|
このページは転職・就職類義語辞典が 2006年 12月 01日 06時00分44秒 にクロールしたキャッシュ情報です。
|
検索キーワード= 転職 就職 再就職 ハローワーク インターンシップ
優先キーワード= 転職 就職 再就職 ハローワーク インターンシップ
[ 58] 日本版SOX法「実施基準案」を読み解く−その2 − @IT
[引用サイト] http://www.atmarkit.co.jp/news/200611/22/jsox.html
日本版SOX法(金融商品取引法の一部)の実施基準案がパブリックコメントにかけられた(参考記事)。企業はこの実施基準案を参考に内部統制整備を本格的に開始する。実施基準案を企業はどう読めばいいのか。ベリングポイントのマネージャー 嘉鳥昇氏は「ポイントは3つある」と語る。
ポイントの1つ目は実施基準案が「会社がやるべきことを具体的に示している」(嘉鳥氏)ことだ。対応するうえでの例示も多く、企業にとっては最良のガイドラインになるという。米国SOX法では初期にガイドラインが示されなかったことで、企業、監査法人とも過剰な対応になるケースがあった。ベリングポイントのマネージング ディレクター 新井聡氏は「具体性を持って方向性を示したのは米国で学んだことが反映されたのだろう」と話した。
2つ目のポイントは、企業が対応すべき最低限の“ミニマムルール”を示すことで、企業が独自の判断で対応できるようにしていることだ。「重要性の考え方にある程度、幅を持たせている」(嘉鳥氏)といい、「経営者は自分で考えることがポイント」という。対応の幅が認められることは一方で「自分の会社にとって何が重要かを経営者が自ら考える必要がある」ということ。内部統制についてのガイドラインや教科書はいくつもあるが「環境が変われば、それなりのカスタマイズが必要になる。会社は継続して内部統制を理解し、ブラッシュアップすることが重要だ」と嘉鳥氏は指摘した。
ポイントの3つ目は監査人との協議を推奨し、監査の失敗や社内の手戻りなどを避けることに配慮していること。監査人の独立性の問題から米国では監査人と企業とのコミュニケーションが難しかった。しかし、実施基準案では「内部統制の構築等の段階においても、経営者等と必要に応じ意見交換を行い」として監査人と企業とのコミュニケーションを認めている。また、「有効な内部統制の構築等に向けて適切な指摘を行うことを妨げるものではない」として、監査人の指摘に正当性を認めている。
嘉鳥氏は「会社とのコミュニケーションが不足すると監査人も保守的になり、ミニマム以上の対応を求める傾向がある」としたうえで、実施基準案が意見交換や監査人の指摘を認めたことで、「監査人が意見を言いやすくなり、企業も方針を示せるようになった。監査人から後になって問題点を指摘されるという失敗リスクを避けられる」と評価した。
ベリングポイントが担当している企業では「できる限り企業に負担をかけないように内部統制整備を進めている」(新井氏)といい、「実施基準案のインパクトはそれほどない」(同氏)。アビーム コンサルティングなどが問題視(参考記事)する監査人が行うITシステムの監査についても、「日本公認会計士協会の『IT委員会報告第3号』を踏襲している。今回の実施基準案で新たな混乱は生じないだろう」と見る。
企業の今後の対応について嘉鳥氏は「いままでのアプローチと実施基準案との差分を理解する必要がある。そのうえで不足している分野、やりすぎている分野については検討が必要だ」と話した。
【モニター読者キャンペーン】「TechTargetジャパン」ご登録メンバーを対象に「月刊アイティセレクト」のモニター読者キャンペーン実施中
|
[ 59] 弊社サイトのウイルス感染問題に関する再発防止策実施完了のお知らせ
[引用サイト] http://www.vector.co.jp/info/061116_td.html
弊社は、平成18年9月27日に発生いたしました「弊社サイトのウイルス感染問題」に対し、代表取締役社長である梶並伸博を責任者とする社内プロジェクトチームにて、発生経過の分析と問題点の洗い出し並びに再発防止策の徹底的な検討と実施を進めてまいりました。
平成18年10月5日に「弊社サイトのウイルス感染問題に関する再発防止策について」を暫定対応として発表いたしましたが、平成18年11月15日をもって再発防止策の実施が完了いたしましたので、発生経緯のご報告とあわせ、下記のとおりお知らせいたします。
調査の結果、まず社内のクライアントPCが感染し、その後社内ネットワークサーバおよび公開準備サーバ上のファイルに感染が広がったことが判明しました。ただし、感染元PCの特定を含め、感染拡大の詳細については、情報が不十分で解明することができませんでした。
問題点の洗い出しを行った結果、以下の5点に問題があることが判明し、再発防止策を実施を進めてまいりました。いずれの再発防止策も11月15日をもって実施を完了しております。
従来の体制ではメール、インターネットアクセス、環境監視すべてを単一のウイルス検査ソフトメーカーの製品に頼っており、同製品の検出能力に大きく依存する状態となっていました。
■ウイルス検出能力の向上作業環境を監視するウイルス検査ソフトの検出性・効率性を考慮した上で、5種類に増強し、各検査ソフトの新種ウイルスに対する対応速度の差を補完いたしました。■ウイルス検出の早期化の工夫社内のネットワーク上にウイルスのターゲットとなりやすい領域を用意し、毎時1回以上のウイルス検査並びに改ざん検査を行い、異常時には全社員宛に警告メールを発送するようにいたしました。
未知のウイルスによるファイルの改ざんを検出するために、社外からの配布用ファイル受領後なるべく早期の段階でファイルの同一性確認コードをとり、作業上の要所にてファイルの受領時点との同一性を確認します。同一性の確認が取れないファイルが存在する場合は、公開準備サーバから公開サーバへの転送を禁止します。
ライブラリサービスの配布ファイルはその数が極めて多いため、公開準備サーバに公開イメージ(公開サーバと同等なファイル構造)を作成した上で公開サーバへ転送する形式をとっております。従来は、サービス運営上、最も問題の少ないと思われる深夜時間帯に、自動処理により新しいファイルを公開サーバへ転送していました。
■自動転送の停止無人自動転送による公開サーバのウイルス感染を防止するため、有人対応に変更いたしました。■公開ファイル転送時の環境安全性の確認公開サーバへのファイル転送時は、転送依頼者が安全性の確認シートに基づき確認を実施後、転送依頼を行い、転送作業実行者は同シート所定の確認手順が実施されたことを確認の上で転送作業を行うように変更いたしました。
従来は、作業の利便性の観点から公開準備サーバ上の作業場所はWindowsネットワークからの接続が可能となっており、Windowsネットワークを介して感染するタイプのウイルスに対して配布用ファイルが無防備な状態となっていました。
社内環境と公開サーバとの中間的位置にある公開準備サーバは社内作業用サーバとは別の独立したマシンを使用し、Windowsネットワークによる接続手段は設けない設定に変更しました。これにより、ファイルの公開にかかる作業の終了時からファイル転送が完了するまでの間のネットワーク感染型ウイルスによる感染・ファイル作成を回避いたします。
ウイルス感染ファイルが検出された場合の対応方法が十分に整備されておらず、対応作業に一部混乱が生じる結果となりました。
ウイルス検出時の対応手順、感染確認後のサービス停止手順等の対応手順書を作成し、全役職員へ周知徹底いたしました。
本対策の実施により、弊社内で発生したウイルスの活動によって感染したファイルが公開される危険はほぼなくなったものと考えております。
ただし、本対策によっても弊社へ登録・納品された時点で未知のウイルスに感染していたファイル、市販のウイルス検査ソフトによって検知できない形態でウイルスが隠されているファイルが登録・納品時のままの状態で公開される可能性は残ります。
|
戻る
|