解説: 富士通メインフレームGS/PFの内部統制
ホーム
コンサルティング&サービス
会社概要
お問合せ
技術情報
内部統制
サイト情報
用語辞典
ライブラリ
監査人の方へ 「
IT統制のための富士通メインフレームの基礎
」の連載をはじめました。 (※ユーザ限定です)
富士通のメインフレーム(GS21,GS,PRIMEFORCE、以下GS/PFと略す)での内部統制、特にIT全般統制の構築手法について、弊社はメーカより先行して
具体的な検討を行ってきました。
この作業を通し、GS/PFはセキュリティが確保されていると勘違いしている人、そう信じたがっている人(様々な利害関係による)がたくさんいることがわかりました。
内部統制に関わる皆さんには、多くのGS/PFは、セキュリティレス・統制レスで運用されている事実(これが標準だった)を認識して頂く必要があります。
そして、実際にお客様のシステムの現状を把握して、どこに大きなリスクがあるのか分析して頂くことが重要です。
第1部
IT全般統制(ITGC)とは
第2部 富士通メインフレームGS/PFのIT全般統制(ITGC)支援機能
第3部
GS/PFで目指すIT全般統制(ITGC)とは
第4部
GS/PFでのIT全般統制(ITGC)構築における問題
第2部 富士通メインフレームGS/PFのIT全般統制(ITGC)支援機能
● (7) 「GS内部統制強化の取り組みご紹介」を解説する@
上記1〜6、IT全般統制の基礎を理解した上でメーカが公開した「GS内部統制強化の取り組みご紹介」(*a)を読んでみましょう。
暫くの間、たとえ話として、1台のPC(Windows XP)を社長から従業員、バイトまで50人が共有して使っている会社を想像してください。
前提ですが、
・PCの運用は、10年以上前からこの方法でやってきて、何も問題は起きていないのが自慢(気づいていないだけかも?)。
・業務上必要ないのでインターネットにはつないでいない。
・IDは20個も登録してあり、パスワードは個人管理(パスワード無しのIDもある)、一つのIDを部単位で利用、前管理者のIDは現管理者がそのまま使用中。
大事な大手取引先から、内部統制の取り組みを教えて欲しいと言われ、慌てて体裁を整えようとしています。
管理者のA君は、上司からの指示で内部統制強化ソフトを調査しています。
@.セキュリティ管理(RACFによる管理) 〜 利用者認証と資源保護がRACFにより一元管理可能
A君は、さっそく試用版を取り寄せ、インストールしてみました。
IDを50個はなんとか作ることができました。
ファイルやフォルダ単位にアクセス権が設定できるようなのですが、誰が使っているかわからない10万以上あるファイルにどうやって設定するのでしょう??
監査ログが採れるようだけど、これは本当に役に立つたつのだろうか?
大変だ、プリンタが動かなくなったぞ。。。
お客様は、システムの状況を踏まえ、目的・目標を明確にし、アクセス管理の対象を絞っていく必要があります。
メーカは、「セキュリティ管理(利用者認証とアクセ制御)は、RACFを使用して一元管理可能。」といったお客様に誤解を与えるような表現を止め、できないこと(現実的で
ないことも含む)を自ら明確にし、公開し、代替案を提示すべきです。
また、計画中だった機能を広報もせずに勝手に中止しないようくれぐれもお願いします。
RACFは単なる製品です。RACFを導入しても、職務分掌ができていなければ意味がありません。
*a FUJITSU FORUM 2007 (2007/5/18) セミナー:経営課題に対応する基幹情報システムの将来展開より
ご意見・ご質問等は
専用フォーム
からお願いします。
<<
ホームへ
第1部
第2部
第3部
第4部
● (8) 「GS内部統制強化の取り組みご紹介」を解説するA
上記1〜6、IT全般統制の基礎を理解した上でメーカが公開した「GS内部統制強化の取り組みご紹介」を読んでみましょう。
(たとえ話の続き)
A.開発/変更管理
昨夜はプリンタトラブルで大変だったA君は、マニュアルを読んでいます。
・ソースプログラムの履歴変更管理... そんなものよりexeファイルを置き換えられちゃったらどうするの?
・開発と運用の分離... VMで分けるか、PCをもう一台買えって!?
おいおい、経理のB君が自分で作っているEXCELのマクロはどうすればいいの? いつ変更したんだっけ。
このマニュアル、全然答えになってないじゃん。
本来、Systemwalkerの変更管理のサポート予定とかとか言わなきゃいけないのに知らんぷり。
内容の薄さからも紙面を見ててもここが弱いのは一目瞭然です。OSの開発屋さんは変更管理の重要さを知っているはずなのに...
一人の担当者がソースを直して、テスト系(VM)で確認して、問題ないから本番系(VM)に反映するのは×です。
お客様の運用・開発環境、体制を踏まえ、「OSの脆弱性」を熟知した上で、変更管理マニュアルの作成が必要になります。
メーカは、「ユーザの責任で」の一言で逃げてはいけないと私は思います。メーカにプレッシャーをかけるにはお客様の声が必要です。
ご意見・ご質問等は
専用フォーム
からお願いします。
<<
ホームへ
第1部
第2部
第3部
第4部
● (9) 「GS内部統制強化の取り組みご紹介」を解説するB
上記1〜6、IT全般統制の基礎を理解した上でメーカが公開した「GS内部統制強化の取り組みご紹介」を読んでみましょう。
(たとえ話の続き)
A君は引続きマニュアルを読んでいます。
B.安定運用
あれ、システムの運用・管理について記述するところを、安定運用と災害対策にすり替えているぞ。
C.モニタリング
現状の製品/機能で採取できる監査ログ、よくわからない表現だ。
・開発時のログ... ソースプログラムの変更管理・・・変更管理ができてなきゃ意味がないな
・業務使用者のログ... 端末使用者と業務使用者は同じ意味なのか?
・業務運用中のログ... バッチ業務でのDB/ファイルへのアクセスログ取得・・・バッチ業務だけなのか、ファイルってのが微妙だ
オンライン業務での業務ログの取得・・・業務ログって何だ
結局、自分ですべて試してみないとダメってことか。。。
ポツポツとできることはありますが、IT全般統制(
上記1、2
)としてつながっていないことを理解してください。
監査人の視点(
上記3
)にある、運用・管理業務の統制活動もまじめに考える必要があります。(多くのシステムは統制がとれていません。)
不十分な点を明確にせず、必要なログ情報を判断願いますと本当にお客様に言ってしまうのでしょうか?
ご意見・ご質問等は
専用フォーム
からお願いします。
<<
ホームへ
第1部
第2部
第3部
第4部
● (10) 「GS内部統制強化の取り組みご紹介」を解説するC
上記1〜6、IT全般統制の基礎を理解した上でメーカが公開した「GS内部統制強化の取り組みご紹介」を読んでみましょう。
(たとえ話の続き)
結局、ここまではできる機能を断片的に書いてあるだけで、内部統制としてはほとんど意味ががないことがわかりました。
期待して、機能強化に向けた考え方を読んでみました。
・ログの活用
監査ログ、業務ログのCSV化 ・・・ とてもログにこだわっているけれど、このログは役に立つのだろうか? 容易に採取できるのだろうか?
CSV化も大切だけど、あとはユーザの責任だ、なんてことないよね。
・更に詳細な業務ログ ・・・ WRITEした電文わかってわかってもね〜 おまけに未だ検討中だし。
・オープンサーバと連携 ・・・ EXCELでできるデータ集計でなく、システム運用に関する本質的な連携をやってください。
ログが改竄されないためにオープンサーバでの管理が必要ですなんて言わないでね。
・RACF導入の簡易化 ・・・ 「内部統制」の要であるRACF、って本当にそう思っているのでしょうか?
こんな状態で、ご自身のIT統制どうなっているのかしら。。。
業務ログはHLFに書込みます。多くのシステムはHLFの設計ができいないことをご存知なのでしょうか。HLFに数倍の負荷がかかりますから、
色々なトラブルが起きるでしょう。おまけにシステムダウンに直結します。
そもそも今のAIM課金統計情報を、何に利用しようとしているのか理解できません。
発信元はほとんどわかりませんし、どのデータベースをアクセスしているは全くわかりません。ある自治体向けパッケージでは、どのプログラムが
動いていることもわかりません。
RACFも簡単に導入できればまだよいのですが。。。 運用がまわらなくなったり、重大トラブルが増えたらまさに本末転倒です。
(これこそ企業としての重大リスクであり、一番最初に統制しなければならない)
システムの現状を正確に把握して、真のリスクから優先順位をつけて改善していくことが重要だと考えます。
ご意見・ご質問等は
専用フォーム
からお願いします。
<<
ホームへ
第1部
第2部
第3部
第4部
2007年4月作成、2008年2月更新
株式会社アイビスインターナショナル
代表取締役 有賀 光浩
株式会社 アイビスインターナショナル
134-0003 東京都江戸川区春江町4-17-12
All rights reserved, Copyright (c) IBIS International Inc. 2005-2015
株式会社 アイビスインターナショナル 134-0003 東京都江戸川区春江町4-17-12