Click here to visit our sponsor 


----------------------------------------------------------------------

イントラネットシステムの企画段階におけるシステム監査について

----------------------------------------------------------------------

----------------------------------------------------------------------
第1章イントラネットシステム導入時の企画の概要
----------------------------------------------------------------------
1−1 イントラネットシステム導入の背景・目的
----
 A社は光ファイバーなどの通信ケーブルを敷設する全
国規模の電線施工メーカーである。私はA社の内部監査
室に所属しており、情報システムの監査を担当している。
電線業界は、昨今のブロードバンドサービスの普及に伴
い、ここ数年急激に需要が伸びている業界である。しか
し、競合企業との価格競争が激化しており、収益面では
厳しい状況が続いている。
 A社には複数の基幹システムがあり、各担当者は専用
端末にデータを入力している。文字や数値以外にも写真
や画像も扱いたいという要望が社内から出されている。
 A社が目指すような、オープン性、拡張性の高い機能
には、インターネット技術が適している。そこでA社シ
ステム部は、経営陣と協議し、基幹システムををイント
ラネットを用いて再構築することとした。

----
1−2 イントラネット情報システムの企画の概要
----
 A社では、システム再開発を迅速に進めるため、既存
の機能やデータは極力利用することとした。開発の体制
は、現在のユーザ部門や開発経験者を集めたプロジェク
トチームを発足させ、ナレッジを最大限に活用し、品質
の高いシステムの開発を目指した。
 ハード面では、専用端末ではなくLAN上のPCを使
い、汎用性を広げることにした。将来的にはイントラネ
ットをグループ会社にも拡大し、グループ大での効率化
を目指している。ソフト面では、汎用パッケージソフト
を導入し、ソフトの持つ機能を有効利用することとした。
 このような方針で、開発のコストダウン、期間短縮を
図り、旧システムで要した2年間の開発期間を1年間に
するとともに、費用は半分にするという企画を立案した。

----------------------------------------------------------------------
第2章 イントラネットシステムを導入するための考慮
    すべきリスクの概要と企画段階での管理
----------------------------------------------------------------------
2−1 考慮すべきリスクの概要
----
 システムを構築するにあたり、期待する費用対効果を
実現するには、イントラネットシステムの活用は有効な
手段である。しかし、イントラネットの活用範囲を広げ
ていく場合の考慮すべきリスクも多い。重要なリスクと
しては、次のようなものがある。

(1)ネットワークの信頼性の低さによる可用性が下が
   るリスク
 イントラネットは多くのユーザから、ネットワークを
通してアクセスさせるため、機能がネットワークに依存
するところが大きい。A社の使用するネットワークは、
A社全支店および社外からの接続範囲にも及ぶ。使用す
るネットワークのトラブルにより、システムそのものが
使えなくなるというリスクが存在する。

(2)セキュリティ低下による安全性が確保できないリ
   スク
 システム端末は、ほぼ全社員が保有しているイントラ
ネット・モバイル端末である。外部からのアクセスが可
能になるため、ユーザーIDやパスワードが漏れると、
誰でもシステムに不特定の外部者による不正なアクセス
ができるようになる。

(3)ユーザ操作ニーズに答えられないリスク
 イントラネットは基本的には、HTMLベースのイン
ターフェースであり、専門端末での作り込みのような高
度な操作性は求められない場合がある。その結果、ユー
ザが期待するGUIの向上が得られない場合がある。

----
2−2 リスク管理のための企画段階で実施すべき内容
----
これらのリスクに対応するには、リスクを適切に管理し、
リスクを未然に防ぐ対策をとることが求められている。
特にイントラネットシステムの企画段階では、システム
構築ルールを後の開発担当者に徹底させるため、十分な
検討が必要となる。
 私は企画段階で実施すべき内容として次の点を上げた。

(1)ネットワークの信頼性・トラブル対策の検討
 ネットワークの信頼性の設計およびネットワークにト
ラブルが発生した場合の対策が十分か確認する。特に危
機管理の一貫として、トラブルの未然防止とともに、ト
ラブルが起こった場合の対策は重要である。

(2)社内情報リテラシーの徹底
 信頼性の高いハードウェアを構築しても、ユーザーの
リテラシーが欠如していると、データの漏洩・改ざんや、
ID・パスワードの流出など、システムが不正使用され
るおそれがある。A社のシステムユーザーには、情報リ
テラシーの教育を徹底し、安全性を確保するようにする。

(3)システム費用対効果の精度向上
 システムの効率性を高めるには、開発・保守費用と、
業務用件の実現レベルのバランスが大切である。どんな
に操作性を重点にシステムを開発しても、使用頻度の低
い機能であれば、費用対効果が見込めない。ユーザーニ
ーズ調査を徹底的に行い、実現効果を明確にさせ、シス
テム部が中心となって、費用対効果の資料を綿密に練る
ことが重要である。

----------------------------------------------------------------------
第3章 イントラネットシステムの導入の企画段階にお
    けるシステム監査要点
----------------------------------------------------------------------
 システム監査法人は、企画段階のシステム監査では、
該当システムの有効性の評価や潜在リスクの想定を確認
する必要がある。イントラネット情報システムのような
ネットワークを常時利用するシステムでは、影響する範
囲も大きくなる。
 私は、今回のイントラネットシステムの導入の企画段
階での監査の重要な点として、次の点を挙げた。

(1)ネットワークトラブル対策の確認
 ネットワークの設計が十分にできているのかを確認す
る。ピーク負荷の見積もりは、現在の負荷データなどを
用いて適切な予想ができているのかをネットワーク設計
書などで確認する。また、ネットワークのトラブル時の
対応策のマニュアルが存在し、役割分担や連絡方法、復
旧手順が記載されているかを確認する。

(2)システム導入のサポート体制の妥当性
 システムに対するリテラシーを向上させる取り組みを
監査する。システムがスムーズに浸透する研修体制があ
るか、ヘルプデスクなどのサポート体制、リテラシーを
向上させるための体制があるか確認する。

(3)システムの利用状況の検証手段の確認
 システムの費用対効果の検証を行うためには、実際に
システムがどう使われているのかを知る手段が必要であ
る。アクセスログの分析や、ネットワーク負荷状況のチ
ェックなどを分析できるような仕組みがあるか監査する。
システム検討時に想定した利用状況と実際の利用状況を
比べることは、次期の開発時にも有効な資料となる。
[ 戻る ]