システムのコントロール目標

システムコントロール目標の要件を説明します。

FISC 情報システムのコントロール目標

システムリスクは、システムを利用する目的が達成できない結果、企業に何らかの損失を与える可能性としてとらえることができます。

システムの目的を明確に設定するとともに、その目的を達成するために適切にシステムの運営を管理していくことが重要になります。通常、このような管理は、「コントロール」と呼びます。システムの目的を達成するために、どのような事項をコントロールしていく必要があるかは、システムリスクの低減を図る上でも非常に重要な問題といえます。
そのため、国内外のガイドライン等で、システムのコントロール目標が設定されています。

【情報システムのコントロール目標】
ーFISC「システム監査指針」-

  • 有効性
  • 効率性
  • 信頼性
  • 安全性(=機密性・完全性・可用性)
  • 遵守性

 

  • 有効性
    情報システムが経営方針または経営戦略の策定および実現に対して効果的な情報や業務処理機能を提供していること。
    これには、例えば、目的適合性、適時性、有効性あるいは利便性等が含まれます。
  • 効率性
    情報システムによる情報サービスの提供が、生産性や経済性の高い方法で行われていること。
    これには、資源の効率的活用だけでなく、将来的な拡張性や他システムとの連携の柔軟性等も含まれる。
  • 信頼性
    情報システムが提供する情報サービスが、信頼できるものであること。
    これには、情報システムに期待される情報やサービスを情報システムが確実に提供していることが含まれ、また結果やプロセスの堅確性や正確性等が含まれます。
  • 安全性
    情報システムが災害・障害・犯罪・不正行為、その他の脅威から保護されていること。
    これには、機密性(重要な情報が非権限者にしられることがないように保護されていること)、完全性(不正や障害等により情報の一貫性が失われることがないように保護されていること)、可用性(必要とされる情報が必要な時に利用可能であり、また、必要な資源の継続的使用が保護されていること)等が含まれます。
  • 遵守性
    情報システムおよびそれに関連する業務プロセスが、法令、規制、あるいは当該金融機関等の方針および手続等を遵守していること。
    また、情報システムおよびそれに関連する業務プロセスにこれらの規制情報を遵守する仕組みが組み込まれること。この要件は、以上の他の要件と同列なものではなく、それらの前提として位置づけられる関係になります。

 

これらの5つの項目は、それぞれ完全に独立しているわけでなく、一部重複する内容も含めながらシステムのコントロール目標を説明しています。
また、これらの要件は、システムの機能、適用業務、取り扱う情報の性質などによって重要性が変わります。
例えば、金融機関の勘定系システムでは、このような要件は、すべて満たしている必要がありますが、特に可用性については、要求レベルが高くなることが考えられます。

 

COBITにおける7つの情報要請基準

また、これとは別に、米国の情報システムコントロール協会が作成した情報システムのコントロールに関するガイドラインである「COBIT」では、ビジネス目標を満たすために、情報(システムではなない)が満たすべき要件(クライテリア:情報要請基準)として、次の7つが取り上げられています。

  • Effectiveness(有効性)
  • Effciency(効率性)
  • Confidentiality(機密性)
  • Integrity(完全性)
  • Availability(可用性)
  • Compliance(遵守性)
  • Reliability of Information(情報の信頼性)

FISCのコントロール目標では、「安全性」は「機密性」、「完全性」、「可用性」の3つの要件から構成されるものとしていましたので、このCOBITの定義は、FISCと同じ項目で構成されます。
コントロール目標の対象が「情報システム」(FISC)と「情報」(COBIT)で異なっていることから、項目の定義で異なっている点もありますが、結果として目指すところは、ほぼ共通しています。

システムリスクは、以上のような目標の達成を阻害するものととらえられますが、どの項目への対処が求められるかによって実施すべき対策も異なってきます。
したがって、リスクの内容を正しく理解し、満たすべき目標に合わせた、適切な対策を実施していく必要があります。

記事製作者

中小企業診断士 湯谷 一夫

コンサルティングのご依頼などサービスの詳細は、次のバナーをクリックしてください。  

コメントを残す