【 ここから本文 】
- TOP
- > Topics : コンプライアンス
- >
コンプライアンス
ソーシャルブックマークに登録 :
印刷用ページの表示
【事例】
「予防」と「発見」の両面からコンプライアンスに取り組む
事例に学ぶ、上場企業におけるツールの選定理由と運用状況
(2007年12月25日)
業務への影響を最小限にするのがもう1つの条件
データベース・ログ取得の仕組みは、日本版SOX法への対応が1つのきっかけとなり、検討を始めたという。いくつかの製品を検討したうえで、2007年6月に、インサイトテクノロジーが開発/販売するデータベース監査ソフトウェア「PISO」の採用を決定するに至った(図1)。
 |
| 図1:東芝テックにおける「PISO」導入/運用に関するスケジュール |
PISO採用の決め手となったのは、まずは戸城氏がこだわった、すべてのデータベース・ログを確実に取得できるという点だ。
「他のデータベース監査ツールだけではなく、ネットワーク監視ツールなども含めて検討しました。しかし、ネットワーク監視という手法では、データベース・サーバのコンソールを直接操作されたとしたら、その操作を検知できません」(同氏)
データベース・ログをすべて取得できるという条件とともに戸城氏が重視したポイントは、データベースを利用する基幹システムのパフォーマンス低下を最小限にとどめることだったという。
「どのようなソフトウェアを選んだとしても、基幹システムへの負荷が発生します。しかし、毎日稼働している基幹システムにおいて、業務に支障をきたすほどのパフォーマンス低下が起こることは絶対に避けなければなりません」(同氏)
このパフォーマンスへの影響という点についても、PISOは許容できるレベルにとどまっており、以上の2点から、戸城氏はPISOの採用を決定した。
ログ取得の対象は9つの基幹システム
東芝テックにおけるPISOの導入作業は、2007年8月から9月の2カ月間で行われた。2カ月という導入期間について戸城氏は、「長いか短いかは判断しかねますが、少なくとも、基幹システムを利用しているエンドユーザーに影響を与えることなく、導入作業を終えられたと考えています」と評価する。
また、PISOを利用する際には、監査対象のデータベース・サーバにエージェント・ソフトウェアをインストールすることになるが、「手を加えるとしても、基幹システムのトラブルは絶対に避けなければいけません。そのため、インサイトテクノロジーさんには、導入に際してはスピーディーかつ慎重にと、当初からお願いしていました」(同氏)
導入作業の完了後、東芝テックでは10月からPISOの本稼働を開始した。PISOは現在、Linuxを搭載した2台のx86サーバで稼働している。運用については、稼働状況の確認などは行っているが、ログ取得の一連の処理に人手が介在することはないという。
「人手が介在したら、ログが改竄される可能性が出てきます。すべての処理が自動で行われなければ、わざわざログを取る意味がありません」(同氏)
ログ取得の対象となっているのは、生産管理、販売管理、経理、人事など、計9つの主要な基幹システムである。これらの基幹システムは、オラクルの「Oracle E-Business Suite」を中心に開発されたもので、そのデータベースには、すべて「Oracle Database」が利用されている。
もともとPISOは、Oracle Databaseを対象にしたツールであり、「Oracle7」から最新の「11g」まで幅広いバージョン対応を1つのセールス・ポイントとしている。「再構築の計画はあるにしても、現時点では、さまざまなバージョンのOracle Databaseを利用している」(戸城氏)という東芝テックにおいては、このPISOの特徴もニーズにマッチしていた。
膨大なログから不正なものを見極める分析作業を進める
データベース・ログを取得するシステムの導入作業が完了しても、実際の運用フェーズにおいては、蓄積されたログから情報漏洩やデータ改竄の可能性があるアクセス/操作を“発見”するための仕組みを構築することが必要になる。特に東芝テックにおいては、データベースに対するアクセス/操作をすべて記録しておくという、PISO導入のそもそもの目的に加え、前述のようにログ取得の対象が9システムにも及ぶ。「データベースに対する参照、更新、削除、追加といった操作を本当に逐一記録していくわけですから、1日だけでもログはかなりの量になります」と戸城氏が言うように、蓄積されるログが膨大な量になることは想像に難くない。
膨大なログから不正なアクセス/操作を発見できるようにするために同社は、まずPISOの本稼働が開始した10月の1カ月間にわたってログを蓄積することから始め、11月と12月の2カ月間で、蓄積されたログを分析するという作業を行っている。
「どのようなアクセス/操作が行われた場合に、アラートを出すようにするのかということを検討しています。要するに、正常なログと不正アクセス/操作の可能性があるログとを区別する閾値を決めているわけです」(戸城氏)
この分析作業は、インサイトテクノロジーの協力の下に進められている。膨大なログを分析する作業は、ユーザー企業が単独で行うには時間もかかるし、また、適切な閾値を見極めるためには相応のノウハウが必要になるからだ。
監査リポート作成機能も今後の視野に入れる
不正なログを見極める閾値の明確化のほかに戸城氏は、このシステムの今後の展開として、監査リポートや財務諸表の一部といったドキュメントを自動作成する機能の実装を検討している。
「日本版SOX法などで求められるドキュメントを作成するようにして、当社の財務諸表にリスクがないことを証明できるようにしたいと考えています。これについても、人手を介在させるのではなく、自動で行うことが重要です」(同氏)
人手が介在するような場合は、データが改竄される可能性をぬぐいきれない。また、むしろこちらのほうが起こりうる可能性が高いだろうが、人手の場合は悪意がなくても、ヒューマン・エラーによってドキュメントの不備が発生するというおそれもある。こうした事態を避けるためには、ドキュメント生成についても自動で行うことが重要になるわけだ。
戸城氏が指摘するように、本稿で取り上げたデータベース・ログを取得する仕組みだけで、コンプライアンスを確保し、また、日本版SOX法に対応するために必要な施策を網羅できるわけではない。だが、問題の予防保守と発見という明確な指針を示し、具体的な施策を着実かつ迅速に実施していこうとする姿勢は、コンプライアンスに関する取り組み全般にわたって通用するものではないだろうか。
