.png)
「今年もアクセス権の棚卸しが不備として指摘された」「退職者のアカウントが残ったままだった」——J-SOX対応を担当する情シス部門から、毎年こうした声が聞こえてきます。
2024年4月、内部統制報告制度(J-SOX)が約15年ぶりに改訂され、情シスが対応すべき範囲はさらに広がりました。SaaSやクラウドの利用が当たり前になった今、複数システムにまたがるアクセス管理、変更の証跡、監査ログの整備は、どの企業にとっても切実な課題です。
この記事では、IT全般統制の体系から具体的な対応手順、SaaS環境での実践ポイント、管理ツールを使った効率化の方法まで、情シス部門の担当者・責任者が実務で使える内容をまとめて解説します。
.jpg)
「J-SOXは経理部門の話」と思われがちですが、現実には情シスが担う範囲が大半を占めます。対応を始める前に、IT統制の全体像を把握しておくことが重要です。
J-SOX(金融商品取引法に基づく内部統制報告制度)は、上場企業が財務報告の信頼性を確保するための制度です。企業は毎年、内部統制の整備・運用の状況を評価し、報告書として開示する義務があります。
現代企業の財務データは、ほぼ全てITシステムを通じて処理・保管・報告されています。そのITシステム自体が適切に管理されていなければ、財務報告の信頼性は根本から揺らぎます。だからこそ、IT統制が内部統制全体の基盤として重視されるのです。
情シス部門が中心的に担う役割は「ITを利用した内部統制」の整備と評価です。アクセス権限管理、システム変更のコントロール、監査ログの取得・保管、障害対応手順の整備——これらは全て情シスの仕事になります。
IT統制には3つの階層があります。
IT全社統制は、組織全体のITガバナンスに関する統制です。IT戦略、IT部門の組織体制、ITリスク管理方針、セキュリティポリシーの整備などが含まれ、経営層の関与が求められる領域です。
IT全般統制(ITGC: IT General Controls)は、個々のシステムが適切に機能するための基盤となる統制です。アクセス管理・変更管理・運用管理・開発管理の4カテゴリに分かれ、情シス部門が最も深く関わる領域でもあります。
IT業務処理統制は、個々の業務アプリケーションに組み込まれた自動統制です。入力データの検証、計算処理の精度、権限に基づく承認フローなどが対象になります。
情シスが主戦場とすべきは「IT全般統制」です。全社統制・業務処理統制への関与も必要ですが、ITGC整備・評価が情シスの中核業務です。
2024年改訂で情シスに特に影響の大きい変更点を整理します。
参考: 15年ぶり改訂のJ-SOX、IT部門がいますぐ知っておくべき5つのQ&A
IT全般統制はJ-SOX対応の核心です。4つのカテゴリそれぞれが何を対象としているかを正確に理解することが、漏れのない対応への第一歩になります。
アクセス管理はJ-SOX監査で最も頻繁に指摘を受ける領域です。「誰が・どのシステムに・どの権限でアクセスできるか」を適切にコントロールすることが目的です。
具体的に求められる統制は以下の通りです。
SaaSを多数導入している企業では、個々のシステムでアクセス管理を個別に行うことになり、管理の複雑さが増します。これが現代の情シス部門における最大の悩みの一つです。
変更管理は、システムへの変更(プログラム修正・設定変更・パッチ適用など)が適切なプロセスを経て実施されることを確保する統制です。
「開発担当者が本番システムに直接変更を加えられる状態」は、J-SOX上の重大な不備として指摘されます。開発環境と本番環境を明確に分離し、全ての変更に証跡を残すことが必須です。
運用管理は、日常的なシステム運用が安定して継続されることを確保する統制です。
開発・実装管理は、新規開発や大規模改修が適切なプロセスで行われることを確保する統制です。
参考: J-SOX実施基準の実務対応ガイド(OAGコンサルティング)
.jpg)
クラウド・SaaSの活用が当たり前になった今、アクセス管理の複雑さは以前とは比べものになりません。「Excelで管理しているが棚卸しが追いつかない」という声をよく聞きます。SaaS環境に特化した実践的な手順を解説します。
.png)
「アクセス権の棚卸しが実施されていない」「棚卸しの証跡が残っていない」——これはJ-SOX対応の典型的な指摘事項です。年に一度の作業だからこそ、手順を標準化して誰でも実施できる形にしておくことが大切です。
Step 1: 対象システムの洗い出し財務報告に影響を与えるシステム(基幹系・会計系・人事系など)を中心に対象範囲を確定します。SaaSを含む全システムのリストを作成しましょう。
Step 2: 現在のアカウント・権限リストの取得各システムから現在のユーザーリストと権限情報を取得します。SaaSの場合は管理画面のエクスポート機能を活用します。
Step 3: 人事情報との照合取得したアカウントリストを在籍者リストと照合します。退職者・異動者のアカウントが残っていないかを確認します。
Step 4: 権限の適切性確認各ユーザーの業務内容に対して付与されている権限が適切かどうかを確認します。「業務上不要な権限が付与されていないか」「最小権限の原則が守られているか」がチェックポイントです。
Step 5: 是正と記録不要なアカウントの削除、過剰権限の削減を実施し、棚卸しの証拠として記録を残します。業務承認者のサインも忘れずに。
アクセス管理の不備の多くは、入退社対応の遅延や漏れから発生します。退職者のアカウントが残ったままの状態は、J-SOX上の問題であるだけでなく、情報セキュリティ上の深刻なリスクでもあります。
入社時(プロビジョニング)の手順:
退社時(デプロビジョニング)の手順:
多くの企業で問題になるのが「デプロビジョニングの遅延」です。人事部門と情シス部門の連携が取れておらず、退職後もアカウントが有効のまま放置されるケースは珍しくありません。この問題を根本から解決するには、人事システムとITシステムの連携を自動化することが有効です。
最小権限の原則(Principle of Least Privilege)とは、各ユーザーが業務遂行に必要な最小限のアクセス権限のみを持つという考え方です。財務データへの不正アクセス・不正操作のリスクを低減するためにも、J-SOXの文脈では非常に重要な原則です。
SaaSでこの原則を実践するポイントは以下の通りです。
参考: 日本版SOX法(IT全般統制)への対応 - LogStare
監査ログは「誰が・いつ・何をしたか」を証明する重要な証拠です。監査人が証拠として求めるログを適切に取得・保管しておかないと、実際に統制が機能していても証明できない事態になりかねません。
.png)
J-SOX対応で取得・保管すべきログは多岐にわたります。主要なものを整理します。
認証・アクセスログ:
業務処理ログ:
システム運用ログ:
変更管理ログ:
J-SOXでは、内部統制の評価に必要な証拠書類を7年間保管することが基本です(会社法の書類保存義務に準じます)。実務的には以下の点を考慮したポリシーの策定が必要です。
数十〜数百のSaaSを利用している企業では、各サービスがバラバラにログを保管している状態が一般的です。このままでは棚卸し時に各管理画面を個別に確認する作業が発生し、監査対応の効率が著しく低下します。
SIEM(セキュリティ情報・イベント管理)の活用: 複数システムからログを収集・集約し一元的に管理・分析するツールです。セキュリティ観点では強力ですが、コストと設定の複雑さが課題です。
SaaS管理プラットフォームの活用: ジョーシスのようなSaaS管理プラットフォームを利用することで、各SaaSのアクセス状況や権限情報を一元管理できます。操作履歴の可視化や棚卸しの自動化にも対応しています。
API連携による自動ログ収集: 各SaaSのAPIを活用してログデータを自動取得・集約する仕組みの構築も可能です。ただし、構築・維持にコストがかかる点は考慮が必要です。
参考: ログをしっかり残して管理することがJ-SOX対応への一歩(インテック)
変更管理の不備は、J-SOX監査でしばしば重大な問題として指摘されます。「本番環境への変更が承認なしで実施されていた」「変更履歴が残っていない」という状況は、財務報告の信頼性に直接影響するリスクとして評価されます。
.png)
実効性のある変更管理には、以下の要素が必要です。
変更要求書(RFC: Request for Change)の起票:変更内容・変更理由・リスク評価・テスト計画・ロールバック計画を含む変更要求書を作成します。
承認プロセスの設計:
財務報告に影響する重要システムの変更は、より厳格な承認プロセスが必要です。メール承認の場合はそのメールを証拠として確実に保管してください。
緊急変更(Emergency Change)の取り扱い:緊急時には通常のプロセスを省略せざるを得ない場面もありますが、事後承認の仕組みを整備し、緊急変更の記録を確実に残すことが重要です。「緊急だったから記録が残っていない」は通用しません。
職務分離はIT全般統制における基本です。特に重要なのは「開発担当者が本番システムに直接変更を加えられる状態を排除すること」です。
小規模な情シス組織で完全な職務分離が難しい場合、補完的な統制(特権アクセスのログ監視・定期的な作業記録のレビューなど)で補うことが認められています。ただし、その場合でも監査法人との事前の合意が必要です。
変更管理の証拠として保管すべきドキュメントは以下の通りです。
これらは監査対象期間(通常1年間)のものを保管し、監査人の要求に速やかに対応できる状態を維持してください。
参考: 「内部統制報告制度(J-SOX)」改定における情報システム部門の関わり方(SBT)
J-SOX対応では「実際に統制を実施しているのに、ドキュメントが整備されていないために不備と判定される」事態が少なくありません。実態以上にドキュメントを整備する必要はありませんが、実施した内容を確実に記録する習慣が重要です。
.png)
J-SOX対応で必要な「3点セット」について整理します。
業務記述書(Narrative):業務プロセスを文章で記述したドキュメントです。「誰が・何を・いつ・どのように」行うかを具体的に記載します。IT統制に関しては、システムの利用方法、アクセス管理の手順、ログの取得・保管方法などを記述します。
フローチャート:業務の流れを図示したドキュメントです。各ステップと判断ポイント、関連するシステムや帳票を視覚的に表現します。監査人が業務プロセスを理解するための重要な資料です。
リスク・コントロール・マトリクス(RCM):業務プロセスに存在するリスクと対応するコントロールの対応関係を表形式で整理したドキュメントです。コントロールの種類(予防的/発見的)、手動/自動の区別、実施頻度、証拠書類の種類などを記載します。
IT統制に関して監査人が重点的に確認するポイントです。
指摘①: 退職者アカウントの残存
退職処理フローを見直し、人事部門と情シス部門の連携手順を整備します。HRシステムと連動したアカウント無効化の自動化を検討することも有効です。
指摘②: アクセス権棚卸しの実施記録なし
棚卸しの実施手順と記録様式を整備します。棚卸し結果に業務承認者のサインを得て保管する運用を確立してください。
指摘③: 変更管理プロセスの不遵守
変更管理ルールを明文化し、全担当者に周知します。緊急変更の場合も事後承認記録を確実に残す手順を整備します。
指摘④: 特権アカウントの管理不備
管理者権限を持つアカウントを棚卸しし、不要な管理者権限を削除します。特権アカウントの使用は必要時のみとし、使用ログを監視する仕組みを整えてください。
参考: J-SOX基準等改訂ポイントの解説(PwC Japan)
SaaSの数が増えるにつれ、手作業での管理は限界を迎えています。「棚卸しのたびに各サービスの管理画面を開いて確認する」という作業を毎年繰り返している情シス担当者も多いのではないでしょうか。SaaS管理プラットフォームを活用することで、対応の効率と精度を同時に向上させることができます。
.png)
ExcelやスプレッドシートによるSaaSアカウント管理には、現実的な限界があります。
ジョーシスは、SaaSの利用状況の可視化から、入退社時のアカウント管理自動化、デバイス管理まで一元管理できるAI駆動型SaaS管理プラットフォームです。J-SOX対応の文脈で特に役立つ機能を紹介します。
SaaS利用状況の一元可視化:社内で利用されているSaaS(シャドーITを含む)を自動検出し、契約情報・ユーザー数・利用状況を一つの画面で把握できます。対象システムの洗い出しが格段に容易になります。
アカウント情報の自動取得と管理:各SaaSのAPIと連携し、アカウント情報・権限情報を自動取得します。人事データとの照合で、在籍者と退職者のアカウント状況をリアルタイムで確認できます。
入退社時の自動プロビジョニング/デプロビジョニング:入社・退社情報をトリガーに、複数のSaaSに対するアカウントの作成・削除を自動実行します。退職者アカウントの残存リスクを大幅に低減し、J-SOX監査での指摘を防ぎます。
棚卸しの自動化と証拠書類の生成:アクセス権限の棚卸しをシステムで自動実施し、結果をレポートとして出力します。監査人に提示する証拠書類の整備工数を大幅に削減できます。
操作ログの一元管理:各SaaSの操作ログを一元的に収集・管理します。監査時に必要なログを迅速に抽出できる環境を整備できます。
ジョーシスを導入した企業では、以下のような変化が報告されています。
J-SOX対応は「年に一度の監査のための作業」ではなく、「日常的なガバナンス活動の延長線上」にあります。ツールを活用して日常業務の中でIT統制を維持できる仕組みを構築することが、中長期的な対応コストの削減につながります。
J-SOX対応を進める情シス担当者からよく寄せられる質問に回答します。年間スケジュールの考え方も合わせて整理します。
.png)
Q1. 上場していない会社でもJ-SOXに対応する必要がありますか?
J-SOXは上場企業(および上場準備中の企業)に義務づけられた制度です。非上場企業への直接適用はありません。ただし、上場親会社の子会社として連結対象になる場合や、SOC2認証の取得を目指す場合、大企業との取引でセキュリティ基準の証明を求められる場合には、実質的に準じた対応が必要になることがあります。
Q2. SaaSベンダーのIT統制はどのように評価すればよいですか?
2024年の改訂で、委託先(SaaSベンダーを含む)のIT統制評価がより重要視されるようになりました。実務的な対応としては、SaaSベンダーが発行するSOC報告書(SOC 1 Type II / SOC 2 Type II)を入手・確認することが一般的です。SOC報告書が入手できない場合は、ベンダーが公開しているセキュリティホワイトペーパーや契約上のセキュリティ条項の確認で補完します。
Q3. アクセス権の棚卸しはどれくらいの頻度で実施すべきですか?
年1回以上の実施が一般的に求められます。財務データを直接扱うシステムについては年2回以上を推奨する監査法人もあります。最終的な頻度は、会社のリスク評価と監査法人との合意に基づいて決定してください。
Q4. 小規模な情シス組織で職務分離を実現するにはどうすればよいですか?
完全な職務分離が難しい場合、「補完的統制」による対応が認められています。特権アクセスのログを定期的にレビューする(IT管理者以外の上位者が実施)、開発者の本番アクセスを承認制にして全記録を残す、外部顧問が変更内容をレビューするなどの方法があります。監査法人と事前に相談し、補完的統制の内容について合意を得ることが重要です。
Q5. ITの評価範囲はどのように決めればよいですか?
「財務報告に重要な影響を与えるシステム」を中心に特定します。ERP・会計システム・人事・給与システムが対象の中心です。SaaSについては、財務データを直接処理するもの(クラウド会計・給与計算SaaSなど)と、財務報告プロセスに間接的に影響するもの(人事管理・経費精算など)を評価対象として検討します。評価範囲の確定は監査法人との協議が必要です。
4月1日を期首とする企業(3月31日決算)を例に、J-SOX対応の年間スケジュールをまとめます。
J-SOX対応は一度整備すれば終わりではありません。毎年、業務変更やシステムの追加・廃止に伴うドキュメントの更新と、運用状況の評価・記録の継続が求められます。早期に体制を整備し、日常業務の中で自然に統制が機能する状態を目指すことが、情シス部門の長期的な負担軽減につながります。
参考: J-SOXとは?IT統制で企業が気をつけるポイントを解説(EGG SYSTEM)
J-SOX対応のIT管理において、情シス部門が取り組むべきことを整理します。
SaaSを多数活用する現代の企業環境において、J-SOX対応を手作業で維持し続けることには限界があります。ジョーシスのようなSaaS管理プラットフォームを活用することで、日常的な運用の中で継続的にIT統制を維持できる体制を構築することをお勧めします。
Sign-up for a 14-day free trial and transform your IT operations.
