解説: 富士通メインフレームGS/PFの内部統制
ホーム
コンサルティング&サービス
会社概要
お問合せ
技術情報
内部統制
サイト情報
用語辞典
ライブラリ
監査人の方へ 「
IT統制のための富士通メインフレームの基礎
」の連載をはじめました。 (※ユーザ限定です)
富士通のメインフレーム(GS21,GS,PRIMEFORCE、以下GS/PFと略す)での内部統制、特にIT全般統制の構築手法について、弊社はメーカより先行して
具体的な検討を行ってきました。
この作業を通し、GS/PFはセキュリティが確保されていると勘違いしている人、そう信じたがっている人(様々な利害関係による)がたくさんいることがわかりました。
内部統制に関わる皆さんには、多くのGS/PFは、セキュリティレス・統制レスで運用されている事実(これが標準だった)を認識して頂く必要があります。
そして、実際にお客様のシステムの現状を把握して、どこに大きなリスクがあるのか分析して頂くことが重要です。
第1部
IT全般統制(ITGC)とは
第2部
富士通メインフレームGS/PFのIT全般統制(ITGC)支援機能
第3部
GS/PFで目指すIT全般統制(ITGC)とは
第4部 GS/PFでのIT全般統制(ITGC)構築における問題
第4部 GS/PFでのIT全般統制(ITGC)構築における問題
● (20) 体制上の問題
多くのお客様では、GS/PFのIT全般統制の構築まで手が回っていないのが現実だと思います。この状況での問題点を次のように見ています。
・内部統制に関わっている人(お客様、監査法人、コンサルタント、メーカ)のほとんどはGS/PFを知らない。
・GS/PFをわかっている人は、内部統制(or ITGC)を理解するまで手が回らない。(or 正直、関わりたくない)
両者の会話が成り立たず、目標の共有もできません。
(⇒ 2007/10/4より”ユーザ限定”で、監査人の方へ「
IT統制のための富士通メインフレームの基礎
」を連載しています。)
よくあるケースですが、ITGCの話しを、セキュリティ管理やITILなどに誘導するのも現場を混乱させる原因の一つだと思います。
(セミナー等でITGCについて誤った説明をされるケースも多々あります。)
今どきの営業・SEは、マニュアル化されているもの、答えがあるものには対応はできますが、智恵を出すことがなかなかできないようです。
お客様は、提案されたものが正しいのか、適切なのか比較検討する手段がなく、新たな問題が発生する可能性もあります。
従来のSIビジネスとは異なるので、お客様の営業・SEを見る目が重要になってきます。
RACFで例えると、内部統制対応で導入するのと、セキュリティ管理で導入するのはアプローチも結果も全く異なります。
(一方が他方を包含する関係ではありません)
内部統制対応がリスクにならないよう、情報を発信していきます。
ご意見・ご質問等は
専用フォーム
からお願いします。
<<
ホームへ
第1部
第2部
第3部
第4部
● (21) 証跡ログの問題
RACFは内部統制のツールでない
でコメントした後、RACFを知っている人の間では少しずつ意識が変わってきたようです。
RACFを知らない多く人たちには、現在このホームページしか情報を伝える手段がありませんので、この場で繰り返し問題を提起していきます。
ログ管理を考える前に、ログを使って何をしたいのか目的を明確にすることが重要です。
とり合えずRACFのログを取っていれば何かのときに役に立つだろうと思ったら大きな間違いです。多分、ほとんど役に立たないでしょう。
加えて、
ログの脆弱性
も十分に認識し、対策を打っておく必要もあります。
ちなみに、RACFのログはSMFのタイプ80になります。ほかにもログには色々なものがあります。⇒
GS/PFで取得できる(監査)ログ情報
効率のよいログ管理は他メーカさんを含めて検討しています。
注)タイトル変更 RACFログの問題 ⇒ 証跡ログの問題 (2007/10/3)
ご意見・ご質問等は
専用フォーム
からお願いします。
<<
ホームへ
第1部
第2部
第3部
第4部
● (22) ハード、ソフトだけでは解決しない
GS/PFが1台で、AVMもRACFも使っていないシステムだと、
・ID管理なし(すべてが特権ユーザ)
・アクセス管理なし(プログラムもデータも触りたい放題)
・本番、開発環境の分離なし
・証跡ログもなし
の状態です。
AVM(仮想システム)を導入すると、本番系と開発系の分離はできますが、人がいないので職務分掌が簡単にはできません。
RACFを導入すると、TSS/AIFのIDとパスワードはできますが、それを管理するには人が必要。
ファイルのアクセス管理には、業務も運用もわかる人と、本番機で正常に稼動させるためのテスト期間が必要。それを管理にはまた人が必要。
ログの管理も人とツールが必要。
さらに、効率化された今の業務と逆行する手続き、職務分掌、確認作業が追加。
ハードやソフトを入れただけでは何にも解決できません。
(昔、コンピュータ、ソフトなければただの箱といったのと似ている、古い!)
現実的にできないことが多々あります。
2008年3月までに何をやって、何を来年以降に持ち越すのか。
思案中の方も、そろそろ覚悟を決めて頂いたほうがよいのではないでしょうか。
ご意見・ご質問等は
専用フォーム
からお願いします。
<<
ホームへ
第1部
第2部
第3部
第4部
● (23) ID管理の問題
システムを管理されている貴殿は気づいていると思いますが、OSの機能でのTSS/AIFのID/パスワード管理には大きなリスクがあります。
これをシステム的に統制するには、RACFのID/パスワード管理が必要となります。
(もちろん、手間をかけて、ご自身でID/パスワード管理を作りこむことも、手動ベースで統制することも可能だと思います。実際にそうやっているお客様もいます。)
第13回で、RACFは内部統制のツールでないと言いました。これは必要条件でも十分条件でもないという意味です。ID/パスワード管理で見ると、
OSが提供しているのは、性善説に基づいた「簡易ID/パスワード管理」
RACFが提供しているのは、性悪説に基づいた「統制的ID/パスワード管理」
となります。RACFは、OSとしてあるべき機能の一部を提供しているだけです。
本監査のときに、RACFを使わないのは自由ですが、統制が不十分で、「ID管理ができていない」などの指摘を受けないよう十分ご注意ください。
ご意見・ご質問等は
専用フォーム
からお願いします。
<<
ホームへ
第1部
第2部
第3部
第4部
● (24) ソフトウェアの開発、変更の問題
1月21日に公開されたIT委員会研究報告第35号「ITに係る内部統制の枠組み 〜自動化された業務処理統制等と全般統制〜」に次の記述があります。
P.5
企業が大型汎用コンピュータを中心とするホスト系システムを利用している場合、全般統制は、主にソフトウェアの開発、変更、運用等というプログラムに関する
統制活動が対象となる。
大型汎用コンピュータ名指しで、最も弱いソフトウェアの開発、変更、運用をついてきましたね。
ルールも無ければ、ログも無い、テストも不十分、皆さん、今からどう対応をするのでしょう。
例えば、実際の証跡ログを分析すると、仕様上許されていないデータベースをアクセスしていることがよくあります。
⇒ これを検証するテストをやっていないからです。テストのやり方を知らないというのが実態かもしれません。
例えば、知らないプログラム(ジョブ)が動いていても誰も何も感じません。
⇒ 動いたプログラム(ジョブ)の検証など今までやったことがないからです。
例えば、プログラム(ロードモジュール)なんかちゃちゃっと変えられます。
⇒ 後を残さずできるからです。
これを機会に、本来やるべきことができるよう監査人の方はご指導ください。
ご意見・ご質問等は
専用フォーム
からお願いします。
<<
ホームへ
第1部
第2部
第3部
第4部
2007年4月作成、2008年2月更新
株式会社アイビスインターナショナル
代表取締役 有賀 光浩
株式会社 アイビスインターナショナル
134-0003 東京都江戸川区春江町4-17-12
All rights reserved, Copyright (c) IBIS International Inc. 2005-2015
株式会社 アイビスインターナショナル 134-0003 東京都江戸川区春江町4-17-12