NECでは、After J-SOX ソリューションとして、IT統制の運用を支援し、J-SOX法監査対応をお手伝いするツール、アプリケーション変更管理「WebSAM ClearSoXit（クリアソキット）」を提供しています。

WebSAM ClearSoXitは、正規な手続きに基づき変更されたアプリケーションの変更を管理するのはもちろんのこと、正規な手続きではない変更を本番環境のチェック（=モニタリング）機能を利用し、不正な変更を検知することで、IT統制をサポートします。アプリケーションの機能追加や仕様変更、データベースのスキーマ情報の追加・更新などで、本番環境に手を加えた場合は、如何なる場合も、その変更の責任の所在を明らかにするとともに、該当の履歴を証跡として残し、監査時に証明として見せることが可能です。これは、従来人手や紙で管理していた変更管理の記録をWeb上で管理できるようになり、監査対応業務の効率が高まります。

以下で、J-SOX法対応での負荷が高まっている情報システム部門を、WebSAM ClearSoXitがどのようにお助けしていくかご紹介していきましょう。

J-SOX法に対応するため、企業は内部統制の構築を手探りで進め、初年度の内部統制監査をなんとか乗り越えました。財務会計部門などが中心となった構築でのプロジェクトチームは解散し、今は運用・評価フェーズへと入っています。

IT統制を主導する情報システム部門には、毎年実施される内部統制監査に対応するための業務がズッシリとのしかかっています。人手と手間のかかるこの業務をなんとかしないと本来の業務が圧迫されてしまう・・・そんな危機感を抱く情報システム部門の担当者も増えているようです。

中堅メーカーA社の情報システム部で勤務する赤羽橋さんもそんな担当者の1人。その悩みをSIerの田町さんに相談しに行きました。

「人手でやっていると証明が非常に難しいところですね」

「そうです、特にリリース担当者自身が 『誤ったプログラムをリリースしたことを認識できない、あるいは作業を誤ったことを認識できない、知らないうちにプログラムが置き換わったことを発見できない』 といったリスクがあるのです。そのことを定期的に手作業でチェックするのは大変ですよね。『本番環境が変わっていないという証明』を作るのも大変です」

「WebSAM ClearSoXit は、IT全般統制を支援するアプリケーション変更管理ソフトウェアです。正常なリリースはもちろんのこと、運用プロセスから外れた不正なプログラムリリースを自動で発見できるので、管理スタッフが手作業でチェックする手間がなくなりますよ。また、定期的に本番環境をチェックしますので、本番環境が変わっていないことの証明も可能で便利です」

「それは助かります！　手作業では見落としが心配でした。自動で証明を作ってくれるのは確実で安心です。変わっていない証明なんて、作りようがありませんでした」

「緊急対応での変更など、正規の手続きを踏んでいない変更を人手で見つけるのは難しいですね」

「そうなのです。リリース記録から発見できず、変更の全体数から漏れたこともあり問題でした」

「WebSAM ClearSoXitはそれを見つけるだけでなく、その後の処理や手続きをサポートしてくれます。これは、ほかのツールと比べてもWebSAM ClearSoXit独自の仕組みですね」

「ナルホド、検知後のフォローもあるのがいいですね」

「いかがです？赤羽橋さん、WebSAM ClearSoXitによる自動化で人手による手間はかなり減らせると思いますよ」

「そうですね、不正リリースや非正規のリリースを確実に発見できる仕組みづくりが第1ステップなのですね」

「ええ、IT統制には、ほかにも、特権ユーザ管理、厳格なアクセス管理が求められます。これらをログ収集・分析ツールと連携しながら、段階的に拡大し、統合的な統制環境の整備を実現していくのがいいですね」