開発と運用の分離
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、システム統括部の駒田です。 昨今、内部統制やJ-SOXといった言葉を良く耳にしますが、 ヤフーもご他聞に漏れず、粛々と対応を進めて参りました。 今回は、その対応の一環として行った、 「開発と運用の分離」に関してのエントリーをさせていただきます。 例えばですが... 開発成果物であるソースコードをテスト終了後に改ざんし、 不正に利益を得る様なエンジニアが存在していた場合、 それはヤフーにとって、一般のお客様に対する裏切りであり、 信用の失墜となってしまいます。 このような事態を回避するため、 当開発部では開発者と運用者とを明確に分離し、 開発者はリリースモジュールに触れる事が出来ない。 運用者はソースコードに触れる事が出
【インタビュー】企業情報ポータルで実現する内部統制 - ドリーム・アーツの取り組み (1) 効率化を阻害する"IT化しにくい"非定型業務の存在 | 経営 | マイコミジャーナル
ドリーム・アーツ 代表取締役社長 山本孝昭氏 J-SOX法の施行も控え、また情報漏洩などのコンプライアンスに関わるトラブルが相次いでいることからも、内部統制をどう実現していくかが企業の関心事となっている。そのためのコンサルティングサービスやソリューションもいろいろ提案されているが、J-SOX法で規定される「財務報告の信頼性」がカバーする範囲は、内部統制の大きな目的の一部分に過ぎない。ドリーム・アーツでは、同社の企業情報ポータル/グループウェアである「INSUITE Enterprise(インスイート エンタープライズ)」を用いて内部統制の強化を支援しているという。同社の代表取締役社長の山本孝昭氏に聞いた。 業務現場の現在の課題 現在の内部統制に関する話題の中心は、基幹業務/バックオフィス業務に限定された形となっています。これは、当初内部統制に関わったのが監査法人系中心だったことも理由でしょ
マイクロソフト、統制強化を目的にサーバ製品のログ監査ガイドを公開
マイクロソフトは4月20日、「Microsoft TechNet」サイトにおいて「マイクロソフト サーバ製品のログ監査ガイド」の公開を開始した。本ガイドは、「ファイル変更の有無」「個人情報の持ち出し」「不正なIDの作成」などを適切に監査する方法といった、ユーザー企業から寄せられる問い合わせに応えるため、ログ監査の方法、監査に当っての留意点に関する情報をまとめたもの。 本ガイドを利用することで、膨大なログに重要な情報が埋もれてしまうような事態を回避し、ユーザーのアクセスコントロールや不正利用などの有事に備えた、適切なログの記録および監査が可能になるという。ガイドは、Windows Serverを対象とした「ファイルサーバ上のファイル操作における監査」「印刷ジョブについての監査」「タスクについての監査」「Active Directory上の各種操作における監査」、SQL Serverを対象とし
NECが米国上場廃止の危機? 「監査厳格化」の影響受ける - @IT
2006/11/21 NECが11月21日発表した2007年3月期の連結中間決算は135億円の経常赤字だった。NECはこの中間決算から従来の米国会計基準ではなく、日本会計基準で決算を発表している。NECは米国ナスダックにADR(米国預託証券)で上場。米国証券取引委員会(SEC)に、10月2日までに2006年3月期決算の年次報告書を提出する必要があった。しかし、この年次報告書についてNECの米国監査法人が追加の分析を要求。SECへの年次報告書の提出が遅れている。NECは最悪、ナスダック上場廃止の可能性がある。 SECへの年次報告書の提出遅延を受けて、ナスダックが11月16日にNECのヒアリングを実施した。ヒアリングを受けたNECの取締役 執行役員専務 的井保夫氏によると、「いつまでに報告書を出せるのかなどの計画について話をした。約1カ月で(何らかの)結果が出る」。ヒアリングが行われたといって
(前編) 評価・報告・監査の前提となる「内部統制の基本的枠組み」
金融庁が11月8日に一般公開した内部統制整備の実務的なガイドラインである「実施基準」草案(以下,実施基準案)は,(1)「内部統制の基本的枠組み」(資料1-1),(2)「財務報告に係る内部統制の評価及び報告」(資料1-2),(3)「 財務報告に係る内部統制の監査」(資料1-3)という3つの文書から成る。このほかに(1)~(3)のポイントをまとめた参考資料(資料2)がある。 公開に先立ち11月6日に開催された「金融庁 企業会計審議会 第14回内部統制部会」では、(1)と(2)について議論され,(3)に関する議論は11月20日に開催予定の第15回内部統制部会に持ち越された(関連記事『日本版SOX法「実施基準案」がついに登場、IT統制に関して例示』『「売上高3分の2以上を目安に業務を選定」、内部統制の基準案公表』)。そこで以降では、(1)と(2)の中身を2回に分けて紹介していきたい。今回は(1)「
「ツールとeラーニングでJ-SOXの監査用文書作成を支援」、KGTが新製品
ITベンダーのケイ・ジー・ティー(KGT)は9月26日、日本版SOX法(J-SOX)に対応する企業向けに「J-SOXスタートアップパッケージ」を発売した。J-SOXスタートアップパッケージは、日本版SOX法対応の監査で利用する文書の作成を支援するツール(文書化ツール、日経コンピュータ10月2日号に関連記事)の「Ci-Tower BPM 北斗バージョン」と、文書化ツールを利用して実際に文書を作成する担当者向けのeラーニング・サービス「内部統制構築支援eラーニング」で構成する。 Ci-Tower BPM 北斗バージョンは、KGTの文書化ツール「Ci-Tower BPM」に、東京北斗監査法人が監修した日本版SOX法対応用文書のテンプレートを付属したもの。Visioで記述した業務フロー図に、リスクやコントロール(統制)を記述することで、RCM(リスク・コントロール・マトリックス)を作成する。日本版
オラクルとネットアップがSOX法対策で協業、文書改ざん防止を容易に
日本オラクルと日本ネットワーク・アプライアンス(ネットアップ)は1月19日、ドキュメント管理分野での協業を発表した。両社のドキュメント管理製品を組み合わせ、コンプライアンス(法令順守)対策ソリューションとして提供する。 両社は、いわゆる日本版SOX法の登場で、企業のコンプライアンス意識が高まっている現在をビジネスチャンスととらえている。「まずは、両社共通のパートナーに対してコンプライアンス対策ソリューションの啓蒙活動、トレーニングを進める」(ネットアップの高沢冬樹マーケティング本部長)という。 コンプライアンス対策ソリューションを構成する製品は、オラクルのコンテンツ管理やグループウエア機能などを兼ね備えたコラボレーションソフト「Oracle Collaboration Suite 10g」と、ネットアップのデータ保護システム「NetApp SnapLock」。様々な法律で保持が求められるド
サン、アイデンティティ管理を自動的に行う「Sun Java System Identity Auditor」
サン、アイデンティティ管理を自動的に行う「Sun Java System Identity Auditor」 サン・マイクロシステムズ株式会社は1月11日、アイデンティティ管理製品「Sun Java System Identity Auditor」を発表した。 Sun Java System Identity Auditorは、コンプライアンス上の問題が生じる前に自動的にアイデンティティ管理の検査を実施するとともに、アイデンティティ管理を継続的に可視化できるソリューション。複数のシステムにわたるアイデンティティ情報とアクセス権限情報を、あらかじめ設定された監査ポリシーに基づいて評価することが可能。ポリシー違反が発生したときは、管理者へ通知し、自動的に対応する機能も用意されている。そのほか、他社のセキュリティ・イベント管理製品とも連携して利用できる。 対応システムは、Solaris、Red
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
手軽なWeb会議ツール「フレッシュミーティング」に、内部統制向け機能
http://spider.ctc-g.co.jp/web/fm/mkt/2007163g