システム監査について　～あなたのシステムは証跡管理ができていますか？

今回はシステム監査についてお話しします。
システム監査は、導入している情報システムの効率性・安全性・信頼性を客観的に評価する仕組みであると言われています。

システム監査は、情報システムが行った処理内容や、処理対象のデータ、利用者が行った操作などが正しく時系列に解ることが前提です。そして、システム監査とシステム管理の実践範囲を区分し、システム監査の独立性・客観性を明確に位置付けることが重要となります。

①　実際に求められるのは、以下のような内容です。

• 情報資産ごとにリスクを洗い出していること
• リスクが顕在化した場合の対応策が明確になっていること
• 環境変化に応じてリスクの再洗い出しと、対応策の見直しが行われていること

要するにリスクマネジメントが出来ているかどうか？という事がポイントとなります。

②　もう一つ、システム稼働が正常かどうかのモニタリングも行います。

• モニタリングによって発見された不具合等に対して、適切な対応を行っていること
• モニタリングによって発見され是正措置を指示した施行に関して、必要に応じて情報システム戦略への対応、反映を行っていること

これらの事情を、内部監査で指摘された際には、是正を行ったことの証跡が求められます。

これらの監査を実施する際に必要になるのが、ログです。ログに関しては、監査証跡を確保できるよう考慮することとされています。取り分けログ等の証跡によってエラーの原因を特定できることが求められます。

③　さらに、システムのみならず、そこに関わる要員に関するモニタリングも求められます。

• 人間行動に対して適切な注意が払われていることを確実にするために、人間行動に関する管理をモニタリングしていること

こうした広範囲の対応が必要とされるのが「システム管理基準」であり、求められるITガバナンスとなります。

ファシリティ・ITインフラ運用で証跡管理はどのようにされていますか？

では、先ほど解説した「システム管理基準」をデータセンターインフラ運用にあてはめて考えてみましょう。

データセンターのファシリティ・ITインフラの情報資産の管理で皆様はどのようなシステムをお使いでしょうか？
システム監査で必要とされる、システムのモニタリング、証跡やログはしっかり管理されていますでしょうか？資産管理台帳に、誰が何のためにいつどのように情報にアクセスしたかを正確に記録できていますでしょうか？

証跡とは「証拠となる痕跡」を表す言葉であり、決められた社内のIT運用ルールが守られているかを内部監査するための重要な役割があります。そこで、データセンターのファシリティ・ITインフラの運用管理システムであるDCIMソフトウェアでは、全てのログインユーザーの行動が、証跡として自動記録されるようになっています。

また証跡はインシデントが発生した際の原因調査にも役立ちます。

もしまだこのような証跡管理の仕組みが無いシステムをご利用中のデータセンターインフラ管理部門の皆様は、これを機会にシステムのリプレースをご検討されてみてはいかがでしょうか？

（共著：M.M氏）

データセンターインフラ運用課題解決に向けたご相談は、DCIMのスペシャリストである弊社までご相談ください。
弊社のDCIMソリューションページはこちら