日本版SOX法・徹底解析

日本版SOX法対応監査が最終段階に迫っているいま、内部統制対応の強化に取り組む企業は多い。その内部統制対策に、従来セキュリティなどで用いられることの多かった“ログ”が非常に有効だ。今回は、内部統制におけるログの活用方法について説明する。（→記事要約へ）

　内部統制は、日本版SOX法によって「財務報告の信頼性を担保するために、その有効性を評価すること」が義務付けられています。また、会社法による規定によって、企業組織のさまざまな部門で内部統制の整備が求められています。

http://www.atmarkit.co.jp/im/cits/serial/soxcolumn/13/01.html

　一方、ITの障害・事故対応時や、監査証跡のために使われる“ログ”は、内部統制の手段としても極めて有用です。今回は「内部統制におけるログの活用」について、まとめてみました。

そもそも、内部統制とは？

　そもそも、内部統制（Internal Control）とは、組織の「業務の適正を確保するための体制（システム）」のことをいいます。

＠IT情報マネジメント編集部からのお知らせ

「何のためにログを管理するのか？」という疑問に答えるために、ログ管理の目的を明確にし、活用するためのポイントを紹介する「内部統制だけじゃない、セキュリティを強化するログ活用セミナー」を開催。興味のある方はセミナーページに！

　内部統制はもともと会計上の、あるいは経営上の概念であることから、日本の法律・判例において「内部統制」という言葉が登場したのは、比較的最近のことでした。すなわち、2000年（平成12年）9月20日に大阪地方裁判所が、いわゆる「大和銀行事件」に関して下した判決が初出だといわれています。

　現在使われている法律用語としての内部統制は、大きく分けて、「大和銀行事件の判例」に端を発し、会社法が規定する「業務の適正を確保するための体制」と、金融商品取引法の「財務報告の信頼性を担保するために行われるチェック機能の評価（日本版SOX法）」の2種類があります。

■内部統制の具体的な意味

　平たくいえば、内部統制は「組織の業務プロセスに組み込まれたチェック機能」と表すことができます。

　例えば、「入力内容と証憑（しょうひょう）の数字が合っているかを照合する」「伝票は上司が承認する」とか、「経理部門では、毎月の売り上げが統計的な傾向に乖離（かいり）していないかを分析し、役員会で報告する」などの統制活動。また、「社内規則などが整備されている」や「取締役会は定期的に行われている」といった統制環境を含みます。

　内部統制のフレームワークを発表した米COSO（トレッドウェイ委員会組織委員会：the Committee of Sponsoring Organization of the Treadway Commission）は、内部統制の目的に、「業務の有効性と効率性」「法規などへのコンプライアンス」「財務報告の信頼性」の3つを挙げています。

ではログとは何だろうか？

　これに対し、「ログ」とは何でしょうか？

　その語源は「昔、船の速度を測るために、木片（log）を結んで海に投げ、それを測定して記録した」ところからきています。この結び目が「ノット」で、船の速度の指標となり、この記録をログと呼びました。その後、航海日誌がログと呼ばれるようになり、このことから、コンピュータの動作記録を「ログ」と呼ぶようになりました。

• PR -

　通常「システムログの取得機能」は、ERPなどの統合的システムパッケージには組み込まれていますが、手作りのシステムには自分で組み込む必要があります。

　「ログの機能」としては、「変更などが入力されたよ、という記録」を手掛かりにして、システムトラブルの回復を図ったり、組織的な内部統制に活用したり、広く業務監査に応用したりすることが挙げられます。

　「ログの種類」としては、大別すると「OSに対するもの」と、「アプリケーションに対するもの」があります。また、その取得の目的別では、「主にトラブル時に問題が起こった経緯を追跡するためのもの」と、「セキュリティやデータの完全性を担保するため」に取る、アクセス、データの変換・取り消し、新規データ発生などの記録があります。

　しかし、「やみくもにたくさんのログを取ればよい」というわけではありません。ログをたくさん取るとシステムが重くなってしまうので、バランス感覚が必要です。通常は、上記で挙げた程度のログを取ります。また、ソフトウェア更新のログも取るし、自社で開発したアプリケーションなら、テスト環境から本番環境に移したときにも取ります。

　よくある問題としては、「ログは取ってあるが、内容がよく分からない」という点が挙げられます。

　その場合は、変更個所の内容を見るためのソフトを作らなければなりません。一般的に取っているログは、「日、時間、誰が、どこを変えた」です。内容として、「どう変えた」かは、そのログを精査してみないと分かりませんが、その変更内容まで常時取るかどうかは、コストとベネフィットのバランスの問題でしょう。

　近年セキュリティ管理が厳しく問われている状況から、例えば「不正なアクセスを瞬時に警告する」といった、ログ管理システムも市販されています。

ITにかかわる内部統制が担保すべきリスク

　さて、IT分野について、内部統制が防止あるいは発見しなければならないイベントあるいはリスクと呼ばれるものは何でしょうか？

　ITシステムならびに、その業務にかかわるリスクを例示してみましょう。

エラーや不正な処理について、保護されていない

処理の追跡調査が不可能なため、規則や契約の順守が認証できない

データが改ざんされている

承認されていないユーザーがマスタデータ変更の可能性を有している

データベースのマスタメンテナンスが不適切に行われている

未承認者がデータベースやプログラムにアクセスしている

承認されていない変更内容が実行環境に導入され、システムの安定性や運用に影響を与えている

　などなど。たくさんありますね。しかし、これらは起こっては困る事柄ばかりです。

　これらのリスクは、ログを取りそれを有効に管理する（これも内部統制です）ことで予防または発見することができるのです。

ログに対する管理運営

• PR -

　さて、一般的にログについては、下記のような管理活動が行われています。

　まず重要なことは、ログごとにユーザーサイドのひも付きががあることを確認します。「どのユーザーが行った処理なのか？」が特定できないと、追跡できないからです。

　例えば、「同じIDで3人の担当者がアクセスしている」というような場合にはユーザーの特定ができません。

　さらに、関係者ごとの職務の分担が必要です。その区分は、

開発者＝システムを作る。自分たちでログを読むのはシステムトラブル解消の目的のための原因追跡のとき

ユーザー＝マスタデータの中身はすべてユーザーが入力する。IT部門では中身は動かせないことを基本とする

IT部門の中、あるいは外に第三者的なログモニタを置く＝その役割はログを見て監視している。不正なアクセスとか、権限外の入力や書き換えなどがないかどうか、など日常的なモニタリングを行う。この日常的モニタリングは、内部統制の重要な要素です

監査部門＝内部統制の有効性の評価、そのほかの監査のためにログを活用する

　という区分がしっかりできていることが必要です。

■IT業務処理統制におけるログ活用の例：支払いに対するマスタデータモニタリング

　さて、ログを使ったIT業務処理統制の例を示しておきます。

　この統制の目的は、「すべての支払いに正当な申請書があるか」をチェックすることにあります。発見的統制ですが、それを経理部門あるいは監査部門がやっていることにより、社内で不正をやりにくく抑止する作用があります。

　例えば、「業者マスタの変更履歴ログ」に関連する支払いからサンプルを1月に50件取り、支払システムの次のような項目を選び出し、「裏付けがあるか」「正当なものか」をチェックします。項目としては、

項目 説明

文書番号 支払先の法人・個人のコード

ユーザー名 ユーザーのコード

時刻

Tcod 取引コード

L データの言語（英語とか）

日付

　以上をシステムから取ってきています。これらの項目が「支払いに対するマスタデータモニタリング」のために必要となります。

項目

申請部署

申請者名

支払先名

　この3つは前述のデータから読み替えて打ち出します。

項目 説明

確認元 例えば申請書原本

申請書の有無 あり／なし

申請書がない場合の理由 例えば慶弔とか

　これら3つはマニュアルで確認します。

　この例では、マスタデータのログでシステム上追跡しているものは、上記のように、かなりの内容までが取れるようになっています。この活動により、不正な支払いはできにくくなります。

　このような、ログモニタリングは重要なプロセスに対して行います。その対象となるようなIT業務処理におけるハイリスク項目の例は以下のようなものです。

決算業務のopen/close

銀行への振り込み指図データ作成

業者マスタ変更（特に銀行口座）

顧客マスタ変更（特に配送先）

プライスマスタ変更

棚卸在庫のステータス変更（特に廃棄・移動）

IT全般統制の例として：

変更管理における「ログを活用した内部統制」

　一方、ITシステムにおける変更管理（Change Management）は、通常、要求仕様についての変更要求について影響を正しく把握し、計画を立て、変更作業を実施し、結果を確認する、という一連の作業を管理し、ソフトウェアの信頼性・整合性を確保することをいいます。

　その変更管理において「ログを活用することにより適切なモニタリングを行うこと」は、重要なIT全般統制の例といえましょう。

　それにより、以下の効果を得ることができます。

そのシステムを作る担当者に大きな過失がないことを保証すること

デザインがユーザー部署の意図にかなっていることを確認できること

当事者以外の部門がモニタリングを行うことができること

　3番目のポイントは発見的コントロールですが、当事者以外の部門がモニタリングしていることで、不正などのリスクに対する抑止的効果があります。

　変更管理とそのモニタリングのプロセスとしては、

リスクを特定する

「何のためのコントロールであるか」を定義する

Change management systemやMaster data monitoringをデザインする

システムにそれらを組み込む

そして、内部監査部門など第三者部門がモニタリングする

　この前提としては、職務分掌があることです。

　変更管理については、近年ITILそのほかで定義がされていますが、ここでは「ログを追うことで重要な統制活動となる」ことを繰り返しておきます。

■付加価値増大へのヒントと費用対効果

• PR -

　内部統制におけるログの活用については、IT部門側だけでなく、監査部門側で付加価値を付けて、会社なりの使い方をする工夫が大切です。

　費用対効果の観点からは、「重大なリスクのみをカバーするようにすること」がキーになります。すなわち、アプリケーションが重くなり過ぎないようにする必要があります。

　例えば、ベンダマスタ、カスタマーマスタ、プライスマスタには必要ですが、細かいマテリアルマスタには不要でしょう。社員マスタはなかなか監査部門で触れることができないかもしれません。職務的権限については、「相互で利益相反する権限が、1人の人に付与されていないか」もログでモニタリングできます。

◇

　ログの取得と管理は、発見的統制などの社内的な活動を通じて、財務報告業務のみならず、あらゆる業務における不正や不完全な処理を、発見・防止することができます。

＠IT情報マネジメント編集部からのお知らせ

「何のためにログを管理するのか？」という疑問に答えるために、ログ管理の目的を明確にし、活用するためのポイントを紹介する「内部統制だけじゃない、セキュリティを強化するログ活用セミナー」を開催。興味のある方はセミナーページに！

　ITシステムの業務プロセスにおいては、さまざまな内部統制の仕組みが組み込まれつつあります。そして、さらにログを活用した内部統制を整備することにより、IT部門の業務の信頼性向上にも寄与し、監査部門では抑止作用を通じて効果的な不正防止機能を発揮することが期待されています。