バッチ処理で必要となる内部統制課題とは

皆さんこんにちは。長谷川まりです。

15年ぶりのJ-SOX改訂を背景に、企業で実行されているバッチ処理にセキュリティ面での統制がさらに強く求められるようになるのでは、と考えています。どういうことなのか、一緒に見ていきましょう！

バッチ処理とは、一連の処理をまとめてコンピューターに依頼して実行させる処理のことです。リアルタイム処理が増えている現在でも、企業内にはまだまだ多くのバッチ処理が実行されていると思います。システム間のデータ連携や大量データの抽出や加工などといったバッチ処理には、メンテナンス不足やキャパシティ不足によるシステム停止や処理遅延といったリスクが常に伴うため、専用のソフトウェアに実行を任せることが多くあります。アシストでも長く取り扱っているJP1 もその一例です。ただ、これまでバッチ処理について内部統制の観点で課題を考える機会は、あまり無かったのではないでしょうか。

ところが2023年にJ-SOXが以下のように改訂され、統制の対象範囲が拡大、2024年は施行の年となりました。これをきっかけとして、IT統制の対象範囲に、改めて注目が集まるようになっています。

J-SOX最初の施行から15年、企業のIT活用は広がり環境変化も起こっています。このことで、財務報告に関連する会計や財務管理といった自動化を担うシステムを構成するバッチ処理も、「いつ」「誰が」「どこで」「何をした」の証跡により、信頼性と健全性を証明する取り組みがこれまでより一層求められるようになると考えられます。そのため、バッチ処理を管理するJP1のようなジョブ管理ツールの運用にも、以下の観点が必要になると考えています。

これらの証跡は、ジョブ管理ツールにて出力されるログから確認することは可能です。ただし、これらのログはラップして消えていくため、必要な時に必要な部分を取り出し、証明することができません。そこでログを収集して長期的に保管、一元管理し、必要なときに情報を見やすく取り出せる仕組みが必要と考えられます。これがログ管理です。ログ管理は、各システムのログを収集し保管できる大きなバケツとしての役割を果たすほか、各システムでフォーマットがバラバラなログを見やすくするレポート出力装置として、監査対応の大きな味方となるはずです。

ログ管理の本来の目的は、情報漏洩が発生したりその疑いが生じた際、時間をかけずに漏洩経路や犯人の特定につながる情報を調査するために、定期的に操作ログをモニタリングした上で、有事の際にログを横断的に検索・閲覧・分析し、容易にインシデント追跡ができるようにすることです。

​企業のログ管理導入のきっかけの多くは「監査での指摘」によるものですが、今回のJ-SOX改訂のように、コンプライアンス強化の動きは年々加速している上、クラウドシフトに伴いさらに増しています。クラウドサービスではログの保管期間が制限されている場合があり、移行前に取得できていたログが取れなくなったり、環境が複雑化することで、必要なログがどこに存在するのかわからなくなったりすることがあるため、クラウドサービスを含めたログを一括収集できる良さもあります。

これまでログを取得していてもそのままだった方へ、内部統制の見直しの機会に、ログ管理の導入を改めて検討いただくのは如何でしょうか。

アシストでは、ログ管理製品として「Logstorage 」を扱っています。ジョブ運用にJP1をお使いのお客様であれば、J-SOX対応に必要となるJP1ログを熟知したエンジニアが在籍しているほか、「Logstorage」を利用した監査レポートの提供により、設計、構築、監査レポート作成、リリースまで、お客様としっかり伴走することができます。概算費用は252万円～（初年度保守費用込み）。システムの信頼性、健全性を証明するために、アシストに是非お声がけください。