エンカレッジ・テクノロジは2009年5月15日、内部統制の一部であるIT全般統制の有効性モニタリング時に要求される、システム変更などの重要操作の申請・承認のワークフロー化、および申請内容と実際に行われたシステム操作内容の突合(突き合わせ)を自動化するソフトウェアの新製品「ESS AutoAuditor(EAA)」を発表した。販売開始は2009年6月末の予定。
エンカレッジ・テクノロジによれば、企業の基幹システムにおいてシステムやアプリケーションに対する操作が適切に行われていることを保証するために、変更管理やリリース管理を含む、特権IDを用いたシステム管理操作の統制が重要視されている。
従来、重要なシステム管理操作は、システムエンジニアが作業申請書の提出を元に払出された特権IDで操作を行い、作業終了後に作業報告書を提出、管理者による作業完了確認というフローで行われてきた。その場合、“申請がなされ”、“承認された操作であったか”、“申請された作業内容が正確に行われたか”ということが統制上、またリスク管理上の重要なポイントになるという。
そのため企業では、申請内容と実際の操作ログを突合することでその安全性を担保している。しかし、実際に行われた操作内容は、人間がシステムログやネットワークログなど異なる種類のログを解析し、申請内容と突合させて点検・監査をしなければならない。一般的にさまざまなログを解析し、操作を点検・監査するには、専門的なIT知識を持つ要員と時間が必要になるため、膨大な人的負荷とコストがかかる場合もある。
エンカレッジ・テクノロジのEAAは、システム管理における、作業申請、作業承認、特権IDの発行、作業報告、作業確認までの一連のワークフローをオンライン化し、また、最大の特徴として、作業申請の内容と実際の操作記録を自動的に突き合わせ(自動突合)、点検・監査を自動化できるというもの。
統制を必要とする操作を「ブラックリスト」(=未承認操作)として登録しておき、各作業申請書で承認された作業内容から自動的に「ホワイトリスト」(=承認済み操作)を生成する。この2つのリストを用いて実際の操作記録と自動突合し、未承認操作の有無と、承認どおりの操作が実施されたことを報告。未承認操作の内容は、動画像を含む操作記録から確認することができる。
ワークフロー機能はマイクロソフトのMicrosoft Office SharePoint Server 2007 および Windows SharePoint Services 3.0のアドインとして動作。EAAは、.NET Framework 3.0のWindows Workflow Foundationを使用し、Microsoft Office SharePoint Server 2007とのシームレスな操作連携が可能になっている。
同社はこれまで、システムやサーバーに対する操作記録を、動画を含めた克明な記録として取得し、点検・監査のPDCAサイクルを提供することで、システム管理における操作証跡管理を実現するソフトウェア「ESS REC」を開発・販売してきた。EAAは、マニュアル統制(人手による統制)をシステム統制(自動化された統制)に置き換え、点検・監査に関わる人的負荷とコストの削減を支援する。ESS RECと併用することで、統制の自動化と統制手法の標準化を実現できるとのこと。
EAAの予定価格は300万円~。ただし、ESS RECの基本構成も必要になる。同社では、初年度2億円の販売を目指している。
製品概要サイト
http://www.et-x.jp/product/eaa/
エンカレッジ・テクノロジ
http://www.et-x.jp/