～ＩＴコンサルタント養成講座～

皆さん、こんにちは！ 当メルマガを担当しています井上正和です。
２１１回からは、このメルマガで経済産業省のIT統制ガイドラインに2つの
大きな統制ガイドが出てきました。
平成19年12月26日の「システム管理基準 追補版」に対する追加付録、
「システム管理基準 追補版」(財務報告に係るIT統制ガイダンス追加付録)
（以下、「追補版 追加付録」と言います）、
URL： http://www.meti.go.jp/press/20071226006/03_furoku.pdf
と平成20年1月21日に「ASP/SaaSの安全・信頼性に係る情報開示指針」で
「SaaS向けSLAガイドライン」（以下、「SLAガイド」という）を公表しました。
URL： http://www.meti.go.jp/press/20080121004/20080121004.html
共に、IT統制においては、非常に重要な意味を持つガイドラインとなっています。
「追補版 追加付録」は、日本版SOX法の対象である会計パッケージのIT業務
処理統制と連結決算に係る重要業務のRCMのガイドです。
一方、「SLAガイド」は、IT全般統制の統制項目の「外部委託に関する契約の
管理」に対するSLA、SLMのガイドラインを提供しています。
「追補版 追加付録」の方から、要約を解説して行こうと思います。

今日は、「IT内部統制 追加付録概要」メルマガの第5回です。
「セキュリティ機能定義構造例」について述べていきます。
付録８では、TSF(TOE Security Function)としてのセキュリティ機能をその環境、
（注）、TOE（Target Of Evaluation：評価対象としての市販の会計パッケージのこと)
セキュリティ対策方針、セキュリティ要件の順にその要件を展開する手順とその事例
を提示しています。
そして、その展開ステップはセキュリティ定義事項の正当性証明を記述しています。
この手順の出典は、ISO/IEC15408のCC（Common Criteria for Information
Technology Security Evaluation Ver2.3）と記述されています。
その構造を把握することで、会計パッケージに対する要件とその手順を知ることが出来ます。
まず、その展開プロセスからみていきます。
TOE記述では、4つのセキュリティ機能を取り上げました。この機能記述が原点です。
以下に、展開の順に解説して行きます。
（１）「TOEセキュリティ環境」について記述しています。バックアップ、パスワード等の
基本的なセキュリティ項目と会計業務において脅威となるセキュリティ項目に分けて
セキュリティ環境要因を把握しています。
例えば、バックアップやセキュリティ設定は基本的項目ですし、勘定科目や仕訳データ
の不正入力や財務報告書の不正作成などはこの脅威要因となります。
（２）「セキュリティ対策方針」は、TOEセキュリティ要因に対する対策をIT環境に対する
セキュリティ対策方針と非IT的環境（または、人的）に対するセキュリティ対策方針に
分類して記述しています。
例えば、利用者の識別と認証や監査証跡などはIT環境としてのセキュリティ対策
ですし、監査証跡確認や会計責任者の信頼などは人的なセキュリティ対策として区分
しています。
（３）「ITセキュリティ要件」では、TOEセキュリティ対策方針に対するITセキュリティの
機能要件に細分化し記述しています。
例えば、セキュリティ監査の対策へのITセキュリティ要件には、
「識別と認証」の要件では、認証失敗時の取扱、利用者属性の定義、秘密の定義、
アクション前の利用者認証などを上げ、例記しています。
この付録で面白いのは、この展開プロセスとそこで定義した項目の正当性を定義した
「根拠」というテーマで、検証法まで例示していることです。
（４）「根拠」では、3種類の表が正当性検証のために提供されています。
★セキュリティ対策方針の項目がTOEセキュリティ環境を網羅していることの検証。
★ITセキュリティ機能要件がIT環境のセキュリティ対策方針を網羅していることの検証。
★セキュリティ機能要件間の依存性の関係を例示し、機能要件間の従属関係を検証。
以上のように、付録8は会計パッケージに対するセキュリティの設定方法とその項目を
参照するための事例となっています。
今回はここで終わります。次回は「付録９ ITコントロール目標記述例」を取り上げます。

（雑感）先週、大阪に出張して2度感動しました。
最初は、ITCで税理士の佐伯さん、「ズバリ！経営戦略立案ソフト」の統括販売の
高田社長と3人で、大阪の代表的なIT関連の財団法人を尋ねました。
“目からうろこの戦略立案ソフトの活用”や元橋東大教授の“IT経営の可視化
（日経2008.03.28）”を引用し、IT経営の重要性を話していましたら、
相手の専務理事はIT経営の重要性はとっくにその重要性を認識されており、
大阪で実践に取り掛っておられました。久しぶりに、楽しい話となりました。
もう１つは、翌日に数え切れないほど大阪出張はしていたのに初めて大阪城を訪れ
ました。大阪冬の陣、夏の陣を描いた絵巻物とその解説のすばらしさ、その他動画も
含め1日楽しんでいました。絵巻物の絵物語の捉え方を始めて知りました。
有意義な2日間の大阪出張でした。

（注１）「経営戦略」、「情報戦略」の基礎知識等の今までの全てのバックナンバーを
閲覧できるようにしました。
こちらです⇒ http://www.ism-research.com/mailmagazine/content.htm
（注2）「ITコンサルタント実践能力養成コース」を提供開始します。
IT経営を実現するためのコンサルティングプロセスを、ケーススタディをもとに体得
していくコースです。SWOT分析、BSC分析、COBIT分析手法を連携し、活用します。
こちらです⇒ http://www.ism-research.com/course/course-7.htm
（注３）「ITコーディネータ協会認定コース」をオープンコースとして東京、神戸教室
で実施します。
詳細は次のＵＲＬのご参照をお願いいたします。
こちらです⇒ http://www.ism-research.com/course-1.htm
（注４）「ＩＴ内部統制実践知識修得コース」を実施しています。
内部統制の実施フェーズでの実践テキストとして、経済産業省のIT統制ガイド
ラインを自在に活用した実践的IT統制の活動ができることを目的にしており
ます。これからの内部統制の業務改善活動の拠り所とすべき必須の知識です。
こちらです⇒ http://www.ism-research.com/course-6.htm
（注５) プレゼンテーション技術養成コース
米国議会でプレゼンテーションのパターンを作ったDr．ボブ・ボイランの
「ストーリー・ボード」を用いて、お客様の立場に立って、お互いがWin-Winを
革新できる効果的なプレゼンテーションの技術を実戦形式で修得します。
こちらです⇒ http://www.ism-research.com/course/course-11.htm
（注６) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定
問題集」と「ITコーディネータ試験対策コース」を開発・実施しています。
問題集はこちらです⇒ http://www.ism-research.com/book-3.htm
研修コースはこちらです⇒ http://www.gtc.co.jp/semn/isc/itc.html
（注７）「経営戦略」の基礎知識を整理したメルマガ本で、この応用編メルマガの
基礎知識の集大成をしました。
ＩＳＭリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです⇒ http://www.ism-research.com/book-1.htm
（注８）「IT経営のための経営研修コース」のオンサイト研修を実施しています。
適正な価格で、カスタマイズした実践的コースを提供します。
こちらです⇒ http://www.ism-research.com/course-1.htm
★メルマガの配信停止は次のURLをご参照ください。
こちらです⇒ http://www.mag2.com/m/0000118350.html

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-================★
   （有） 情報戦略モデル研究所（ＩＳＭ研）
    ITコーディネータ協会認定 研修実施機関 
                                     代表 井上 正和
e-Mail： question@mail.ism-research.com
ISMリサーチURL：http://www.ISM-Research.com/
-+-+-+-+-+-+-+-+-+-+-+-+-+-+-================★