように入手・入力・処理・承認・変更・終了され、保存されたかを示すエビデンス(証拠)を、ログとして残すための機能である。ログには、処理担当者、手動/自動で処理(更新)した日付、変更前のデータ、変更内容などの情報が含まれる。

  高度なコンプライアンス対策を実施するには、ログ情報の収集、管理および保管が必要不可欠になる。しかし、情報システムが出力するログの種類は多様かつ膨大であり、管理上の難易度も運用的な負荷も高い。万が一、事件・事故が発生した際にはログを分析することになるが、この場合の記録は特定の個人まで識別できることが望ましい。

  定期的にログを解析する必要はあるが、あらかじめ設定したしきい値を超えた事象だけを抽出するよう、ITを使って自動化(ルール化)することができるだろう。

●品質要件:可用性、信頼性、パフォーマンスの確保、拡張性、開発/保守の容易性などがある。最近は、それに加え、セキュリティが重要要件として考えられている。

  セキュリティ要件としては、個人情報などの漏えいを抑止するための“機密性”、財務諸表を迅速に決算開示するための“可用性”、財務処理にかかわるデータが改ざんされていないことを保証する“データの完全性”などが重要である。

  しかし、セキュリティ要件のみに比重を置きすぎると、他の品質要件に支障を来すことが少なくない。例えば、機密性を高めるために暗号化を試行すると、パフォーマンスが低下したり、暗号化・復号化に使用する鍵の管理が煩雑になり保守の容易性が損なわれたりといった矛盾が生じる。ITアーキテクチャの中では、複数の品質要件を適切にバランスさせることも肝要な課題である。

自動化対策も必要


図2●コンプライアンスとそれを支えるアーキテクチャ
図技術やインフラの計画から導入、適用までを、ビジネス上の要件と整合性を保ちながら実施するためのフレームワークを提供する
[画像のクリックで拡大表示]

  上記のような機能要件や品質要件を受けて、具体的なソリューションを検討する。主なソリューションには、(1)アカウント自動管理、(2)ITコンプライアンス管理、ログ監査などがある。

(1)アカウント自動管理

 情報の機密性(情報漏えい対策)や完全性(改ざん防止策)を確保するための根幹は、ユーザーIDの付与/剥奪にかかわるアカウント管理である。アクセスを管理・承認し、承認されていないアクセスを防止する。退職した社員のユーザーIDなど、使われていないユーザーIDが多数残っていることによる不正アクセスのリスクをなくす。

  アカウント管理の基本は、集中管理である。だが、大企業ほど大変な作業になるだけに自動化の仕組みが有効になる。それにはまず、アプリケーションおよび各種管理対象リソースと、ユーザーIDの結び付きを管理する必要がある。それにより、人事異動が発生したら権限を自動的に削除するなどが可能になる。

  その前提として、ユーザーIDをどのように管理するかのルールを策定しなければならない。こうしたルールは、アカウント管理ツール・ベンダーなどが、過去の実績を踏まえたサンプルを用意していたりする。

(2)ITコンプライアンス検知

 情報システムが「あらかじめ規定されたコンプライアンス・ポリシーを順守しているかどうか」を監視し、違反状況を確認するための仕組みである。セキュリティ・ポリシーの順守状況をチェックしたり、個々のPCのセキュリティ・レベルを確認したりが容易になる。「認証ネットワーク」や「検疫ソリューション」と呼ばれ、定着してきている。

  ITコンプライアンス検知も、アカウント管理同様、機器に対するコンプライアンス・ポリシーを決める必要がある。このポリシーも、ITベンダーがサンプルを用意している。


図3●コンプライアンスの実現に必要な主なIT機能
[画像のクリックで拡大表示]

(3)ログ監査

 アクセス記録やデータの変更記録といったデータ保存要件に対応するための仕組み。特に監査証拠となる各種ログへの対応が必要になる。

  管理しなければならないログの量は飛躍的に増大する一方だ。しかし、記憶媒体の平均使用率は50%以下とされ、非効率な利用状況が指摘されている。長期保存が必要なデータは、コストを抑えられるテープに保管する。その際は、物理的にデータの改ざんを防止するための技術「WORM(Write Once Read Many)」を利用することも可能だ。

  長期保存の必要がないデータや、保存期限を過ぎたデータは適時廃棄することも重要な考慮点である。最近は、時間経過とともに変動する情報の価値や、サービス・レベルに着目して適切に管理しようとする「ILM(情報ライフサイクル管理)」が注目を集めている。

  既存製品やITコンポーネントが、すべてのコンプライアンス要件を満たすわけではない。どのような製品を使おうとも、必ず残存リスクが発生する。残存リスクに対しては、それを保有するか、人的運用などの手段でリスクをヘッジするか、あるいは業務を見直すなどでリスクを回避するか、といったスタンスを決めた上で、対策を考える必要がある。

  そのうえで、継続的にリスクを評価し、リスクの大きさに応じた対応策を打つべきだ。日本版企業改革法に対応することは、こうしたリスクをマネジメントすることと同義である。

高橋 可祝
Kashuku Takahashi
IBM ビジネスコンサルティング サービス
ITガバナンス ソリューション・コンサルティング
シニア・マネージング・コンサルタント

1981年東京理科大卒、外資系コンピュータ・メーカーで約10年間、CE/SEを経験後、大手金融機関で情報系や証券系のクライアント/サーバー・システムの企画・開発・運用を担当。98年11月から日本IBMのITコンサルタントになり、情報セキュリティ対策やシステムリスク・マネジメント、IT運用管理などのコンサルティングに従事。著書に、『ポイント図解式・標準LAN教科書(上)』(アスキー出版)、『e-ビジネスとITソリューション』(日科技連、2000、共著)がある。公認情報セキュリティ監査人、電気通信主任技術者

出典:2006年3月20日号 204ページより
記事は執筆時の情報に基づいており、現在では異なる場合があります。