追加付録 付録8 パッケージのセキュリティ統制概要

「パッケージのセキュリティ統制概要」について述べていきます。

付録8は、会計パッケージに対するセキュリティ機能に対する方針作りを手助けするために作成されています。

パッケージを購入し、活用するユーザーとしては、この方針の基に作成された機能が会計パッケージに必要なセキュリティ項目であるとして判断して、検証すれば良いと思います。

市販の会計パッケージを評価対象として、TOE(Target Of Evaluation)と表現し、そのパッケージのセキュリティ機能をTSF(TOE Security Function)と呼んでいます。
初めての言葉で、若干とまどいますので、ご注意ください。


付録7で会計パッケージの基本統制要件は述べていますので、ここでは、TSFの機能を解説しておきましょう。

会計パッケージに求められるセキュリティ機能として、「識別と認証機能」、「監査ログ記録機能」、「監査機能」、「会計データ更新ロック機能」の4つの機能を上げています。
それぞれに求められる機能を整理して見ます。

(1)識別と認証機能とは、利用者ID、パスワードを使用してパッケージへのアクセスの許可/非許可を判断する機能です。ID管理やパスワード管理の機能です。

(2)監査ログ記録機能は、会計担当者による勘定科目マスタ、仕訳データの入力、修正、削除などの履歴を日付・時刻、操作者などと伴に記録する機能です。
監査はウォークスルーの観点で、行なわれますのでそのための判別を可能にする記録機能が必要です。

(3)監査機能とは、会計責任者が監査ログをレビューする際に、特定の監査ログを検索し、解釈し易い形式で表示する機能です。監査ログとして記録されたデータはウォークスルーの観点で多角的分析を可能とする機能が必要です。

(4)会計データ更新ロック機能は、会計責任者が、一定期間(日時、月次、年度)以前の会計データの更新を禁止するために、その期間の会計データをロックする機能です。
監査期間中の会計データの変更や削除を不可能にする機能です。

以上の4つのセキュリティ機能に対するセキュリティ対策を設定していくことになります。

今回はここで終わります。次回は「付録8セキュリティ機能定義記述構造例」を取り上げます。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする