STOP Inc.

内部統制対応と監査対策

2026.02.15
#IT運用管理 #サーバ監視 #セキュリティ監査 #ログ管理 #内部統制 #変更管理 #監査対策
内部統制対応と監査対策

内部統制対応と監査対策

監査が見る勘所:サーバ監視で外さない4領域

可用性とインシデント管理

監査は、障害を「早期に検知し、定めた手順で対処し、再発を防ぐ」仕組みを確認します。サーバ監視では、MTTA(検知から一次対応開始まで)とMTTR(復旧まで)の目標値をSLA/OLAと紐づけ、重大度定義(例:P1=顧客影響、P2=内部影響)を明文化します。全P1アラートは15分以内にチケット化、当日中に一次原因を記入、48時間以内に恒久対策案を起票——などの運用基準があると強いです。

権限・職務分掌

監視基盤や本番サーバへの特権は最小権限で付与し、申請・承認・付与・レビューを分離します。少なくとも四半期ごとに権限棚卸、緊急IDは都度発行+終了時にログ提出。監査は「誰がいつ何をできたか」を一点突破で聞いてきます。IAMや監視ツールのロール設計は、チケット起票者と承認者、運用者とレビュワーが重ならないように。

変更管理とリリース

しれっと本番設定を変えないこと。監視ルール・しきい値変更も変更管理の対象です。チケットに理由・影響・ロールバック手順・承認者を残し、リリースカレンダーと突合できるようにしておきます。Gitで監視定義をコード化(IaC/PaC)し、Pull Requestベースで履歴を残すと、説明が速くなります。

ログと証跡

インシデントタイムライン、アラート履歴、オンコールの対応記録、変更差分、アクセスログを一気通貫で追えることが重要です。SIEMやログ基盤で90日オンライン、1年アーカイブを目安に保管し、監査期間(通常は直近期)に即時提示できる状態にします。

実務で使えるコントロール設計としきい値の決め方

ビジネス目標から逆算する

RTO/RPO、SLA(例:99.9%)から逆算して監視KPIを決めます。例:99.9%なら月43分の停止許容量。P1検知の遅延目標を5分、MTTRを30分以内に設定し、しきい値は「誤検知5%未満、見逃し0件」を目標にA/Bテスト。CPUやメモリの静的なしきい値より、エラーレート増分やp95遅延などサービス指標に寄せたほうが、アラート疲弊を防げます。

アラート設計の実装例

アラートは「検知→チケット→エスカレーション→復旧→原因→予防」のチェーンで定義します。具体例:P1条件=外形監視の連続3回失敗+複数AZでの失敗相関、P2条件=p95レイテンシ1.5倍が5分継続。夜間はオンコール直電、平時はSlackメンション。抑止(メンテナンスウィンドウ)、集約(同一原因の束ね)、重複排除(相関ルール)を必ず設定します。

職務分掌の落としどころ

少人数組織でも「承認者は当番外」「本番アクセスは時間制・理由必須」「監視ルールはPR+レビュワー必須」の三点だけは死守。緊急時はEAB(Emergency Access Bridge)で24時間限定付与し、翌営業日にログレビューと事後承認を必須化します。

監査証憑の作り方:自動で溜め、手で整える

証憑は「都度作る」ではなく「常に溜まる」。チケットシステムでテンプレートを用意し、必須項目(重大度、影響、一次原因、恒久対応、承認者)を落とさない。監視ルール変更はGitのPRとチケットIDを相互にリンク。オンコール表、DRテスト結果、権限棚卸レポートは四半期で自動エクスポートし、監査フォルダに集約します。

生成AIは整備に役立ちます。ChatGPTやClaudeでインシデント時系列の要約、原因の分類タグ付け、ポストモーテムの見出し案を作ると時短になります。Copilotで監視ルールのPR記述や単体テスト雛形を補助、Geminiでログ検索クエリの例を生成。機密データを扱う場合はエンタープライズプランや社内モデルを使い、プロンプトに個人情報や秘密情報を入れない運用ルールを設けます。

  • 最低限の提示セット:直近3カ月のP1/P2チケット一覧、平均MTTA/MTTR、変更申請と承認履歴、特権IDの発行ログ、権限棚卸記録、外形監視の稼働率レポート、DR/BCP演習の報告書
  • 保管期間の目安:重要ログ1年、チケット・変更記録2年、権限棚卸記録2年

身近な企業活用例:中堅ECの失敗と改善

監視は委託+自社少数。初回の内部監査で「特権の棚卸不足」「監視しきい値の根拠不明」「変更承認の抜け」「証憑の散在」を指摘されました。特にP1障害のチケットに一次原因が書かれておらず、監査人が深掘りしても時系列がつながらないのが致命傷でした。

3カ月の是正計画では、(1) P1/P2の定義とMTTA=10分/MTTR=45分をSLAと連動、(2) 監視ルールをGit管理しPR必須、(3) 権限は申請-承認-付与-レビューの分離をワークフロー化、(4) チケットの必須項目をテンプレで強制、(5) 監査フォルダに自動エクスポート、を実施。併せてChatGPTで障害タイムライン要約、Claudeでポストモーテムの骨子作成、Copilotで監視ルール変更PRのチェックリスト生成、GeminiでSIEMクエリ例を作成し、運用負荷を抑えました。

結果、P1のMTTRは平均62分→38分、アラートは重複排除で月1,200件→380件、監査準備工数は半減。再監査では「定義の明確さ」「証跡の一貫性」「職務分掌の遵守」が評価され、指摘は軽微な改善要望のみになりました。

内部統制は書類作りではなく、サーバ監視運用の“日常”を整えることと同義です。検知から復旧、再発防止、権限と変更の統制、そして証跡の自動化までが一列に並んだとき、監査対応は副産物になります。サーバ監視運用事業に携わる立場なら、今日のアラート設定一つ、チケットの一行、PRのレビューチェック一回が、そのまま内部統制の強さにつながります。

関連記事