Friday Jan 18, 2008

IdM プロジェクトを立ち上げようとしている人向けセミナー @ Sun Software Showcase 2008

Sun Software Showcase 2008

既報の通り, 1/31 (木) に Sun の用賀本社にて Sun の主力ソフトウェアをまとめて紹介するイベントを開催することになった. 題して Sun Software Showcase 2008.

今回はアイデンティティ管理に関して独立したトラックを設け, 「来年度に向けていままさに IdM プロジェクトを企画・立案し, 経営層の判断を仰ごうとしている IT 部門担当者」 のみなさまに役立てていただけるような構成にした (つもり). 公式の要旨は申込 Web ページに書いたので, ここでは少し別の観点からご紹介:

  1. アイデンティティ管理システムにおける「管理しやすさ」と「使いやすさ」の追求 by 守屋さん
    意外と見すごされているけど, エンドユーザや管理担当者に 「このシステムが入って良かった」 と言ってもらえない IdM システムは, 長期的にみると絶対に維持・継続できない. このセッションでは IdM システムの使い勝手にフォーカスをあてて, Sun Java System Identity Manager のエンドユーザ・インタフェースや管理機能, カスタマイズ性などを, 実際のデモを交えてご紹介.
  2. アイデンティティ管理市場の最新動向とソリューション選択の指針 by 工藤
    最近の国内外の動向, IdM 市場の向かっている方向, 各ベンダのコンセプトの違いなどをお話しし, これから IdM ソリューションを選定するにあたってどのような点が重要となるか, をお伝えする予定.
  3. 目前に迫る内部統制監査と、ITシステムにおける職務分掌の整備・運用の要点 by 矢部さん @ 監査法人トーマツ
    共同セミナーの開催や 「職務分掌アセスメント + Identity Manager」 ブローシャの制作などで非常にお世話になっているトーマツの矢部さんのご講演. このセッションでは, 実際の監査業務に携わっている立場から 「有効な職務分掌の確立を達成する上で情報システム部門に期待される役割」 をテーマにご講演いただく予定.
  4. Sun Java System Identity Manager導入企業パネル・ディスカッション by ユーザ企業のみなさま
    今回の目玉! 昔から 「あー, いつか日本でもこういうのできたらいーなー」 と願っていたんだけど, ようやく実現することができた. たぶん国内初の試み. というか, \*競合他社で日本で同じことができる IdM ベンダは存在しない\* と思う. 登壇いただくのは日本ペイント株式会社さんの他, 全 3 社を予定. モデレータは僭越ながら小職が担当.

くりかえしになるけど, 「来年度に向けていままさに IdM プロジェクトを企画・立案し, 経営層の判断を仰ごうとしている IT 部門担当者」 のみなさまは, ぜひご参加くださいませ.

Friday Jan 11, 2008

「アイデンティティ飲み会」 は来週金曜

「アイデンティティ飲み会」の件, 以下のみなさまに案内を送った (つもり). もし届いていなかったらご連絡くださいませ.

それでは, 来週金曜の晩に!

Saturday Dec 15, 2007

「アイデンティティ飲み会」 は 1/18 (金) に決定

飲み会は, 1/18 (金) に決行ということで. いまのところ参加者は以下の通り:

当日まではまだひと月くらいあるので, 都合のつくかたは <tatsuoDOTkudoATsunDOTcom> へのメール, コメント, トラックバック, 口頭, 電話などなど, なんらかの方法での参加表明, お待ちしてます.

Thursday Dec 06, 2007

米国において, アクセス管理の問題が 「重要な欠陥 」 になってる最近の実例

表記の情報を得るには, EDGAR Full-Text Search

  • Advanced Search をクリック
  • Search For Text に "access controls" "controls over access" と入力
  • In Form Type のドロップダウンから 10-K を選択

として検索するのがよさげ.

EDGAR Full-Text Search

実際に検索してみると, 以下のような記述を含む Form 10-K (年次報告書) がざくざく出てくる:

  • 売掛金/買掛金担当が承認無くマスタ情報を変更できる

    Inadequate access controls with regard to computer master file information − Certain of the Company’s personnel in accounts payable and accounts receivable had access and could make changes to master files without approval.
    (マスタファイル情報に関する不適切なアクセス管理 - 買掛金業務および売掛金業務を担当する従業員にアクセス権限が付与されており、承認なしにマスタ・ファイルに変更を加えることができる状態にあった。)
    10-K for PARLUX FRAGRANCES, INC.

  • プログラムやデータへのアクセス権限管理が十分でない

    We did not maintain effective internal control over financial reporting relating to the design of controls over access to financial reporting applications and data. Specifically, ineffective controls included inappropriate access to programs and data, lack of periodic review and monitoring of such access, and lack of clearly communicated policies and procedures governing information technology security and access.
    (我が社は財務報告に係る効果的な内部統制を運用していなかった。それは財務報告アプリケーションおよびデータに対するアクセス権限管理の設計に関連していた。特に、無効な統制には以下が含まれていた: プログラムおよびデータへの不適切なアクセス権限、それらアクセス権限に関する定期的なレビューとモニタリングの不足、ITセキュリティとアクセス権限を統治するための明確に周知されたポリシーと手続の不足。)
    10-K for Federal National Mortgage Association

  • アクセス管理の確立・運用だけでなく職務分掌にも問題がある

    The Company did not establish and maintain adequate segregation of duties, assignments and delegation of authority with clear lines of communication and system access controls to provide reasonable assurance that it was in compliance with existing policies and procedures.
    (我が社は以下の確立・運用を行なっていなかった: 適正な職務分掌。明確化された権限の割当と委任。既存のポリシーと手続が遵守されていることを合理的に保証するための、システムへのアクセス管理。)
    10-K for PHH CORPORATION

今後出てくる日本の 「内部統制報告書」 も, こんな感じで簡単に検索できるようになるといいなあ. (当該企業にとってはうれしくないかもしれないけど...)

Tuesday Jul 31, 2007

開発担当者 in 本番環境

克哉さんに言われて, ISACA 東京支部の 2007 年 7 月例会を聴講してきた. お題は システム管理基準追補版」の背景と今後について.

経済産業省が、3月30日に発表したシステム管理基準追補版の委員会・作業部会のメンバとして追補版の作成に関係した。この追補版の作成にあたっての委員としての苦労話や裏話についてお話します。CobiTとの関係とくに、CO for SOX V2を参考にしたこと、参考にしなかったこと(わざと変えたところ)。ISACA東京支部の調査研究委員会でとっちめられたことなど、追補版にかけなかったことをお話します。さらに、今後、経済省がどのようにシステム管理基準を進めていくのかなどについてもお話する予定です。
ISACA東京支部月例会案内

聞きながらメモをとってたんだけど, あまりにヤバすぎるオモシロすぎるため, さすがに blogs.sun.com で公開するのはやめときます (日和見). かわりに社内某所に載せておくので, よろしければどうぞ > 中の人

興味深かったのは, 本番環境でのデバッグに関して 「開発担当者が直接本番環境で作業するのは, 改変や不正のリスクがあるのでなにがなんでも禁止 (ご参考)」 ではなく, 「開発担当者が, 業務担当者などの立ち合いのもとで作業するならオッケー」 という考えかた.

たしかにデバッグという意味では, 開発担当者が作業するのが一番効率的なのは間違いない. ただ一方で, 開発担当者と業務担当者の共謀を防ぐためのしくみとか, 作業を横で見ている業務担当者が, 「いま開発担当者が何をやっているか」 を理解するための能力の担保とか, 別の観点の検討がいろいろ必要になって, 場合によっては逆に全体的な効率は下がることもあるんじゃないだろうか.

まったくひねりのないオチだけど, 結局 「どういう統制を行なうかは個別の案件による」 ってことですね...

Wednesday Jun 20, 2007

Sun Software Showcase 2007

Sun Software Showcase 2007

岡崎さん大串さんが紹介している通り, 本日午後に青山テピアにて Sun Software Showcase 2007 というセミナーを開催する.

今回のセミナーの位置づけは, 先日の .Next のフォローアップ. ぼくは田中さんの IdM セッションのあとを承けて, より細かいお話を 16:00 から 60 分間させていただく予定. このエントリを書いている時点ではまだ申し込み可能になっているので, ご都合がよろしければぜひおこしくださいませ.

Tuesday Jun 12, 2007

藤井さん, 内部統制 / IdM ネタに参戦

本日の Accenture / Sun セミナー, パネル・ディスカッションのモデレータに藤井さんが登場.

PICT0052_cropped

これはもう, ビジネス・ガバナンス・プロジェクト入らないといけないですね!

Monday May 21, 2007

6 月 12 日にアクセンチュア / サン・マイクロシステムズ共催セミナーを開催 @ 品川

来月の 12 日 (火) に品川で催されるセミナーの中で, ひとコマ担当させていただくことになった. お題は 「ERP から入る IdM」.

15:30 - 16:15
ERP システムから取り組むアイデンティティ管理、そのポイント

情報システムに対するアクセス権限設定・検証の継続的な実施による職務分掌の徹底、 すなわちアイデンティティ管理は IT 統制の第一歩であり、 それはERP (Enterprise Resource Planning) システムにおいても例外ではありません。 本セッションでは、 ERP システムのアクセス・コントロール強化を目的にアイデンティティ管理システムを導入する上で検討すべき項目を整理し、 Sun のアイデンティティ管理ソリューションがこれをどのように実現するかをご紹介いたします。

イベント&セミナー - 企業におけるコンプライアンスの実現方法のご紹介

その他のパートも 「IT + 内部統制」 分野のそーそーたる方々が登壇する模様なので, IdM に関心のある人もない人も, 6/12 はどうぞ品川へおいでくださいませ.

Friday Apr 27, 2007

5 分でわかるサンの内部統制ソリューション

野々上さん, いいっすねコレ.

  • 5分でわかるサンの内部統制ソリューション
    大変な労力をかけて構築する内部統制の仕組みも、硬直的なものであっては、維持継続が難しいものになってしまいます。特に、M & A が日常化した今日にあっては、組織や業務プロセスが変わるたび、内部統制の仕組みも修正が必要です。どうすれば効果的・効率的な内部統制を構築できるのでしょうか? ヒントは IT の活用方法にあります。

Sun Java System Identity Manager の紹介は 1 分 50 秒あたりから.

Monday Dec 11, 2006

「認証基盤」 っぽい ERP

ちょっと気になったのでメモ.

共用 ID の防止, パスワード・ポリシー, アクセス範囲の制限 (認可) などの機能があるようだけど, そもそもの 「ID の生成・修正・削除」 や 「アクセス権限の付与・剥奪」 はどうやってるんだろか? 「更新分の CSV ファイルを手動でアップロード」 とか, 「ログインアカウント一覧画面から一人ずつ選択してアクセス権限を変更」 とか, 「しかもそれらすべての作業は ERP の運用管理者任せ」 とかではないよな, まさか.

なんかこれって, 「認証基盤」 の問題とすごく似てる. こないだ SDC のほうに書いた文章も, 「認証基盤」 を 「ERP」 に置きかえるだけでそのまま通用するし...

認証基盤 ERP システムが正しく利用者の認証・認可を行なうためには、 認証基盤 ERP システムに正しいアイデンティティ情報が格納されている必要があります。 結局、アイデンティティ管理が適切に行なわれていない限りは認証基盤 ERP システムが本来の役割を果たすことはできません。

Monday Nov 27, 2006

Sun ソフトウェア・ショウケース 2006

Showcase Banner

jp.sun.com のホーム・ページにも掲示されている通り, 来週末 (12 月 8 日 金曜日), 用賀にて Sun ソフトウェアてんこもりのイベントを開催する.

  • Sun Software Showcase 2006
    日時: 2006 年 12 月 8 日 (金) 13:00 - 19:15 (12:30 開場)
    会場: サン・マイクロシステムズ株式会社 用賀本社 26F、27F
    主催: サン・マイクロシステムズ株式会社
    費用: 無料 (事前登録制)

イベントの全体はきっと徹さん大渕さんが紹介すると思うので, ここではアイデンティティ管理関連のセッションをピックアップ:

ぼくは今回ビジネス・ガバナンス・プロジェクトの帽子をかぶって, Sun の内部統制ソリューション全般をご紹介する予定.

ということで, 実はこの日はほかにもいろいろイベントが重なってたりしますが, こちらにもぜひご来場いただければありがたいです...

Tuesday Aug 29, 2006

グーグルの「作った人が最後まで面倒を見る」は「職責分離」的にはどうなんだろか

ファイザー日本法人の SOX 法対応に関するケース・スタディにこんなことが書いてあった. いわゆる 本番環境において開発スタッフが業務処理をできてしまう ってやつ.

これまでの指摘項目を見ると、SOX法対応のポイントは大きく二つある。 一つは、職務分離の徹底。 (中略) 例えば、「アプリケーション保守は、内容を最も理解している開発者自身が担当したほうが効率的に思えるが、SOX法はこれを許さない」(以下略)。
先進事例に見る経営とIT 〈守る〉

そういえば, グーグルってこのへんどうなんだろ? たしかこんなこと言ってたっけ:

---研究エンジニアと開発,保守エンジニアの区別はないんですか。
リー氏: 区別はありません。作った人が最後まで面倒を見るのが一番効率がいい。考えた人が自分で作って,リリースして,ケア(保守)していく。一段落したらまた次のプロジェクトに取り掛かるというサイクルです。
「ソースコードを見せて,と創業者のラリーとサーゲイは言うんです」---Google アンジェラ・リー氏:ITpro

グーグルって基本的になんでも自前で作る (ように思える) から, きっと財務報告に影響を与えそうなバックオフィス・アプリケーションも内製してたりするんじゃないだろうか? でもそんなとこまで 「作った人が最後まで面倒を見」 てたら, 米国の上場企業の内部統制的には問題あるような...

気になったので, Google Inc. の Form 10-K をざっと読んでみた. とりあえず 2005 年度年次報告書では, 監査法人である Ernst & Young が 「Google Inc. は経営陣のいう通り財務報告に関する内部統制できてたよ」 (超省略 + 超意訳) と報告している.

REPORT OF ERNST & YOUNG LLP,
INDEPENDENT REGISTERED PUBLIC ACCOUNTING FIRM
(中略)
In our opinion, management's assessment that Google Inc. maintained effective internal control over financial reporting as of December 31, 2005, is fairly stated, in all material respects, based on the COSO criteria. Also, in our opinion, Google Inc. maintained, in all material respects, effective internal control over financial reporting as of December 31, 2005, based on the COSO criteria.

For the fiscal year ended December 31, 2005

では, その前の年度にはなにが書いてあるかというと (下線は筆者):

Risks Related to Our Business and Industry
(中略)
We are required to evaluate our internal control over financial reporting under Section 404 of the Sarbanes Oxley Act of 2002, and any adverse results from such evaluation could result in a loss of investor confidence in our financial reports and have an adverse effect on our stock price.
(中略)
We have in the past discovered, and may in the future discover, areas of our internal controls that need improvement. For example, during our 2002 audit, our external auditors brought to our attention a need to increase restrictions on employee access to our advertising system and automate more of our financial processes. The auditors identified these issues together as a ``reportable condition,'' which means that these were matters that in the auditors' judgment could adversely affect our ability to record, process, summarize and report financial data consistent with the assertions of management in the financial statements.

ITEM 9A. CONTROLS AND PROCEDURES
(中略)
Since 2003 we have invested significant resources to comprehensively document and analyze our system of internal control over financial reporting. We have identified areas requiring improvement, and we are in the process of designing enhanced processes and controls to address issues identified through this review. Areas of improvement include streamlining and standardizing our domestic and international billing and other processes, further limiting internal access to certain data systems and continuing to improve coordination and communication across business functions.

Form 10-K for the fiscal year ended December 31, 2004

2002 年度の監査で a need to increase restrictions on employee access to our advertising system (Google の広告システムへの, 社員のアクセス制限を強化する必要性) を指摘されてたとか, 今後改善を要する問題として limiting internal access to certain data systems (データの入っているシステムへの内部からのアクセスの制限) を挙げているところが興味深い. 完全に妄想だけど, もしかしてこれって, システム (AdWords とか?) を 「作った人が最後まで面倒を見」 てたのを注意されたんだったりして.

グーグルの広告システムのアクセス権限不備の真相はわからないけど, いずれにせよ Web 2.0 的な諸々と内部統制とは, 現状いろいろぶつかるところがあるんじゃないかな. たとえば 「perpetual beta における変更管理」 とか, 今後議論すべきネタとして面白そう.

Thursday Jun 08, 2006

「内部統制はアイデンティティ管理から」

昨日 (水曜日) から Interop Tokyo 2006 の展示会が始まった. 前に書いた通り, Sun の IdM 関連では Sun Java System Identity Manager / Sun Java System Identity Auditor のデモ展示と, シアターでのプレゼンテーションを行なっている (写真どーもです > 徹さん).

tkudo's session

今回ぼくのプレゼンテーションの題目として大渕さんから与えられたのは 「Sun のアイデンティティ管理・監査ソリューション」 で, SOX だとか内部統制だとかの単語は入れていない (このあたりは田中さんのセッションにて紹介). しかしプレゼンテーション終了後に聴講者の方々からいただいたアンケートの一項目 「重要視している課題」をみてみると, けっこうな割合で 「内部統制」 や 「コンプライアンス」 にチェックが入っていた.

ベンダが 「内部統制はアイデンティティ管理から」 とうたわずとも, ユーザ自身に

  • 「内部統制」
    → 「職責分離の徹底」
    → 「IT システムでのアクセス権限付与・剥奪の徹底」
    「アイデンティティ管理・監査」

という認識が生まれてくるようになってきた, ということかもしれない. ちょうど一年前の状況を考えると, 隔世の感があるなあ.

本日 (木曜日) の Sun ブースでの IdM 関連プレゼンテーションのスケジュールは

  • 12:40 - 13:00: 内部統制はアイデンティティ管理から (田中)
  • 14:00 - 14:20: Sun のアイデンティティ管理・監査ソリューション (工藤)
  • 16:40 - 17:00: Sun のアイデンティティ管理・監査ソリューション (工藤)

の予定. いずれも午後からなので, お気軽にお立ち寄りくださいませ.

Wednesday Jul 13, 2005

Audit of internal control over financial reporting

金融庁が, 「財務報告に係る内部統制の評価及び監査の基準(公開草案)」 に関するパブリックコメントの募集を開始した.

  • 企業会計審議会内部統制部会の公開草案の公表について

    企業会計審議会(会長 加古宜士 早稲田大学教授)は、内部統制部会(部会長 八田進二 青山学院大学大学院教授)で審議を行っている財務報告に係る内部統制の有効性に関する経営者による評価及び公認会計士による監査の基準について、本日、「財務報告に係る内部統制の評価及び監査の基準(公開草案)」を公表し、広く意見を求めることといたしました。

この草案では, 内部統制を構成する 6 つの基本的要素のひとつとして 「IT (情報技術) の利用」 を挙げている. 具体的にどういったことが想定されるかについては, 内部統制部会での議事録や資料 (ページ半分くらいいったとこの左にある. てか, permalink つけてほしい...) をあわせて読むと理解が進みそう.

とくに最後の資料 (「IT 統制の監査」) の #3 にある 「不正による誤った財務情報の提供 - 国内企業: IT を利用して架空取引を期末日近くに生成」 という例が, 個人的には最もわかりやすく感じた. 「Sun Java System Identity Auditor職責分離を徹底し, 架空取引発生リスクを低減!」 とかプレゼンしたらウケるかもなー. どうすかね? > 山中さん

About

tkudo

Search

Archives
« April 2014
SunMonTueWedThuFriSat
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today