iSecurityログ取得によるユーザーの職務分離
掲載日:2010.03.10
事例概要
IT全般統制のユーザー職務分離の要件をiSecurityで対応
事例情報
| お客様名 | 非公開 |
| 導入年度 | 2007年 |
| フェーズ | 要件定義、設計、構築(開発・カスタマイズ) |
| プロジェクト工数 | 1人月 |
| プロジェクト期間 | 2ヶ月 |
製品情報
| 提供会社名 | 三和コムテック株式会社 |
| 事例種別 | 製品販売(ハードウェア、ソフトウェア) |
| 製品・サービス紹介URL | http://www.sct.co.jp/product/system_secyrity_01.html |
背景
グループ企業でJ-SOX法への対応し始めたため、System iをリプレースするタイミングで監査対策を開始。
導入前の課題・ニーズ
IT全般統制では、プログラムソースを触る開発担当者と、本番環境に自由にアクセスしてプログラムをリリースする運用担当者を分離する必要があるのだが、開発と運用を職制で分離するのは難しい。
System iのOSの基本機能で、システム全体のログを取得できる機能があるが、それでは、監査担当者がわからないので、監査担当者がわかる形式のログとして出力したい。
解決方法
開発者5名に対し、プログラムリリース時にのみ、システム管理者が各自の申請に基づいて、本番環境へアクセスできる特別なユーザーIDを時限的に付与することにした。発行したユーザーIDに対して、iSecurityのログを取得することで、本番環境でのプログラムリリースが正しく行われているか確認できるようになり、事実上、開発担当者と運用担当者の職務分離を実現することができた。
導入後の効果
運用担当者が1年間で行うプログラム変更約50件、オペレーションの変更依頼30~40件、不具合への対応20~30件に対してのプログラムリリースをすべてiSecurityログで管理できている。また、親会社の管理部門からはツールをうまく使ってログを適切に取得し、プログラムに事実上不正な変更がないことを定期的に確認できる仕組みが確立されており、IT全般統制の基準を満たしているという高い評価を受けた。
提供会社
| 事例提供会社名 | 三和コムテック株式会社 |
| 事業区分 | 製品販売(ハードウェア、ソフトウェア)、受託開発、ソリューション販売 |
| 本社所在地 | 東京都港区六本木3-4-3 |
| 企業URL | http://www.sct.co.jp |
| 電話番号 | 03-3583-2386 |
| FAX番号 | 03-3583-2387 |
| 事例URL | http://www.sct.co.jp/product/jirei/sctno11-2.pdf |
お客様情報
| お客様名 | 非公開 |
| 企業規模 | 501~1000名 |
| お客様所在地 | 東海 |
※本事例中に記載の肩書や数値、固有名詞等は初掲載当時のものであり、閲覧される時点では、変更されている可能性があることをご了承ください。
※記載された会社名および製品名などは、該当する各社の登録商標または商標です。
