会社情報

■高いコンプライアンス意識■

行動規範の徹底から

---貴社の業態について教えてください。


アジア航測は、航空写真による測量技術からスタートした会社です。現在では、測量・計測事業を中核として、環境保全や防災、道路の設計などに関する建設コンサルティング事業、固定資産管理システムや統合型GIS（地理情報システム）などの情報システム事業の3つを事業の柱としています。

アジア航測は、この3つの事業に携わることにより、暮らしを取り巻く自然環境や暮らしの安心安全を支えるための多種多様な空間情報データを収集し、そのデータを基に公共性の高い開発事業をトータルにサポートしています。それゆえ、アジア航測では自社を「空間情報コンサルタント」と称しています。地図情報ではなく「空間情報」と呼んでいるのは、X、YおよびＺ軸情報の地図情報のみではなく、そこに生態系（どんな動植物が存在しているのか）などの付加情報を重ね合わせることで、安全で暮らしやすい環境作りに活かしているからです。

顧客の8割以上が官公庁で、民間企業も電力や通信などのライフライン系の公益企業がほとんどで、「社会インフラ整備事業」に携わる団体や企業がアジア航測の顧客になります。


---今回、内部統制監査で指摘された不備事項に対し、J-SOX適用初年度から確実に対応するために特権ID管理システムを導入されたと伺いました。貴社は元々コンプライアンスの意識が高いと伺っていますがどのような経緯からでしょうか。


当社は極めて公共性が高く、また住民の安全や環境の保全に関わる業務に携わっているため、社員には高い倫理観が求められますが、過去に2度ほど公正取引委員会の排除勧告を受ける等の重大なコンプライアンス違反を起こしたことがあります。そこで、以降、二度とそのようなことがないようにとの戒めを込めて、行動規範のオープン化に踏み切りました。2002年1月に役職者向けの行動規範を作成し、徐々に社員全体に対して整備を行ってきました。2008年12月には経営理念を改定し、「事業は人格の集大成である」、「事業は社会のために存続する」という文言を加えて、さらなる行動規範の徹底を図りました。当社の行動規範は、ホームページ上で公開していますので、お取引先の皆様にも内容を確認いただけるようになっています。



■内部統制監査結果■

開発と運用の分離、本番移行手続きの見直し必要

---内部統制監査で監査法人から指摘されたのはどのような内容だったのでしょうか。


一番に指摘されたことは、特権IDの管理強化でした。次に重要な指摘としては、開発業務と運用業務の分離ができていないという点でした。特権IDの使用ログを取得することや、パスワードの定期的な変更を求められました。その他の指摘事項としては、本番移行の手続きの見直しでした。上長の承認を経ずに開発者が本番環境にプログラムやデータを移行できてしまう点や、不適切なシステム変更を防止できない可能性がある点について指摘されました。

経営情報部には、部長を含めて11名しかいませんので、これらの指摘事項に組織的に対応することは、現実的にはかなり難しい要求でした。実際のところ経営情報部11名のうち、J-SOX対象となる基幹系システムを担当するのが4名で、その内、特権IDを使って作業を行うようなメインの担当者は2名です。これまでは開発担当と運用担当をシステムごとに入れ替えて、相互に牽制できるようにしていましたが、実際にシステムの稼働する物理サーバが共有されていることもあり、開発と運用の分離への対応は、かなりの難題でした。

少ない人員の中で特権ID管理を行うにあたって、リアルタイムにもう1人の担当者と上長双方に対し「今、特権IDを使って作業していますよ」と通知することで牽制の仕組みを構築したいと考えました。また、通知方法としては普段から利用しているアプリケーションとしてメールが適していると考えました。メールが大量に飛んできた場合、1通1通のメールを確認することは、正直厳しいと思います。ただ、メールソフト側でフィルタリングされた特権ID使用通知メール・フォルダを、迅速に手軽に確認できることは利便性が高いと考えたのです。加えて、メールによるリアルタイム通知だけではなく、特権ID使用実績レポートも欲しいというのが、システム実装における主要要件として当社側で提示したものでした。


---内部統制監査の指摘はいつ受けて、いつまでに対応する必要があったのですか。


2009年5月末の内部統制監査で指摘を受けました。当社は年度末が9月になりますので8月末に次の監査があります。対応は、それまでに済ませなければなりませんでした。また、対策システムを導入するだけでなく実稼働していなければなりませんので、8月中旬には対応済みのシステムが稼働している必要がありました。当初の予定では、7月には稼働させたかったのですが、製品情報収集や社内調整に時間がかかり、実際には8月15日に稼働開始し8月29日の監査になんとか間に合わせることができました。


---今回の特権ID管理プロジェクトが、アシストとの初取引だったと伺っています。


2008年8月にリスク・マネジメントのイベントに出展していたアシストのブースに立ち寄ったのが最初だったと思います。イベント参加の目的はISMS改善の一環としたログ管理製品の情報収集で、J-SOX対応を意識したものではありませんでした。アシストの営業担当がその後も情報提供をしてくれたため、今回のJ-SOX対応の提案の依頼となったわけです。


---提案は7社から受けたと伺いましたが、アシストに決めた理由を教えてください。


要件と各社の提案のマトリクス表を作って各社の対応度合いを評価しましたが、最優先したのは納期でした。アシストを選んだのは「不備を期限内に対応できそうだと感じたこと」が大きな理由です。他社の提案はどれもしっくりこず、すべての要件を満たすトータルな提案はなく、また価格も高かったのです。

最も受け入れ難かったのは、短期間の実装を希望していたのにも関わらず、アプリケーションの改修を要するカスタマイズ提案が大半だったことです。しかしアシストの提案は、全要件に対応しており、価格も適正感がありました。何よりも良かったのは、製品機能を活用し、アプリケーション改修が不要な提案内容になっていた点です。


---アシストの提案は具体的にどのような内容だったのでしょうか。


結論を言えば、開発と運用の分離は目的ではなく、あくまで各種リスクを低減するための手段であり、そのことに焦点をあてた提案になっていました。

J-SOX対応におけるIT全般統制で考えられるリスクは、承認されていないプログラムが担当者の判断で本番環境に導入されたり、不正アクセスによる改ざんで財務諸表データの信頼性が低下するということです。

アシストは、少ない人員でも可能な情報システム部内の職務分離や適切なプログラム変更について、ツールの活用を通じ短期間で実現できる、下記2点を含む提案をしてくれました。

• 特権IDによる業務でも、職務範囲内の作業しか実施していないことの証明
• 適切な承認を受けていないプログラムが本番環境に登録されていないことの証明

以上を、OS上の特権ID管理を行うCA Access Control、データベース監査を行うPISO、そして統合ログ管理システムであるLogstorageの3製品の機能を相互に連携させて活用することで、要件を満たした特権ID管理システムを実装するというのがアシストの提案でした。


---再監査の結果はいかがでしたか。


8月29日のIT統制監査では、重大不備がゼロ、軽微な不備が1件という高評価をいただきました。社外のシステム・コンサルタントの方によると、企業によっては不備の改善案だけを考えて、実装は来年度に回すところもあるようですが、アジア航測ではコンプライアンス重視の観点から、どうしても初年度から良い結果を出したかったので、この監査人の評価は本当に嬉しく思いました。



■今後の取り組み■

J-SOX法対応を横展開～ネットワーク基盤、PC管理基盤も。

---今後の取り組みについて教えてください。


現時点では、マネジメント・システムが乱立していて、コストもかかるし、人手もかかる上、思うような効果が出ていません。今回の導入で感じたのは、ISMSよりもJ-SOX対応の方が組織コントロールという点で一段レベルが高いということでした。そこで、ネットワーク基盤やPC基盤の仕組みを再整理していく中で、今回導入したシステムをベースに横展開をしていこうと考えています。各システムにセンサーとなる機能を組み込み、そのセンサーから送られてきたログを集約し一元管理することで、そのログだけをモニタリングしていれば済むような運用形態にする構想です。

これにより、今まで以上にユーザの情報システム活用をサポートすることに注力できます。またユーザの情報活用促進結果の還元として、お客様により高度なサービスを提供していきたいと考えています。

---

---