銀行で資産運用を始める場合、手間がかからないうえに窓口で運用について相談することが可能です。お金のプロである銀行なら安心して投資ができそうですが、手数料や商品数の少なさなど、いくつかの注意点もあります。メリットとともにご紹介します。 2015年5月末から6月の第1週にかけて、「DevOps」について議論する機会が何度かありました。言うまでもなくDevelopment（開発）とOperation（運用）を組み合わせた造語ですが、「日本では今もDevOpsの考え方が正しく理解・認識されているとは言えない」という指摘が複数あったのです。 自社で開発・保守の要員を抱えているが、管理職が1名で、開発と運用の組織的な分割ができないということはよく聞かれるケースです。 対応方針は次の2通りが考えられます。 管理職は実行権限を持たず、実行権限を持つ開発要員と運用要員のみ分離する。 コラムカテゴリー：　2008年4月以降開始の会計年度から適用された日本版SOX（J-SOX)の対応では多くの企業がJ-SOX対応のサービスやシステムを導入し、会計士やコンサルタントとともに社内IT統制の整備・強化を図りました。導入当初は専門家に頼りっきりであったIT統制の整備も現在では自社社員により対応が出来るようになってきました。　しかし、ここ数年自社の業務監査や外部監査でIT統制について指摘をされるという話をよく聞きます。また、その中でも「『本番』と『開発』の分離」の指摘が多くなされているようです。このコラムでは少し「『本番』と『開発』の分離」（以下、「本開分離」）について振り返ってみたいと思います。　本開分離では以下に示す3つの「分離」を行う必要があります。　開発部門と運用部門での業務が明確に分離され、リスクのある行為がどちらか一方の部門だけで行われないように相互牽制を働かす必要があります。これは部門間での牽制だけでなく、部門内での牽制、つまり実行権限を持つものと承認権限を持つものの分離についても考慮する必要があります。　具体的には、本番環境のプログラムやデータに対する計画的な変更は開発部門で実施するのではなく、標準化された作業手順や作業依頼に基づき運用部門が担当する。また、開発部門が本番環境での作業を行う際は、運用部門が作業に立会うとともに、事後的な検証を実施するなどのモニタリングを行うことで、お互いに牽制を働かせ、不正行為を行う余地を排除することができます。　開発環境と本番環境を物理的に分離する必要があります。本番環境と開発環境のネットワークが分離されていないと、開発環境から本番環境へ自由にアクセスが可能となり、アクセス制御の有効性が保証されないばかりか、データ漏洩・改ざんに対するリスクがあるからです。　具体的には、サーバやネットワークなどの物理資源を共有しないことや、本番環境に接続可能な端末を開発部門の執務スペースに置かないといった手段がとれるでしょう。　開発部門による本番環境へのアクセスが制限されているとともに、運用部門による開発環境へのアクセスが制限されている必要があります。　具体的には、本番環境のプログラムやデータに対する変更を可能とするIDや権限は運用部門がもち、開発環境のプログラムやデータを変更可能とする権限は開発部門のみが保有します。サポート等で開発部門が本番環境データにアクセスする必要がある場合は、期限付きで参照権限を付与するなどの手法がとれるでしょう。　本開分離では、本番データやプログラムに対する不正行為を排除し、企業のもつ情報の信頼性、正当性、正確性を実現することを目的とします。J-SOX対応ですでに対応をされた会社であっても、「開発部門と運用部門の分離が規程上だけでなく、実際も分離がされているか」、「職責・権限が曖昧になったまま運用されていないか」、いま一度本開分離について見直されることをおすすめします。2015年02月20日 (金)青山システムコンサルティング株式会社 つまり、コンテナのメリットは、「アプリケーションが安定して稼働する環境を、高速かつ簡単に構築できる」という点です。この技術を利用することにより、開発部隊では生産性の向上や環境管理の負荷軽減が期待できます。具体的には、以下の場面でその利点が生かされると考えられます。 コンサルタントのコラム［第3回］ 職務分離の見直し2009年7月今回は2つ目の勘所である、「職務分離の見直し」について詳しく解説します。適切な職務分離は、代表的な予防的コントロールですが、職務分離が不十分な場合には、ログの取得及びレビュー等の不正を発見するためのコントロールが必要になります。まず、職務分離を行うとはどういうことか、それをどのように説明すべきかを解説します。職務分離は、リスクのある行為が一人で完結しないようにするための手段です。垂直分掌業務の実行権限を持つ者とこれの承認権限を持つ者は分離し、誤謬及び不正を発見できる体制とするものです。水平分掌リスクのある行為が同一分掌内で完結しないように分掌設計を行い、分割された組織間の相互牽制によりリスク顕在化を防止しようとするものです。 職務分離でよくいわれるものは、「許可されていないプログラムが本番環境に投入されないよう、開発者と運用者を分離する」というものです。この垂直分掌・水平分掌について、監査時に説明すべきなのは規定上の権限設定と実行権限の状況です。移行作業が、“適切な責任者の承認の下に行われる”ことや、“牽制を効かせた業務分掌が成されている”ことを説明するには、規程類でこれらがどのように定められているかを説明することになります。ただし、組織規模が小さく、業務の“責任と権限”を持つ管理者が1名しかいない場合も考えられます。この場合、組織を分けることができません。業務分掌通りにアクセス権が設定されていることを説明するには、本番環境のプログラムを変更できるシステム的な権限の状況を説明することになります。特権ID管理の統制については、これだけで話が終わってしまうのでここでは詳細説明は割愛します。ここまで、職務分離をどう行うか、それをどう説明するかについて解説してきましたが、「ウチのような小さな所帯には使えない！」とお叱りを受けそうです。自社で開発・保守の要員を抱えているが、管理職が1名で、開発と運用の組織的な分割ができないということはよく聞かれるケースです。例えば、開発責任者：W課長、開発者：X氏、運用責任者：Y氏、運用者：Z氏のような設定にして分離を実現します。規定上でこれを表現するために、「全社の組織分掌に関する規程の下位規程、例えば、承認権限に係る細則や情報システム部内規としての業務分掌規程」上に、職制だけでなく「役割」上の責任者を規定して、承認権限の所在を明らかにします。また、人員構成の都合上、職制上の“責任・権限”を持つ管理職にも実行権限を付与しなければならないこともあると思います。さらに小規模な組織では、自社で要員を抱えず、すべて外部に委託しているケースもあると思います。この場合、統制の考え方は、むしろ委託管理の要素が多くなります。関係が固定的で要員もほぼ固定されている場合、「許可されていないプログラムが本番環境に投入される」リスクは、自社で行われているのと同じ程度に大きいといえます。例えば短期の開発委託などの場合、職務分離を依頼するのはリスクの大きさに鑑みて、やり過ぎ感があります。繰り返しになりますが、本コラムが、皆様の統制設計の一助になれば幸いです。NECネクサソリューションズご質問・ご相談などお気軽にどうぞ資料ダウンロードはこちらから 開発部門と運用部門での業務が明確に分離され、リスクのある行為がどちらか一方の部門だけで行われないように相互牽制を働かす必要があります。これは部門間での牽制だけでなく、部門内での牽制、つまり実行権限を持つものと承認権限を持つものの分離についても考慮する必要があります。