自動化によるコントロール

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

水曜日 12 10, 2008

こんにちは。
ふと、ブログのドラフト（書こうかなと思ってい、途中まで書いていてそのまま放置されているかわいそうなエントリたち）を整理してみようかな？と思い立ちました。
今日の「自動化によるコントロール」はなんと2007年4月に書きかけていたものですが、先日同じ話をお客様先でしましたので、あまり時代遅れな話ではないと思います。

内部統制がしっかりと行なわれているかどうかシステム監査人が監査を行なう際のポイントとなる点はいくつかありますが、
その１つとして、統制・監査対象のシステムが自動化されているかどうか？ があります。
システムの自動化具合をいくつかのレベルに分けて考えてみると、

1. 全く自動化されてない。（システム化はされていなくて、人手で処理している。）
2. 一部自動化されている。（部分的にシステム化・自動化が行なわれているが人手の処理が介在している。）
3. 自動化されている（完全にシステム化されていて、人手は介在していない）

のように分けられるかと思いますが、監査の視点で考えると、

• 自動化されている
• 一部自動化されている
• 全く自動化されてない

の順で好ましい状態(不正やミスが起こりにくい状態）であるといえます。
人手が介在しているということは、不正やミスが発生する可能性がより高いといえるからです。

全く自動化されていないと監査人としても、サンプル数を多くしたり、いろいろな側面から監査したりとよりたくさんの時間が必要になり、監査される側に求める情報も多くなってきますので、監査人、監査される側とも幸せではありません。

一方自動されているとその処理の部分のロジックが信頼できれば、サンプル数も少なくてすみますし、監査される側に求める情報も少なくてすみます。

自動化というと、業務の効率性やコスト削減への寄与といった点がフォーカスされることが多いですが、内部統制（インターナルコントール）を適切に実施していく上でも非常に重要になってくると言えます。

っということで今回のタイトルを「自動化によるコントロール」としてみました。

_kimimasa

これからのJ-SOX対応は、「認証・アクセス管理」と「運用コストの低減」がポイントです。

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

木曜日 9 11, 2008

こんにちは。
私の仕事はお客様が現在抱えているビジネス上の課題を解決するためにSunの製品やソリューションを提案することです。担当製品は、アイデンティティ管理ソリューションを構成する、Identity Manager,Access Manager,Directory Server Enterprise Editionです。
最近、お客様がID管理分野製品やID管理ソリューションで解決したいと思っている課題はやはりJ-SOXや内部統制、監査絡みが非常にに多いです。
ここでは、今後の企業のJ-SOXに関する対応として、「エンタープライズ・リスク・マネジメント2008」での「「日本版SOX法（J-SOX）対応の最新動向と『After J-SOX』における企業価値向上への取り組み」フォーラムの記事に実際の現場での状況を追加しながらまとめてみたいと思います。

一つ目は、OSアカウントに対する「認証・アクセス管理」です。

システム本番環境に変更を加えるリスクを統制するうえで、特に「アプリケーション変更管理」と「認証・アクセス管理」の重要性を訴えた。 ［SS＆ERM2008］「J-SOX対応、今後の課題は運用コスト」、After J-SOX研究会メンバーが語る：ITpro

いわゆるIT全般統制の範疇において、システム本番環境のOSに対する「認証・アクセス管理」が非常に注目されています。実際、多数のお客様で、OSアカウントの一元管理をしたいということで、Identity Manager,Directory Server Enterprise Editionでの解決を検討されています。そこで製品の機能説明や、お客様のやりたいことが製品として実現できるかなどをお話しに行くことがあります。
そんな中でよく聞くのは、

• それぞれのOS上で別個にID/パスワードを管理しているので、管理が非常に煩雑で適切なタイミングでIDの削除などができていない。したがって、本番環境から削除しなくてはいけないアカウントが残っていることがある。
• OS上のアカウントのパスワード管理（パスワードの有効期限や定期的な変更、パスワードとして使用する文字列の強制など）ができていない。

などです、この傾向は、ここ2年ほどずっと変わりません。OSアカウントの管理は、業務側や経営者からは見えづらいものなので、今まで情報システム部の努力とがんばりで管理されてきたからだと思います。J-SOXを代表する法令やISMSなどをきっかけに第三者の目によって、人手による管理や管理体制の甘さが明らかになってきたのだと思います。
この傾向は今後も続くと思います。
UNIXなどのITシステムがない企業はないので、ほとんどすべての企業において、この課題は共通だからです。
企業の財務状況などによってIT予算は割り当てられていくことになるので、すべての企業が一気に対応するというよりは徐々に対応が進んでいくという流れになると思います。

二つ目は内部統制やJ-SOX対応に関わる「運用コストの低減」です。

内部統制の整備・運用で先行している米国では、運用コストが2年目に16％、3年目に36％減ったという。
... 中略 ...
運用コストをより減らすための方策として永井氏は、バックヤード業務をシェアードサービス・センターに移管するなどして「統制単位数を減らす」、子会社や部門ごとに異なる業務を標準化するなどして「サブプロセス数を減らす」、ワークフロー管理ソフトを導入するなどして「システムで自動化する」、といった例を示した。
［SS＆ERM2008］「J-SOX対応、今後の課題は運用コスト」、After J-SOX研究会メンバーが語る：ITpro

米国で2年目以降に運用コストが削減されていったというのは周知の事実です。Sun 自身もIdentity Managerを導入することで大幅なコスト削減を実現しています。

アイデンティティの統合を通じて、サンでは運用開始1年目で純額400,000ドルのコスト削減が実現していますが、IBISプロジェクトの進行とともに今後もさらなる削減が見込まれます。
Sun Inner Circle Vol.59 - サンの自社IT統合プロジェクトのその後・・・・。

ここで重要なのは、「なにもしないでほっておけば勝手にコストが減ってくるわけではない」ということです。
コスト削減のためのIT投資を行なうことが大事です。
実際、お客様と話していると、

• 今まで各アプリケーション毎にID管理をしていたので、統制ポイントが多かったけど、ID管理システムを導入して、集中管理をすることで統制ポイントが減り、監査工数が削減されることも期待している。
• 今まではCSVデータやエクセルを駆使して人手でIDの棚卸しや権限情報の確認を行なっていたけど、ID管理・監査システムで自動化・一元化することで運用コストの削減を狙っている。
• 実績のあるID管理・監査製品を使用することで監査人に対して、監査技法の有効性や正確性を監査人にアピールできる。

などとIT全般統制におけるアクセス権限管理・監査に関するコストの削減を意識したお話になることもあります。
この傾向は、昨年の末くらいからだと思います。
J-SOX対応の1年目というよりは、2年目以降のコスト削減を意識したIT投資の検討が企業において徐々に開始されてきているという流れを感じます。

最後にまとめておきます。今後（っというか今年）のJ-SOX対応は、

• OSアカウントに対する「認証・アクセス管理」
• 内部統制やJ-SOX対応に関わる「運用コストの低減」

が大きなポイントになります。検討をまだされていない方はぜひご検討下さい。

_kimimasa

【jp.sun.com ソリューションの紹介】サンの内部統制ソリューション - 無料IT統制診断

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

木曜日 11 08, 2007

こんにちは。
jp.sun.com のソリューションを紹介します。
サンの内部統制ソリューション - 無料IT統制診断ってことで、FlashコンテンツのIT全般統制簡易アセスメントを無料で受けていただけます。質問（選択式で全部で30個くらい。）に答えていくことで、IT統制度が5ポイント中何ポイントかと、それぞれの統制目標がどの程度達成されているか。という結果が出ます。

IT全般統制簡易アセスメントとは、COBIT for SOXを元にした簡易版アセスメントです。レポートによりCOBIT for SOXで挙げられている12のIT統制目標の弱点が判明し、J-SOX対応に向けての指針が明確になります。
サンの内部統制ソリューション - 無料IT統制診断

私は個人的にこういうツールを見ると試さずにはいられません。。
_kimimasa

【jp.sun.com新規コンテンツ】サンのITILベース運用改善支援サービス

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

火曜日 7 10, 2007

こんにちは。
私はアイデンティティ・マネージメント製品のプリセールス・エンジニアなんですが、アイデンティティ・マネージメント製品は製品を買えば、それでお客様がやりたいことが実現できるっといったたぐいの製品ではありません。
要件定義から始まり、設計、実装、運用、保守といったプロセスをお客様と共に着実に進めていくことがとても重要です。なので、お客様へ提案するときには、製品だけてはなく、『要件定義から始まり、設計、実装、運用、保守』をご支援させて頂くサービスも併せて提案することが多いです。
今回は、そんな Sun ソリューションの紹介動画が jp.sun.com にあがっていたので紹介しておきます。

• サンの内部統制ソリューション 〜 ITILベースの運用改善支援 : 2分41秒の Flash 動画と、PDF 2ページ。
  サンの上級コンサルタントが、内部統制がとれた運用管理の実現のポイントをご紹介します。
  アイデンティティ管理製品を検討されているお客様は、J-SOXはもちろん、ITIL導入やISO 20000認証取得といった広い視野や目標の中の重要な部分としてアイデンティティ管理製品の導入を考えられていることが最近増えてきています。案件の中で ITILやISO 20000 などの提案もしていくことが増えていく だろうなと思っています。
• サン・ソリューション・サポート・エンジニアリング: 3分28秒のFlash 動画とPDF。
  Javaを使ったミッションクリティカル分野のシステムを開発から運用・安定稼働まで、サンのトップ技術集団がお客様と一緒に作り上げていくサービスです。
  アイデンティティ管理製品は企業のID管理業務を一手に担い、企業のシステムにおける重要度（ミッションクリティカル度）がどんどん高まっています。そのため、通常の製品サポートに加えて、サンのトップ技術者が直接お客様を支援するサン・ソリューション・サポート・エンジニアリングもよく提案しています。

で、こちらが上記２つも含むサン・マネージド・サービスのページです。

動画で説明があると短時間で理解が深まっていいですよね。私自身もよく Sun が提供している動画を見て、「おー、こんなサービスはじめたんだー。」とか「おー、こんなサービスあったのね。。知らなかった。。」など理解を深めています。
_kimimasa