2006年04月17日

第20回 NT-Committee2 関西勉強会に行ってきた

4月15日(土)にあった第20回 NT-Committee2 関西勉強会に行ってきた。
http://www.hidebohz.com/Meeting/20060415.htm


柳原さんは、日本版SOX法についてシステム管理者の視点からのお話が斬新で、面白かった。

奥天さんのお話は初めて聞いたけど、セキュリティからVISTAの話までいろいろサービス精神旺盛な方だった。


宴会で信州でもNT-Com2が開催されることを聞く。
もみじと開催日が重なっているらしい。どちらに行くか悩ましいなあ。

以下聞いたお話のメモ
-------------------
「日本版サーベンス・オクスリー(SOX)法と僕たちはどう向き合うか」
柳原秀基
大阪市立大学大学院 創造都市研究科 都市情報学専攻 博士(後期)課程

○SOX法のポイントは302条、404条
 ここを読むべし
  302条:情報開示
  404条:内部統制

○302条「情報開示」
(経営者が)報告内容に間違いが無いことを保証して、宣誓

○404条「内部統制」
 内部統制の整備状況と運用状況に関する報告書を、年次財務報告書と一緒に提出

○罰則
 20年以下の禁固刑、500万ドルまでの罰金

○IT Control Objectives for SOX
是非読んでみてとのこと
 ITGIのサイトのトップから「Resource Center」→「ITGI publications」
 IT Control Objectives for Sarbanes-Oxley (PDF, 363K)
 日本語翻訳版

○内部統制
 違法行為、不正、ミスを防ぐ
 内部けん制

○COSO
 内部統制の理論的支柱:デファクトスタンダード
 ●COSOによる内部統制の目的
  ■財務報告の信頼性
  ■適用される遵守
  ■業務の有効性と効率性

○COSOキューブ
 5つの基本的構成要素
 このなかでも注目→リスク評価

 (※このあたりの図かな
   KPMGニューズレター

○COSOと日本版SOX法
 目的が3つに加えて「資産の保全」が追加される
 業務の有効性と効率性
  →現在ではITの可用性、完全性が不可欠
   (情報セキュリティの機密性、可用性、完全性のうちの2つ)
    つまり、全社的な情報セキュリティ対策を進めていくこととかなり重なっている

 構成要素
  ITへの対応が追加
   ITへの対応は、6つ目の基本的要素と捉えないほうがいい
   5つの基本的要素を全体的にバックアップするものと理解したほうが

○ITにかかわる内部統制
 ルールと結果を文書にして、監査人が理解できるように
  Aさんが平社員が管理職。アクセス権の付け替え
  →人事部の発表、ADで課長グループに放り込みました
   いままではGUIで操作してOK

 ●誰の指示でやったんですかと監査人に聞かれたら?
  →誰かの指示にしたがって、ドキュメントに残しておく

○どこまで詳細なデータを要求?
 ドキュメント間の整合性がチェックされる
  ドキュメントにはメールも含まれる
  (どれが仕事のメールかわからないので、すべてのメールがアーカイブされていくだろう)

 なるべく早く監査人に現状システムを見せ、相談が必要。

○IT内部統制状況を評価するために
 本来の統制は「人を通じた相互牽制」
  1人作業を2人にするとか
  変更を仮にして、チェックをするなど
  汎用機では厳密でやられていたが、甘くなっている
  システムの設定変更、プログラムの変更作業は、基本に戻る

○ITの4W1Hを確実に記録する
 操作記録が残せない場合は、人による相互牽制、確認を
 ログに操作記録が落ちるのならば
  不足項目を確認
  改ざんされていないことを保証
   バックアップでもいい。比べて同じなら改ざんされていませんねと

 記録を取っていいない場合
  GUIは危険。スクリプトを走らせてログを残す

 資産管理ツール、インベント管理ツールも必須に

○対応の優先度をつける
 会社をJ-SOX対応ERPに移行?→お金がかかる

 全システムを同時に対応はありえない話で、優先度をつける
 →ビジネスフローの中で起こり得るリスクへの統制を優先

○内部統制のための文書作成ツール
 「Visioで書く内部統制対応文書作成ガイド」の提供開始
 Microsoft Office Visio 2003 徹底活用ガイド
 

------
奥天さんによるとMS製でITIL用にMOFというツールがあるらしい
このあたりかな?
Microsoft Operations Framework
ITIL を包括した MOF でシステムの安定稼動を実現し、ビジネスの継続成長を支援
システム管理な雑記「MOF/管理運用ガイド/TechNet アーカイブ」
---------------
討論の中で興味深かったのは、柳原さんのアカウントの管理を人事部におしつけるという話。
法律ができてくると、システム管理者は危険な立場に立ちつつあるらしいので。

たしかに、誰にどれくらいの権限を与えるかという話に関わるのは、システム管理者がやるべき領域を超えているかもしれない。


---
2006年4月19日追記
はなずきんさんがレポート&リンクをまとめられていますね。

posted by 端っこなひと at 04:33| Comment(0) | TrackBack(0) | セミナー・勉強会 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]


この記事へのトラックバック