石山 美希
三井住友アセットマネジメント株式会社(以下、三井住友アセットマネジメント)は2002年の発足以来「お客さま第一主義」の経営理念のもと、お客さまにご満足いただける高品質の資産運用サービスの提供、中長期的な資産形成をお手伝いしています。
三井住友アセットマネジメントでは、基幹業務システムを対象にESS RECを導入、内部統制のさらなる強化によって、お客さまへ従来以上にご安心いただけるサービスを提供しています。
事務システム戦略部
部長
松島 士郎 氏
事務システム戦略部
シニアマネージャー
岡本 貴 氏
事務システム戦略部
マネージャー
熊谷 貴夫 氏
三井住友アセットマネジメントは設立初期から投資顧問業務を対象に監査報告制度であるSAS70(現在はISAE3402に移行)を取得し、資産運用業務の内部統制確保に取り組んできました。
「お客さまの資産をお預かりして運用を行う立場において、資産運用業務の正当性についての説明責任が求められます。お客さまからすれば、内部統制のしっかりした企業なら、安心して資産運用を委託できると考えていただけます」(松島氏)
その中でIT関連におけるさらなる内部統制の強化のきっかけとなったのが金融商品取引法の施行でした。同法の施行後はITに関する統制においてより高度な統制レベルが求められるようになりました。
内部統制の強化にあたり、IT全般統制で最も重点が置かれたのが「本番環境へのアクセス制限」と「開発者と運用者の分離」の2点でした。これらの要件に対応するため、三井住友アセットマネジメントでは「承認ベースでの特権IDの使用」「証跡(ログ)の取得と点検」による本番環境へのアクセス制御とトレースの仕組みについて構築することとしました。そのためには特権IDによる本番環境へのアクセスを記録し、チェックを行うためのログツールの導入は必須でした。
「弊社のプラットフォームはWindows とUNIX、Linuxなどが混在しています。またデータベースへのアクセスも記録の対象として考えていました。当初はプラットフォームごとに対応するログツールを導入する予定でした」(岡本氏)
しかしプラットフォームごとに個別のログツールを導入すると、膨大な費用がかかるということが判明しました。
「ESS RECは動画で作業内容の記録が可能で、GUIの操作についてもわかりやすく記録ができる、他社にはない新しい製品でした。またGUIの操作だけでなくキーボード打鍵情報などもテキストとして記録し、照合できるという点も魅力的でした。さらに検知ルールを設定し、行ってはいけない操作の判別が可能である機能を有しており、まさに欲していたものと合致していたため、導入を決定しました」(岡本氏)
三井住友アセットマネジメントでは、ESS RECの導入を皮切りに申請ベースでアカウントを貸し出すプロセスとツールの整備、作業申請内容とESS RECなどの操作証跡を照合し、申請時間外の操作や予定外のサーバーへのアクセスの有無を自動検知する仕組みを構築して、システム操作のリスク管理の仕組みを確立しました。
三井住友アセットマネジメントでは開発者が障害対応などといった緊急時用として申請・承認を経て利用可能となる本番環境アクセス端末と運用管理者の端末にESS RECを導入し、すべての操作内容を詳細に記録するようにしています。その上で作業時間の超過や申請外サーバーへの接続といった操作がないかESS RECの記録と作業申請内容とを照合し、その結果に問題がある場合にはESS RECの記録をエビデンスとして申請者に提示して申請外内容の理由記入および管理者による承認を行っています。
「この照合作業は、年間1,000件以上にも及ぶため、人手によるチェックでは相当な工数がかかるため実現不可能でした。今では毎朝自動照合の結果がメール送信されてくるので、その内容を確認するだけです」(熊谷氏)
三井住友アセットマネジメントにおいてはこのような仕組みの導入が本番環境へのアクセスに対する開発者の意識を大きく変えることにつながりました。
「開発者に対して、本番環境へアクセスするリスクを正しく認識させ、正当な作業理由と申請・承認手続きがなければアクセスできないという意識づけを行うことができました」(岡本氏)
「統制の仕組みを導入当初は、照合の結果、非常に多くの申請外作業が行われている状況でした。しかしESS RECの記録をエビデンスとして、開発者に注意を続けるうちに、彼らが自主的にきちんとした申請書を上げるようになりました。現在では照合で引っかかることはほとんどありません。照合の結果、問題が生じると開発者が自分から原因を報告に来るほどです」(熊谷氏)
内部統制の根本的な部分は、個々人の意識です。ESS RECの導入によって、当初の目的であった金融商品取引法やSAS70の要件に対応する以外に、個々人の意識という根本的な部分にも大幅な改善が起こり、内部統制が真に強化できたと感じています。
今、IT業界ではクラウドサービスが大きく注目されています。クラウドサービスなど社外システムを利用する場合、アクセス制御やログの仕組みはサービスごとに提供されるため、統合的な証跡管理が難しくなる可能性があります。
「ESS RECの動画記録を利用すれば、クラウドサービスなどの社外システムに対しても、統合的でわかりやすい形の証跡管理を行うことが可能です。特にSAS70の範囲で社外システムを利用する場合に最も効率が良い証跡管理の方法はESS RECの動画記録を利用することだと考えています」(熊谷氏)
業界トップレベルの内部統制を維持し、お客さまにご満足いただけるサービスを提供する三井住友アセットマネジメント。エンカレッジ・テクノロジは今後も状況に応じた最適な製品・サービスの提供を通して、三井住友アセットマネジメントのIT全般統制を支えてまいります。
※本内容は、2012年8月時点のものです。
| 設立年月日 | 2002/12/01 |
|---|---|
| 本店所在地 | 東京都港区愛宕二丁目5番1号 愛宕グリーンヒルズMORIタワー28階 |
| URL | http://www.smam-jp.com/ |
| 事業内容 | リサーチを重視し、高品質の資産運用サービスを提供し続ける日本トップクラスの運用会社。アジア・中国地域の投資運用にも精通しており、お客さまの多様なニーズに応じた豊富な商品を取り揃えている。 |
| 導入製品 | ESS REC |