多くの企業では今，日本版SOX法の施行に向けた内部統制対応が急ピッチで進められている。しかし，文書化やRCM（リスク・コントロール・マトリックス）の作成，システム改修などには多大な手間とコストが掛かる。限られた時間の中で，十分な対応策を講じるのは非常に困難だ。その理由として，ハミングヘッズの松澤 大之氏は「不正が発生しないことを証明する予防的統制アプローチに偏りすぎているからではないでしょうか」と指摘する。

実際の運用では思いがけないリスクが発生する可能性もある。そのため，リスクを予見する対策を前提とした，予防的統制アプローチだけでは全社的な内部統制の仕組みを実現することは難しい。松澤氏は「予防的統制アプローチに加え，自社業務の正当性を証明する発見的統制アプローチを施すことが極めて重要です。内部統制の本来の目的もそこにあるのです」と主張する。

発見的統制を行うには，第三者から見ても明らかに正当性が証明できる客観的なデータが必要である。「それには業務上使用するPC操作の履歴を網羅的に記録することが有効でしょう」と松澤氏は述べる。

現在，PCはビジネスの不可欠なツールとなっており，PCの操作履歴は業務の記録とイコールの関係にあるからだ。「網羅的に取得されるPCの操作履歴を活用することで『何をやったのか』を証明する，現実的な内部統制を実現できます」（松澤氏）。それを可能にするのが同社の提供する情報セキュリティ対策・内部統制ソリューション「セキュリティプラットフォーム」（以下，SeP）である。

SePはWindows環境において「どのPCで」「いつ」「誰が」「何を」「どのように操作したのか」を時系列で網羅的に記録し，実施した業務の事実を詳細に把握することが可能だ。その履歴を検証し，不正につながるような行為が確認できなければ，自社の業務の正当性を証明できる。

「効果的なモニタリングにより，発見的統制を強化することができるのです」と松澤氏は話す。またPCの操作履歴が網羅的に記録されていることが抑止力になり，暗黙の行動指針を形成する。「社員のモラルの向上が期待でき，予防的統制を強化することもできます」（松澤氏）。

つまり，発見的統制，予防的統制という双方からのアプローチにより，効果的かつ充実した内部統制対応を実現できるのだ。「これにより，想定されるリスクを軽減。業務処理統制における評価範囲を絞り込むことができ，全社的な内部統制を効率的に構築することが可能になります」と松澤氏は強調する。

SePにはPCの操作履歴を時系列で網羅的に記録する「監視」機能に加え，「アクセス制限」や「不正防止」を図る機能もある。アクセス制限機能は「誰が」「どのファイルやフォルダに」「何をできるのか」といったアクセス権限を，既存環境を変えることなく設定可能だ。

例えば，特定のファイルに対し，ある社員やグループ単位で印刷，コピー，別名保存禁止などの設定を行うことができる。また，不正防止機能はファイルを外部に持ち出そうとした場合，ファイルのカプセル化または暗号化を自動的に行い，そのファイルを社外で使用できないようにする。

意図的な情報の持ち出しはもちろん，ノートPCや外部メモリを持ち出し，紛失や盗難にあった場合でも，情報の漏えいや悪用を確実に防止する。「業務プロセスに大きな影響を与えることなく，セキュリティを強化します。企業内のあらゆる情報を安全に有効活用できるのが特長です」（松澤氏）。

では，実際にどのような活用が可能なのだろうか。SePはPCの操作履歴を網羅的に記録している。社員の一日の操作履歴を収集・分析することで，その社員がいつ，何をしていたかを容易に把握可能だ。松澤氏は「勤務時間内に業務と関係のない操作をしている社員と，そうした懸念のない社員を識別し，その結果を人事評価に応用することも可能でしょう」と語る。

さらに，ファイル履歴を基にしたフローチャートを作成すれば，業務の実施状況も把握でき，規定したルールに従った業務プロセスで作業を行っているかどうかがすぐに分かる。ルールに反した業務プロセスを行っていれば，不正や改ざんの温床となる可能性がある。それを早期に発見し，改善を促すことで，社内ルールの徹底を図ることができる。これにより，業務の正当性を証明することが可能だ。

しかも，SePは記録した履歴を操作単位で分析できる。例えば，ファイル参照履歴をキーに操作履歴を一覧表示すれば「どのPCで」「誰が」「いつ」「どのファイル」にアクセスしたかが一目で分かるのだ。その中に参照権限のない社員のアクセスが記録されていなければ，不正なアクセスは行われていなかったことになり，業務の正当性を証明できるだろう。

具体的には「経営者は，信頼性のある財務報告の作成に関し，職務の分掌を明確化し，権限や職責を担当者に適切に分担させているか」といった内部統制文書化の評価項目に対して，SePを導入することで「財務報告作成のために必要なファイル・フォルダは職務権限に従い，アクセス権を設定している」と回答できる。

さらに運用テストで「ファイル・フォルダに関するアクセス権の設定が職務権限規程等と一致している」ことを確認できれば「財務報告のためのファイル・フォルダのアクセス権の設定状況を確かめたところ，職務権限規程等に一致していた」というテスト結果が得られるだろう。これにより，ファイルの参照について，内部統制が有効に機能していることを証明できるわけだ。

同じようにクリップボード履歴，印刷履歴，禁止操作履歴，情報の持ち出し履歴，ファイル更新履歴などをキーに分析することも可能。特にファイル更新履歴の場合は「どのPCで」「誰が」「いつ」「どのファイルに」アクセスしたかといった情報に加え，キーボードからの入力情報も記録する。

どのような変更を加えたか，その更新過程まで詳細に把握できるのが特長である。「これらの機能を活用することで，内部統制の実施基準が求める統制活動に対して，その有効性を効率的かつ確実に担保することができます」（松澤氏）。

講演の後半では，松澤氏に続き，同社社長の大江 尚之氏が登壇。SePの仕組みに言及し，「SePはWindowsの上位アプリケーションとして機能し，APIをフックすることで，アプリケーションに依存せずにWindows上で行ったすべての操作を網羅的に記録することができるのです」と説明した。また業務の特性上，履歴を記録する必要がない場合は，指定のアプリケーションを監視対象から除外できるなど，柔軟な運用が可能だという。

企業活動の中で，経営者が自社のすべての活動および社内のすべての従業員の行動を把握することは非常に困難である。そのような状況下で経営者は，企業内に有効な内部統制のシステムの整備・運用により，財務報告における記載内容の適正性を担保することが求められている。

SePはPCの操作履歴を時系列かつ網羅的に記録することで，業務の正当性を証明する有効なソリューション。「既存環境や業務プロセスへの変更を最小限に抑え，現実的な内部統制の構築をサポートすることが可能なのです」と大江氏はその特長を改めて強調し，講演を締めくくった。

[ 画像クリックで拡大 ]

SePが実現する内部統制の効果

PCの操作履歴を網羅的に把握することで業務の正当性を証明する。これにより，発見的統制を実現している。さらに記録されていることが抑止力となり，社員のモラルの向上にも貢献。予防的統制も可能になり，より効果的な内部統制対応が実践できる。