ホーム  >  メルマガバックナンバー  >  7.システム管理基準 追補版 追加付録  >  第214回「追加付録 付録8 パッケージのセキュリティ統制概要」

オープンコース案内

  • 第214回「追加付録 付録8 パッケージのセキュリティ統制概要」

    ~ITコンサルタント養成講座~

    皆さん、こんにちは! 当メルマガを担当しています井上正和です。
    211回からは、このメルマガで経済産業省のIT統制ガイドラインに2つの大きな
    統制ガイドが出てきました。
    平成19年12月26日の「システム管理基準 追補版」に対する追加付録、
    「システム管理基準 追補版」(財務報告に係るIT統制ガイダンス追加付録)
    (以下、「追補版 追加付録」と言います)、
    URL: http://www.meti.go.jp/press/20071226006/03_furoku.pdf
    と平成20年1月21日に「ASP/SaaSの安全・信頼性に係る情報開示指針」で
    「SaaS向けSLAガイドライン」(以下、「SLAガイド」という)を公表しました。
    URL: http://www.meti.go.jp/press/20080121004/20080121004.html
    共に、IT統制においては、非常に重要な意味を持つガイドラインとなっています。
    「追補版 追加付録」は、日本版SOX法の対象である会計パッケージの
    IT業務処理統制と連結決算に係る重要業務のRCMのガイドです。
    一方、「SLAガイド」は、IT全般統制の統制項目の「外部委託に関する契約の
    管理」に対するSLA、SLMのガイドラインを提供しています。
    「追補版 追加付録」の方から、要約を解説して行こうと思います。

    今日は、「「IT内部統制 追加付録概要」」メルマガの第4回です。
    「パッケージのセキュリティ統制概要」について述べていきます。
    付録8は、会計パッケージに対するセキュリティ機能に対する方針作りを手助け
    するために作成されています。
    パッケージを購入し、活用するユーザーとしては、この方針の基に作成された
    機能が会計パッケージに必要なセキュリティ項目であるとして判断して、検証
    すれば良いと思います。
    市販の会計パッケージを評価対象として、TOE(Target Of Evaluation)と
    表現し、そのパッケージのセキュリティ機能をTSF(TOE Security Function)
    と呼んでいます。
    初めての言葉で、若干とまどいますので、ご注意ください。
    付録7で会計パッケージの基本統制要件は述べていますので、ここでは、TSFの
    機能を解説しておきましょう。
    会計パッケージに求められるセキュリティ機能として、「識別と認証機能」、「監査
    ログ記録機能」、「監査機能」、「会計データ更新ロック機能」の4つの機能を上げ
    ています。
    それぞれに求められる機能を整理して見ます。
    (1)識別と認証機能とは、利用者ID、パスワードを使用してパッケージへの
    アクセスの許可/非許可を判断する機能です。ID管理やパスワード管理の機能
    です。
    (2)監査ログ記録機能は、会計担当者による勘定科目マスタ、仕訳データの入力、
    修正、削除などの履歴を日付・時刻、操作者などと伴に記録する機能です。
    監査はウォークスルーの観点で、行なわれますのでそのための判別を可能にする
    記録機能が必要です。
    (3)監査機能とは、会計責任者が監査ログをレビューする際に、特定の監査ログ
    を検索し、解釈し易い形式で表示する機能です。監査ログとして記録された
    データはウォークスルーの観点で多角的分析を可能とする機能が必要です。
    (4)会計データ更新ロック機能は、会計責任者が、一定期間(日時、月次、年度)
    以前の会計データの更新を禁止するために、その期間の会計データをロックする
    機能です。監査期間中の会計データの変更や削除を不可能にする機能です。
    以上の4つのセキュリティ機能に対するセキュリティ対策を設定していくことに
    なります。
    今回はここで終わります。次回は「付録8セキュリティ機能定義記述構造例」を
    取り上げます。


    (雑感)
    今週は、日本を代表する電機大手で「ITコンサルタント実践能力養成コース」(3日間)
    を実施してきました。弊社の「IT経営戦略策定の基盤知識コース」(2日間)と「IT経営戦略
    策定の実践力養成コース」(2日間)を3日間にカストマイズしたお客様定期コースです。
    非常に熱心に受講いただき毎日1-2時間の講義オーバーは当たり前になりました。
    経営戦略に沿ったITガバナンス設計が必須の環境に変わり始めたことが実感できました。
    また、ITC協会に伺って、“IT内部統制やITガバナンス等、時流に則った情報や教育を
    モット強く打ち出していかないとITコーディネータが時代に取り残されますよ”と
    申し上げてきました。
    ITアーキテクト向けの研修でも、経営戦略ツール知識がITSSのレベル3に設定されており
    勉強テーマになっていました。
    ITCの能力向上に向けての話は良く聴いていただけますので、皆さんも意見はどんどん
    ぶっつけられた方が良いですね。


    (注1)「経営戦略」、「情報戦略」の基礎知識等の今までの全てのバックナンバーを
    閲覧できるようにしました。
    こちらです⇒ http://www.ism-research.com/mailmagazine/content.htm
    (注2)「ITコーディネータ協会認定コース」をオープンコースとして東京、神戸教室
    で実施します。
    詳細は次のURLのご参照をお願いいたします。
    こちらです⇒ http://www.ism-research.com/course-1.htm
    (注3)「IT内部統制実践知識修得コース」を実施しています。
    内部統制の実施フェーズでの実践テキストとして、経済産業省のIT統制ガイド
    ラインを自在に活用した実践的IT統制の活動ができることを目的にしており
    ます。これからの内部統制の業務改善活動の拠り所とすべき必須の知識です。
    こちらです⇒ http://www.ism-research.com/course-6.htm
    (注4) プレゼンテーション技術養成コース
    米国議会でプレゼンテーションのパターンを作ったDr.ボブ・ボイランの
    「ストーリー・ボード」を用いて、お客様の立場に立って、お互いがWin-Winを
    革新できる効果的なプレゼンテーションの技術を実戦形式で修得します。
    こちらです⇒ http://www.ism-research.com/course/course-11.htm
    (注5) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定
    問題集」と「ITコーディネータ試験対策コース」を開発・実施しています。
    問題集はこちらです⇒ http://www.ism-research.com/book-3.htm
    研修コースはこちらです⇒ http://www.gtc.co.jp/semn/isc/itc.html
    (注6)「経営戦略」の基礎知識を整理したメルマガ本で、この応用編メルマガの
    基礎知識の集大成をしました。
    ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
    こちらです⇒ http://www.ism-research.com/book-1.htm
    (注7)「IT経営のための経営研修コース」のオンサイト研修を実施しています。
    適正な価格(市価の半値以下)で、カスタマイズした実践的コースを提供
    します。
    こちらです⇒ http://www.ism-research.com/course-1.htm
    ★メルマガの配信停止は次のURLをご参照ください。

ページトップへ