Thursday Jun 19, 2008

小道具としての「職務分掌リポート」

先日オーシャンズ 13 に登場した Sun StorageTek SL8500 が, 今度はアン・ハサウェイと競演してるらしい (via: Mary Mary Quite Contrary).

Anne Hathaway and Steve Carell in Get Smart movie posing in front of a Sun LS8500

実は Sun Identity Manager の職務分掌リポート

All Segregation of Duties Violations

Segregation of Duties Details

も, なにげにかなりセクシーだと思うんだけど... 『監査法人』 とかで使ってもらえないですかねえ...

Thursday Dec 06, 2007

米国において, アクセス管理の問題が 「重要な欠陥 」 になってる最近の実例

表記の情報を得るには, EDGAR Full-Text Search

  • Advanced Search をクリック
  • Search For Text に "access controls" "controls over access" と入力
  • In Form Type のドロップダウンから 10-K を選択

として検索するのがよさげ.

EDGAR Full-Text Search

実際に検索してみると, 以下のような記述を含む Form 10-K (年次報告書) がざくざく出てくる:

  • 売掛金/買掛金担当が承認無くマスタ情報を変更できる

    Inadequate access controls with regard to computer master file information − Certain of the Company’s personnel in accounts payable and accounts receivable had access and could make changes to master files without approval.
    (マスタファイル情報に関する不適切なアクセス管理 - 買掛金業務および売掛金業務を担当する従業員にアクセス権限が付与されており、承認なしにマスタ・ファイルに変更を加えることができる状態にあった。)
    10-K for PARLUX FRAGRANCES, INC.

  • プログラムやデータへのアクセス権限管理が十分でない

    We did not maintain effective internal control over financial reporting relating to the design of controls over access to financial reporting applications and data. Specifically, ineffective controls included inappropriate access to programs and data, lack of periodic review and monitoring of such access, and lack of clearly communicated policies and procedures governing information technology security and access.
    (我が社は財務報告に係る効果的な内部統制を運用していなかった。それは財務報告アプリケーションおよびデータに対するアクセス権限管理の設計に関連していた。特に、無効な統制には以下が含まれていた: プログラムおよびデータへの不適切なアクセス権限、それらアクセス権限に関する定期的なレビューとモニタリングの不足、ITセキュリティとアクセス権限を統治するための明確に周知されたポリシーと手続の不足。)
    10-K for Federal National Mortgage Association

  • アクセス管理の確立・運用だけでなく職務分掌にも問題がある

    The Company did not establish and maintain adequate segregation of duties, assignments and delegation of authority with clear lines of communication and system access controls to provide reasonable assurance that it was in compliance with existing policies and procedures.
    (我が社は以下の確立・運用を行なっていなかった: 適正な職務分掌。明確化された権限の割当と委任。既存のポリシーと手続が遵守されていることを合理的に保証するための、システムへのアクセス管理。)
    10-K for PHH CORPORATION

今後出てくる日本の 「内部統制報告書」 も, こんな感じで簡単に検索できるようになるといいなあ. (当該企業にとってはうれしくないかもしれないけど...)

Tuesday Jul 31, 2007

開発担当者 in 本番環境

克哉さんに言われて, ISACA 東京支部の 2007 年 7 月例会を聴講してきた. お題は システム管理基準追補版」の背景と今後について.

経済産業省が、3月30日に発表したシステム管理基準追補版の委員会・作業部会のメンバとして追補版の作成に関係した。この追補版の作成にあたっての委員としての苦労話や裏話についてお話します。CobiTとの関係とくに、CO for SOX V2を参考にしたこと、参考にしなかったこと(わざと変えたところ)。ISACA東京支部の調査研究委員会でとっちめられたことなど、追補版にかけなかったことをお話します。さらに、今後、経済省がどのようにシステム管理基準を進めていくのかなどについてもお話する予定です。
ISACA東京支部月例会案内

聞きながらメモをとってたんだけど, あまりにヤバすぎるオモシロすぎるため, さすがに blogs.sun.com で公開するのはやめときます (日和見). かわりに社内某所に載せておくので, よろしければどうぞ > 中の人

興味深かったのは, 本番環境でのデバッグに関して 「開発担当者が直接本番環境で作業するのは, 改変や不正のリスクがあるのでなにがなんでも禁止 (ご参考)」 ではなく, 「開発担当者が, 業務担当者などの立ち合いのもとで作業するならオッケー」 という考えかた.

たしかにデバッグという意味では, 開発担当者が作業するのが一番効率的なのは間違いない. ただ一方で, 開発担当者と業務担当者の共謀を防ぐためのしくみとか, 作業を横で見ている業務担当者が, 「いま開発担当者が何をやっているか」 を理解するための能力の担保とか, 別の観点の検討がいろいろ必要になって, 場合によっては逆に全体的な効率は下がることもあるんじゃないだろうか.

まったくひねりのないオチだけど, 結局 「どういう統制を行なうかは個別の案件による」 ってことですね...

Monday Apr 02, 2007

ガバナンス & コンプライアンス・ソリューション・ミーティング Day 3

最終日は 8 時すぎから, ビジネス・ガバナンス・プロジェクトの今後についていろいろ. グローバルでの SOX 法遵守の経験, 市場をリードする製品群, そしてパートナーシップ, これらの相乗効果を最大限に発揮するにはどうすればよいか, 的な話とか.

COBIT 4.1

Friday Mar 30, 2007

ガバナンス & コンプライアンス・ソリューション・ミーティング Day 2

SolutionSessions_20070329

ミーティングの二日目は朝 9:00 スタート. 今日はソリューションのいくつかについてそれぞれの担当者から説明を聞き, そして Sun の IT 統制担当者による SOX 法遵守事例のプレゼンテーションを受けた. ちょっと書けないことも多いので, 以下は若干ぼやかしつつ:

まずソリューションに関していえば, むこうの人の作ってるアイデンティティ管理の統合デモンストレーションの出来がかなりいい感じ. 「動作確認デモ」 としてだけではなく, PoC (Proof of Concept: 概念実証) / プロトタイピングのベースとしても活用可能, とのこと. あと Sun C2MS も, ユーザから透過的なところと, スケールさせやすいアーキテクチャがなかなかよさげ. そのほかに Solaris 10 のセキュリティ機能も, IT 統制の観点からいま一度フォーカスしてもいいかも.

SOX @ Sun のほうもいろいろあるけど, Year 3 Year 2 (04/13/2007 訂正: Sun は昨年 Year 2 終わったとこで, いまが 3 年目でした) までを経験したいま, IT 統制においていちばん重要なのは 「変更管理 (Change Management) とアクセス管理 (Access Control)」 だそうだ. このへんの話はまた明日もやる予定.

おまけ: 昼休み中, SAP on Solaris の統制についてアツく議論を交わしてた, 国谷さん野々上さん.

Kuniya-san and Nonogami-san

Tuesday Jan 16, 2007

SOX が Core 2 Duo Mac の 802.11n 対応に影響?

Intel Core 2 Duo 搭載 Mac の802.11n 対応無償ではなく有償になるらしいのは, SOX 遵守のためという話があるそうだ (via c0t0d0s0.org). 曰く,

  1. 製品の売り上げは, 完全に機能を備えた製品を納品した時点で計上しなくてはならない
  2. 製品販売後にアップデートによって機能を満たす場合には, 売り上げ計上はその販売時点 (機能が不十分な状態) ではなくアップデートを施した時点 (機能が揃った状態) で行なわなくてはならない
  3. つまり MacBook のアップデートというかたちで 802.11n 対応を行なうと財務報告に影響を及ぼす (まだ計上すべきでない売り上げを入れたことになる) ので, 「製品のアップデートではありませんよ」 ということを明示しなくてはならない

と考えてるんだとか (いまいちうまく要約できてないのでツッコミ希望). ホントかねえ...

it's about accounting. Because of the Act, the company believes that if it sells a product, then later adds a feature to that product, it can be held liable for improper accounting if it recognizes revenue from the product at the time of sale, given that it hasn't finished delivering the product at that point.
Oh, about that 802.11n card in your C2D Mac | iLounge

Tuesday Nov 14, 2006

日本ITガバナンス協会設立記念カンファレンス

今週土曜日に日本 IT ガバナンス協会の設立記念カンファレンスが開催される. 当日 Sun は事例紹介セッション (COBIT(R) implementation for SOX by Sun Microsystems) と, スポンサーとして展示を行なう.

展示のひとつは (もちろん!) Sun Java System Identity Manager. カンファレンスの主催 / 共催 / 協賛一覧をみた感じ, 関係者が一堂に会するのは間違いないということで, 今回は監査関係の機能を中心にご紹介する予定. たとえばちゃんとリソースをスキャンした上で監査ポリシーによる違反の絞り込みができるアテステーションとか, 同じくスキャン / 監査ポリシーに基づいた SoD マトリックス (ご参考) などなど, 「システムに散在するアクセス権限の検証・是正作業」 に忙殺されている方はぜひ弊社ブースへお越しくださいませ.

おまけ: 以下は現在日本語化中の, Sun Java System Identity Manager 7.0 のスクリーンショット. 現在のビルドでは 「衝突」 になってるけど, やっぱりこれは 「相反」 にしたほうがいいですかね...

SoD Matrix
SoD Detail

Tuesday Aug 29, 2006

グーグルの「作った人が最後まで面倒を見る」は「職責分離」的にはどうなんだろか

ファイザー日本法人の SOX 法対応に関するケース・スタディにこんなことが書いてあった. いわゆる 本番環境において開発スタッフが業務処理をできてしまう ってやつ.

これまでの指摘項目を見ると、SOX法対応のポイントは大きく二つある。 一つは、職務分離の徹底。 (中略) 例えば、「アプリケーション保守は、内容を最も理解している開発者自身が担当したほうが効率的に思えるが、SOX法はこれを許さない」(以下略)。
先進事例に見る経営とIT 〈守る〉

そういえば, グーグルってこのへんどうなんだろ? たしかこんなこと言ってたっけ:

---研究エンジニアと開発,保守エンジニアの区別はないんですか。
リー氏: 区別はありません。作った人が最後まで面倒を見るのが一番効率がいい。考えた人が自分で作って,リリースして,ケア(保守)していく。一段落したらまた次のプロジェクトに取り掛かるというサイクルです。
「ソースコードを見せて,と創業者のラリーとサーゲイは言うんです」---Google アンジェラ・リー氏:ITpro

グーグルって基本的になんでも自前で作る (ように思える) から, きっと財務報告に影響を与えそうなバックオフィス・アプリケーションも内製してたりするんじゃないだろうか? でもそんなとこまで 「作った人が最後まで面倒を見」 てたら, 米国の上場企業の内部統制的には問題あるような...

気になったので, Google Inc. の Form 10-K をざっと読んでみた. とりあえず 2005 年度年次報告書では, 監査法人である Ernst & Young が 「Google Inc. は経営陣のいう通り財務報告に関する内部統制できてたよ」 (超省略 + 超意訳) と報告している.

REPORT OF ERNST & YOUNG LLP,
INDEPENDENT REGISTERED PUBLIC ACCOUNTING FIRM
(中略)
In our opinion, management's assessment that Google Inc. maintained effective internal control over financial reporting as of December 31, 2005, is fairly stated, in all material respects, based on the COSO criteria. Also, in our opinion, Google Inc. maintained, in all material respects, effective internal control over financial reporting as of December 31, 2005, based on the COSO criteria.

For the fiscal year ended December 31, 2005

では, その前の年度にはなにが書いてあるかというと (下線は筆者):

Risks Related to Our Business and Industry
(中略)
We are required to evaluate our internal control over financial reporting under Section 404 of the Sarbanes Oxley Act of 2002, and any adverse results from such evaluation could result in a loss of investor confidence in our financial reports and have an adverse effect on our stock price.
(中略)
We have in the past discovered, and may in the future discover, areas of our internal controls that need improvement. For example, during our 2002 audit, our external auditors brought to our attention a need to increase restrictions on employee access to our advertising system and automate more of our financial processes. The auditors identified these issues together as a ``reportable condition,'' which means that these were matters that in the auditors' judgment could adversely affect our ability to record, process, summarize and report financial data consistent with the assertions of management in the financial statements.

ITEM 9A. CONTROLS AND PROCEDURES
(中略)
Since 2003 we have invested significant resources to comprehensively document and analyze our system of internal control over financial reporting. We have identified areas requiring improvement, and we are in the process of designing enhanced processes and controls to address issues identified through this review. Areas of improvement include streamlining and standardizing our domestic and international billing and other processes, further limiting internal access to certain data systems and continuing to improve coordination and communication across business functions.

Form 10-K for the fiscal year ended December 31, 2004

2002 年度の監査で a need to increase restrictions on employee access to our advertising system (Google の広告システムへの, 社員のアクセス制限を強化する必要性) を指摘されてたとか, 今後改善を要する問題として limiting internal access to certain data systems (データの入っているシステムへの内部からのアクセスの制限) を挙げているところが興味深い. 完全に妄想だけど, もしかしてこれって, システム (AdWords とか?) を 「作った人が最後まで面倒を見」 てたのを注意されたんだったりして.

グーグルの広告システムのアクセス権限不備の真相はわからないけど, いずれにせよ Web 2.0 的な諸々と内部統制とは, 現状いろいろぶつかるところがあるんじゃないかな. たとえば 「perpetual beta における変更管理」 とか, 今後議論すべきネタとして面白そう.

Wednesday Aug 03, 2005

ゼネラル・エレクトリックが 45 万人のアイデンティティ管理基盤構築に Sun を選定

事例をもうひとつ, こちらは GM ではなく GE.

General Electric (GE) is deploying Sun Java System Identity Manager, the provisioning component of the Sun Java Enterprise System, across all GE business units and 450,000 users on a global scale.
General Electric Selects Sun Microsystems for World-Wide Identity Management Deployment

Sun Java System Identity Manager によって,

  • 世界中のユーザ・アカウントとアクセス権限の集中的な可視化・コントロール
  • ルール・ベース / ロール・ベースのプロビジョニングによる企業内セキュリティ要件の徹底
  • アクセス権限状況の的確な把握による監査能力の改善と法令遵守達成のサポート

を実現しようとしているようだ. ここでも, コンプライアンスが IdM 導入の引き金のひとつとなっている.

Wednesday Jul 13, 2005

Audit of internal control over financial reporting

金融庁が, 「財務報告に係る内部統制の評価及び監査の基準(公開草案)」 に関するパブリックコメントの募集を開始した.

  • 企業会計審議会内部統制部会の公開草案の公表について

    企業会計審議会(会長 加古宜士 早稲田大学教授)は、内部統制部会(部会長 八田進二 青山学院大学大学院教授)で審議を行っている財務報告に係る内部統制の有効性に関する経営者による評価及び公認会計士による監査の基準について、本日、「財務報告に係る内部統制の評価及び監査の基準(公開草案)」を公表し、広く意見を求めることといたしました。

この草案では, 内部統制を構成する 6 つの基本的要素のひとつとして 「IT (情報技術) の利用」 を挙げている. 具体的にどういったことが想定されるかについては, 内部統制部会での議事録や資料 (ページ半分くらいいったとこの左にある. てか, permalink つけてほしい...) をあわせて読むと理解が進みそう.

とくに最後の資料 (「IT 統制の監査」) の #3 にある 「不正による誤った財務情報の提供 - 国内企業: IT を利用して架空取引を期末日近くに生成」 という例が, 個人的には最もわかりやすく感じた. 「Sun Java System Identity Auditor職責分離を徹底し, 架空取引発生リスクを低減!」 とかプレゼンしたらウケるかもなー. どうすかね? > 山中さん

Friday Jul 01, 2005

Sun Identity Management Update - June 2005

SIMN header
Sun Identity Management Update の最新号が今週公開された. 以下, 内容をいくつか簡単にご紹介したい.


Sara Gates, Vice President of Identity Management: The Shape of Things to Come

Sara Gates による, アイデンティティ管理の過去 (Internet Age) と現在 (Extranet Age) のまとめ, そして将来 (Participation Age) の展望.

'01 くらいに登場した 「アイデンティティ管理」 は企業システムのアクセス権設定を自動化することによる効率向上と費用低減が目的だったが, 現在では社内ユーザだけではなく社外の取引先や顧客にまで管理対象を広げてきた. その中で, 企業秘密のような組織情報やクレジットカード番号のような個人情報をどうやって守るか, 情報の改ざん防止に関する法律・条例を遵守するにはどうすればよいか, が新たな課題となっている.

これらセキュリティとコンプライアンスに関わる課題を解決し, 「参加の時代」 を実現するために, 今後のアイデンティティ管理には次のような機能が求められる.

  • アイデンティティ連携: 組織の壁を越えたアイデンティティ情報の再利用 (面白い表現だ)
  • アイデンティティ・サービス: 散在するアイデンティティ情報の統合
  • アイデンティティ監査・セキュリティ: アイデンティティに関するすべての活動の集中監視

Webcast: Beyond Provisioning - Expert Perspectives on Identity Auditing and Compliance

Sun, Deloitte & Touche, Gartner による, アイデンティティ管理とコンプライアンスに関するウェブキャスト. PDF 形式のスライドがダウンロードできる.

Customer Success: The Henkel Group

グローバルな製造業 (従業員約 5 万名, 世界 125 ヶ国に展開) における導入事例. Sun Java System Identity Manager により, 厳密な認可とアクセス管理, SAP R/3, Lotus Notes, Microsoft Active Directory, Novell eDirectory の ID 統合, 既存ID管理システム (メインフレーム) のリプレースを実現した.

Sarbanes-Oxley Compliance Journal: How to Solve Your Biggest Compliance Problem in a Sustainable Way

Sara Gates が Sarbanes-Oxley Compliance Journal に寄稿した, アイデンティティ・ベースの監査についての記事.


そのほか Sun Java System Directory Server Enterprise Edition における Active Directory から Directory Server へのパスワード同期の技術 Q&A, アイデンティティ連携のホワイトペーパー, 今月行なわれる Burton Group Catalyst Conference でのおトク情報など, 経営層向けから技術寄りまでいろいろなネタが盛り込まれている. Sun のソリューションに限らずアイデンティティ管理に興味のあるかたはぜひどうぞ.

About

tkudo

Search

Archives
« April 2014
SunMonTueWedThuFriSat
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today