コンプライアンス問題を防ぐIT統制の3つの原理原則:コンプラ研修(その7)
コンプライアンス問題を防ぐIT統制の3つの原理原則:コンプラ研修(その7)
IT統制の3つの原理原則
「メガバンクのシステムが停止する」
「東京証券取引所が、丸1日取引できない」
「数十万人分の個人情報が漏洩する」
システムにからむコンプライアンス問題は、規模が大きくその企業、顧客、社会的な損失が多大なものになります。
また、会計処理がシステム化しているため、粉飾決済等の不正な会計処理がより巧妙に行われる事例がでてきました。このため金融証券取引法の内部統制報告制度(J-SOX/日本版SOX法)により、上場企業には主に会計や財務報告上の不正や誤りを防止する社内制度の整備と運用が求められています。
法令遵守、社会的責任を果たすといったコンプライアンスの考え方に基づき、IT統制を考えると原理原則はシンプルです。
1)サービスを止めない
2)不正なアクセスを防ぐID管理を重視する
3)組織員全員のコンプライアンス意識を高める
この3点を考慮した対策、日常活動がコンプライアンス問題の発生を防止します。この記事は、企業内でITを担当した経験に基づき書いています。
サービスを止めない
IT統制で重要なことは、サービスを止めないことです。サービスが止まると、ユーザーは、大きな損失を受けます。特に金融や通販の業務においては、致命的です。お客様がその企業のホームページを見たら何も出てこない、アクセスしても反応がないだけで、その会社の存在さえ疑います。
システムは、基本的ないろいろな要因で止まります。自社のサーバーであれ、クラウドサービスのサーバーであれ止まります。世界最大のクラウドサービスAWS(アマゾンウェブサービス)も過去に何度か停止しています。しかし、映画配信大手のNetflixなどは、AWSのユーザーでありながら、サービスを停止させていません。非常時の備えと対応がすべてです。
そもそもシステムが停止する原因は、以下の3つが多いものです。
1)ソフトのバグやハード、ソフトの切替時に操作者が起こす人的ミス
2)停電、デスク破損等のハードトラブル
3)アクセス集中など想定外の使用環境
いずれのケースでも、速やかな現状の復旧方法を構築しておくことです。次に、根本的な原因の究明と対策が取られます。人的ミスであれば、ミスが発生しないようなプロセスへの変更、マニュアルの整備が必要になります。そして、宿命としてトラブルのたびに、プロセスは複雑化、厳格化し、マニュアルは厚くなります。
IT統制として考えるべきは、サービスを止めないことです。システムを絶対に止めないようにすることは、膨大なコストをかけたとしても、無理だと断言できます。システムが止まったとしても、「サービスを継続すること」、「ユーザーに損失を与えない、最小化すること」が、コンプライアンス対策です。
不正なアクセスを防ぐID管理を重視する
情報漏洩は、社内社外からの不正なアクセスから生まれます。コンピューターが無い時代は、ハンコやサインによってなられていたことが、IT時代では、ID認証により行われます。人に対しては、暗証番号、指紋認証等々でなされます。更にシステム間でも、ID認証が行われています。AIP(Application Programming Interface)と呼ばれる「アプリケーション、ソフトウェア」と「プラグラム」をつなぐ機能でもID認証が行われます。例えば、グーグルマップとウーバーの連携もAPIのお陰です。もし、ID認証を突破してウーバーに成り済ました者(プログラム)が、現れるとサービスそのものが成り立たなくなります。
システムに関する様々な不正は、システム内に人、プログラムが侵入することで起こります。怪しい人、プログラムの侵入を防ぐのがID認証ですが、これを厳格化すればするほど、ユーザーの観点からすると使い勝手が悪くなります。年に数回した使わないシステムのパスワードなど覚えていません。他のパスワードと共通化するか、どこかにメモしておくものでしょう。最近は、どのサービスでも「パスワードお忘れ」対策がついています。これも、もし悪意のある者が利用すれば、システムへの侵入の手助けになりかねません。
IT統制の立場から、ID認証は複雑化していく傾向があります。しかし、どんなに対策をしても突破されることを想定しておくことも必要です。具体的にシステム内に不正アクセスされたときの発見方法、緊急停止/システム切替得等の対策も事前に考えておくべきでしょう。システムは、便利だから利用が拡大してきました。その利便性をID認証が奪うのは本末転倒になりかねません。
組織員全員のコンプライアンス意識を高める
ITに限らずコンプライアンス対策は、人に帰します。どんなシステムでも、人的ミスを完全に防ぐことはできません。いくらID認証を厳格化しても、内部の人間の侵入は防ぎようがありません。
不正については、「不正のトライアングル」が知られています。不正は、動機、機会、正当化によって起きるというものです。ITに関しても、IT技術者、ユーザー、管理者に「不正のトライアングル」を成立させない工夫が必要です。ITに関しては、技術者もユーザーも単独でシステムにアクセスすることが多いものです。不正をする「機会」が、常にあると言ってもいい状況です。ITは、IT技術者に任せて、他の人は誰も知らない。ある部署では、特定の人しかシステムにアクセスすることがない。上司は、全くITに関わることに関心がない。こんな状況が、不正をする「機会」を拡大し、「正当化」の考えを醸成します。コンプライアンス意識を高めITにおいても問題が起こりうるのとの認識を組織全員で共有することが大切です。
まとめ
法令遵守、社会的責任を果たすといったコンプライアンスの考え方に基づき、IT統制を考えると以下の3点が重要です。
1)サービスを止めない
2)不正なアクセスを防ぐID管理を重視する
3)組織員全員のコンプライアンス意識を高める
この3点を考慮した対策、日常活動がコンプライアンス問題の発生を防止します。