ＩＴ維新研究所

ログ統合管理システムについて

【はじめに】

　最近、飛行機事故が散発しているようです。
飛行機事故は連鎖反応というか時々連続的に起こる傾向があるようですね。
そして、飛行機事故のニュースには必ずといっていいほど、
「フライトレコーダー」が回収されたので、この記録から事故の原因が判明するでしょう
とのコメントが流されます。
「フライトレコーダー」は、飛行機の運行状況に関しての数多くの情報を集録し
蓄積するシステムです。
このレコード記録から事故の原因の解析が行われます。

ところで、ITシステムを運用している以上、
システムのトラブルは回避することはできません。
極力ゼロに近付け、極小化する努力は可能でも、
完全ゼロにすること不可能というのが現実です。

ITシステムがトラブルを起こしたときに、
飛行機に装填されている「フライトレコーダ」と
同様のシステムが装備されていて、運用状況の情報が蓄積されており、
この記録からトラブルの状況がトレースできるとすれば
と思われることが多いかと思います。

ITシステムの事故や不正取引が逐一監視されており、
警告がなされ、すべてのシステム稼動情報が記録されており、
この記録から原因がトレースされるとしたら・・

これらのデータや情報を長期間保存するとなると
保存用のファイル容量もかなりの容量になります。
従って、このファイルには強力な圧縮技術が必要であり、
アクセスの必要な場合には直ちに元の形でアクセス可能
となる機能が必要です。

100年以来の世界恐慌の到来とのことで、
先行き不透明な事態となり、
全体的に投資予算や経費予算の縮小が強要されている事と思います。
ITシステム関連の予算も例外ではなく、
ゼロベース査定の企業が多いかと思います。

しかしながら、こんな状況の中でもシステムの安全性を
保障するための投資予算を大幅削減することは
システムをリスクに晒すことになり、
企業経営の根幹を支えているITシステムのリスクは、
企業経営活動そのもののリスクを増大することになります。

従って、いくら不景気になってもITシステムの安全性を
脅かすようなコストカットは不可能です。

IT予算の中味を分析すると、
下記のようなカテゴリーに属するものがあります。

1)法的規制を保持するためのもの
2)システム運用・開発維持コストを低減させるためのもの
3)システムの安全性を確保するための投資

等々ですが、
これらの条件に合致したITシステムのひとつとして
「統合ログ管理システム」があります。

今回は、この「統合ログ管理システム」を考察してみました。

【統合ログ管理システムの概要】

1)J-SOX法の施行によりIT統制が重視され、
　システム運用管理記録の保存が必要となっています。

ITシステムがどんな状況で稼動しているかを把握し、
この情報を記録・蓄積するためのシステムが必須条件となっています。

このログ管理情報からコンプライアンス監査レポートの作成も必要となってきます。

運送トラック等にはタコメーターというものがあります。
これにより限られた範囲での運転状況が把握できます。
しかし、トラブルが発生した場合に原因を追究するには限界があります。
詳細の情報が不足している場合が多いのと
タコメータの記録目的が異なるからです。
これに比較して、飛行機には、通称「ブラックボックス」と呼ばれる
「コクピットボイスレコダー」と「フライトデータレコーダー」の
二種類の情報収集・記録保存用の装置が装填されています。
本稿では、この両者を略称して「フライトレコーダー」と呼ぶことにします。

IT統制にもこの「フライトレコーダー」と同様(類似)なシステムがあれば、
システムの安全な運用管理のための有力なツールとなると思われませんか?

通常のログ管理システムが「タコメーター」とすれば、
「フライトレコーダー」の機能を果たすシステムが
「統合ログ管理システム」と呼ばれるシステムなのです。

2)ITシステムには、従来からのログ管理システムが存在しますが、
　解決すべき課題があります。

企業経営活動を支援するためのITシステムは複雑化しており、
機能別、目的別に複数の個別のサブシステムを連携させて稼動しています。
当然のことながらこれらのサブシステムには各々のシステムニーズに応じた
稼動状況を記録するためのログデータ収集システムが存在します。

これらのサブシステムは、現実には個別バラバラにメンテナンスが
行われログ記録も個別に保存蓄積されているのが現状かと思います。
なにか事故や障害が発生するとこのログ記録を分析して原因を追跡して
問題解決を図ることになります。

しかし、サブシステムごとに開発されているため統一的な情報が
収集され蓄積されているわけではありません。
分析用のシステムも目的に応じて緊急に開発する必要が発生する場合もあります。

ログ管理システムはどちらかというと裏方的なシステムであり、
表面化し難いコストで構成されています。
正常時の運用管理コスト、緊急時の対応のために臨時に発生する
システム分析コスト等は、決して小さなものではありません。

これらのバラバラのサブシステムごとのログ管理システムを
一元的、統合的に管理するシステムがあれば、
運用管理上のメリットは大きく、
データの収集・蓄積保存・分析の各段階でのコストを
トータルとして削減が可能となります。

3)システムの稼動時に異常検知し警告を発するシステム

また、「統合ログ管理システム」には、
ログデータを収集する過程でリアルタイムで異常を発見する機能
が備わっています。
この機能を活用して、システムの異常な稼動を
常時監視することも可能となります。

【統合ログ管理システム利用の視点】

大規模なシステムになれば、システムに関係する当事者も数多く、
各々がその使命を果たすための役割を担っています。
そして、この当事者が必要とするログデータの分析監査の視点も
バラバラということになります。

すなわち、ネットワーク管理の視点、セキュリティ管理の視点、
サーバー管理の視点、デーベース管理の視点、アプリケーション管理の視点、
そして、コンプライアンス監査の視点等々と
その目的により管理分析の目的も手法もバラバラです。

各々管理のニーズを一元的、統合的に充足させる機能を
兼ね備えているシステムとして「統合ログ管理システム」と
呼ばれているシステムの存在価値があるのです。

【まとめ】

先行きの見通せない不景気感の中で例外的な企業はあるものの、
大部分の企業の収益は悪化の傾向を示しています。
このような中で、ITシステムに関する予算もゼロベースの策定が多いかと思います。

しかし、ITシステムは企業の経営活動に不可欠なシステムとして
存在価値を増大しています。
このITシステムの安全性が脅かされれば
企業経営活動そのものに支障を来たしてしまいます。

このような景気逆風の時こそ、
何が重要で何が必要でないのかの取捨選択が必須な時期にあります。

この環境の中でシステムの安全性の確保と運用状況を詳細に記録し
蓄積するシステムは最優先のシステムと確信します。

今回採り上げた「統合ログ管理システム」も
不景気下でも最優先すべき課題のシステムのひとつと思います。

【補注】ここでの「統合ログ管理システム」は、RSA-enVisionを想定しています。

三寒四温といいますか、もう春ですね。

本日は、確定申告最終日です。

税務署に行かねばと思いつつ、結構面倒ですね。

ところで、

◆日本版ＳＯＸ法　通称　J-SOX法ですが、実はよくわかりません。

先日、金融庁から、コメントが公表されました。

概要を収録しておきます。

◆「内部統制報告制度に関する11の誤解

【はじめに】

金融庁は3月11日、「内部統制報告制度に関する11の誤解」を公開し、
あらためて制度の意図を説明した。

また、4月1日から導入される内部統制報告制度を円滑に進めるための、
今後の行政の対応方針も合わせて発表した。

【日本版SOX法対応の過度に保守的な対応とは】

金融庁は、いわゆる日本版SOX法で求めている「内部統制報告制度」が
4月1日からの事業年度から導入されるのに伴い各企業の実務現場が
対応作業を進めているものの、
「一部で過度に保守的な対応が行われている」と指摘。

この点を踏まえ、「内部統制報告制度に関する11の誤解」を公表し、
あらためて制度の意図を説明している。

金融庁が公開した１１の誤解とそれに対する回答を要約すると、

◆米国SOX法と同じなのか
誤解その1     米国SOX法のような制度が導入される
回答     米国SOX法に対する批判を踏まえて制度を設計した。

具体的には、負担軽減のために評価する範囲の絞り込みを工夫したり、
内部統制の不備を「重大な欠陥」と「欠陥」の2種類に減らしたりしている

◆特別な文書化が必要なのか
【誤解その2】内部統制のためにフローチャートなど新たに特別な
文書化作業を行わなければならない
【回答】 企業がすでに作成・使用している記録などを利用すればよい。

具体的には、フローチャートや業務記述書などの作成は必ずしも求めて
おらず、すでに作成している記録などを利用して、
必要に応じて補足すればよい。
記録もすべてを文書として保存するのではなく、
適切な範囲でハードディスクなどの記録媒体に保存すればよい

◆すべての業務に内部統制が必要なのか
【誤解その3】どんなに小さな業務プロセスでも内部統制を整備・評価
　　しなければならない
【回答】全社的な内部統制が最重要であり、
その評価結果を踏まえて重要な虚偽記載につながるリスクを勘案し、
業務プロセスを評価する範囲を絞り込むことができる。

具体的には、売り上げの3分の2に達するまでの事業拠点における3つの
勘定科目（売り上げ、売掛金、棚卸資産）にかかわる業務に絞り込む。
さらに、評価対象となった業務のうち重要性の僅少（具体的には5％）
なものがあれば除外できる

◆中小企業でも大がかりな対応が必要か
【誤解その4】米国では中小企業にも配慮する動きがあるが、
日本では中小企業でも大企業と同様な内部統制の仕組みが必要である
【回答】上場企業のみが対象。かつ企業の規模や特性など中小企業の
実態を踏まえた簡素な仕組みを正面から容認する。

具体的には、マンパワーが不足している場合などには、
経営者やほかの部署が適切にモニタリングすればよい。
また、モニタリング作業の一部を社外の専門家に委託することも可能

◆問題があると罰則等の対象になるのか
【誤解その5】内部統制報告書の評価結果に問題がある場合、
上場廃止になったり、罰則の対象になる
【回答】内部統制に問題（重要な欠陥）があっても、
それだけでは上場廃止や金融商品取引法違反（罰則）の対象にはならない。

罰則の対象となるのは、内部統制報告書の重要な事項について
虚偽記載をした場合

◆監査人等の指摘には必ず従うべきか
【誤解その6】内部統制の整備・評価は、監査法人やコンサルティング会社
のいう通りに行わなくてはならない
【回答】自社のリスクを最も把握している経営者が主体的に判断すればよい。

具体的には、監査法人やコンサルティング会社の開発したマニュアルや
内部統制ツール・システムを使用しなければならないということはない

◆監査コストは倍増するのか
【誤解その7】財務諸表監査に加えて新たに内部統制監査を受けるため、
監査コストは倍増する
【回答】内部統制監査は、財務諸表監査と同一の監査人が一体となって
効率的・効果的に実施する。

具体的には、監査計画は財務諸表監査と内部統制監査で一体的に
作成するほか、それぞれの監査で得られた監査証拠は相互に利用できる

◆非上場の取引先も内部統制の整備が必要か
【誤解その8】上場会社と取引すると、非上場会社でも内部統制を
整備・評価しなければならない
【回答】上場会社と取引があることで内部統制の整備などを
求められることはない。

具体的には、上場会社の仕入先や得意先などの取引先（非上場会社）には、
内部統制の整備・評価は求めておらず、これまでどおりの納品書、請求書
等の作成などでよい。
また、委託業務の委託先であっても、重要な業務（プロセス）となって
いない場合には、評価の対象とはならない

◆プロジェクトチーム等がないと問題なのか
【誤解その9】内部統制報告制度に対応するためのプロジェクトチーム
がない場合や、専門の担当者がいない場合は、問題（重要な欠陥）だ

【回答】内部統制報告制度への対応については、
既設の部署などを活用するのでもよい。
必ずしもプロジェクトチームや専門の担当者を置くことは不要である。

具体的には、内部統制の評価作業等の一部を社外の専門家を
利用して実施してもよい

◆適用日（2008年4月1日）までに準備を完了する必要があるのか
【誤解その10】2008年4月から内部統制報告制度が適用されるので、
もう間に合わない
【回答】内部統制はプロセスであり、問題点があれば、
　　　　その都度是正していくことが重要。

具体的には、3月決算の場合には、2009年3月期末日までに問題点が
是正されていれば内部統制は有効といえる。
そうでなくても、期末日後の是正措置や是正に向けての方針などを
報告書に記載することが可能

◆期末のシステム変更等は延期が必要か
【誤解その11】内部統制の評価のために、期末に予定していたシステム
変更や合併などの再編を延期しなければならない
【回答】予定を変更せず、そのまま実施しても内部統制は有効。

具体的には、期間内に十分な評価手続を実施できないとしても、
経営者は「やむを得ない事情」によるものとして、
評価範囲から除外して内部統制の評価ができるほか、
この場合監査人は「無限定適正意見」を表明することができる

【金融庁の今後の行政方針】

　また、金融庁は内部統制報告制度を円滑に進めるための、
今後の行政の対応方針も発表した。【別紙２参照】

それによると、まず準備状況を的確に把握するために、
会社や監査人に対してヒアリングなどを行い、
準備段階における疑問点や問題点を把握する。
また、基準などの内容を明確化するために、
「追加Q&Aの公表」「相談・照会窓口の設置」「制度導入後のレビュー」
を実施する。

さらに内部統制報告制度の導入に当たっては、
過度に保守的な対応にならないように制度の円滑な実施を図る
という観点から指導中心の行政対応を行うとした。

【まとめ】

日本版SOX法に関しては、コンサルタント会社やＩＴ企業が対応用の
ソフトの販売のためのセミナーを開催してきた。
各種のセミナーに参加しても、総論、概念に関しては理解できるものの、
具体的に何をすればよいのか不明であり、
今回金融庁の公表したような誤解が生じている。

この誤解が一部でも解消されればいいのですが・・・

詳細は、金融庁のホームページをご参照ください。