NPO法人 ITガバナンス研究機構(NPOITG)
IT全般統制(ITGC)の点検・評価サービス
ランサムウェア対策・不正アクセス防止の根幹は、ITシステム環境を保護する「IT全般統制」の整備にあります。NPOITGが貴社のRCMを基に、整備から運用テストまで一貫してサポートします。
なぜIT全般統制が必要か
ランサムウェアや不正アクセスの多くは、アクセス権の放置・変更管理の不備・ログ監視の欠如といった「IT全般統制の穴」から侵入します。セキュリティソフトを導入するだけでは防げない脅威に対して、システム環境そのものをコントロールする仕組みが必要です。
IT統制は以下の3層に分類されます。NPOITGはこのうちIT全般統制(ITGC)の評価に特化した内部監査サポートを提供します。
ITCLC
IT全社統制
経営レベルでのIT方針・戦略に関するコントロール
ITGC ◀ 当サービス
IT全般統制
ITシステム環境全体を保護・保証するためのコントロール。アクセス権・変更管理・運用管理など
ITAC
IT業務処理統制
ITシステムを用いた個々の業務処理を正確に行うためのコントロール
評価対象となるITGC領域
アクセス権管理
ユーザーID・権限の付与・変更・削除の管理。退職者アカウントの残存、過剰権限の付与はランサムウェア侵入の温床となります。
システム開発・変更管理
システムへの変更が適切に承認・テスト・記録されているかを管理。無統制な変更は予期せぬ脆弱性を生みます。
運用管理
バックアップ・リストア手順、障害対応、ジョブスケジュール管理など、システムの安定稼働を支える統制です。
データ管理
データの整合性・機密性・可用性を保護するための管理。暗号化・バックアップ世代管理・消去手順を含みます。
委託先管理
クラウド・SaaS・システム運用委託先のセキュリティ水準の確認。サプライチェーン攻撃への対策として重要です。
ネットワーク・インフラ管理
VPN・ファイアウォール・テレワーク環境の統制。リモートワーク拡大に伴うセキュリティ境界の曖昧化に対応します。
支援の流れ
1
スコーピング・対象システムの選定
業務プロセスと関連システムを把握し、ITGCの評価対象範囲を決定します。対象システム選定表・システム概要書を作成します。
- 対象システム選定表
- システム概要書
2
RCM(リスクコントロールマトリクス)の作成・点検
貴社のRCMを基に、各コントロールの整備状況を確認します。RCMがない場合はテンプレートを用いてゼロから作成します。
- ITGCRCM(リスクコントロールマトリクス)
3
デザイン評価・ウォークスルー
コントロールが適切に設計されているかを確認(デザイン評価)し、実際の運用手順を担当者とともにトレースします(ウォークスルー)。
- ウォークスルー評価シート
4
運用テスト(サンプリング評価)
コントロールが期間を通じて継続的に運用されているかをサンプルデータで検証します。貴社内部監査人と共同で実施します。
- 運用テスト評価シート
5
評価報告・改善提言
評価結果を関係者へ報告し、内部統制課題報告書を提出します。発見された課題に対する具体的な改善策も提言します。
- 内部統制課題報告書
- 改善提言レポート
こんな企業・担当者におすすめです
- ✓j-SOX対応でITGCの整備・運用評価が必要な内部監査担当者
- ✓セキュリティ対策の「抜け漏れ」を第三者の目で確認したい情報システム担当者
- ✓ランサムウェア対策として、アクセス権・バックアップ体制を整備したい経営層
- ✓上場企業の子会社・関連会社として内部統制の整備を求められている企業
まずは現状のITGC整備状況についてご相談ください。無料でヒアリングを承ります。
お問い合わせ・ご相談はこちら