読者です 読者をやめる 読者になる 読者になる

システム監査人の日記

システム監査人が監査・テクノロジーに関する情報を書き留めていきます。

WAFとファイアウォールの違い

公開サーバへのセキュリティ対策として使われているWAFについて。

 

WAF(Web Application Firewall)という名前の通り、Webアプリケーション(Webサイトなど)に特化したファイアウォールになります。

ファイアウォールではパケットに含まれる送信元/送信先の情報(IPアドレスやポート番号)からしか判断できませんが、WAFではパケットの中身まで見て、有害な通信内容でないかどうかを判断します。 

 

OSI参照モデルのレイヤーで説明すると、それぞれ対応する領域は以下のようになります。

 

■WAF

第7層 - アプリケーション層

第6層 - プレゼンテーション層

第5層 - セッション層

 

第1層 - 物理層

  

ちなみにネットワーク層トランスポート層でも通信データを解析して対策するものとして次世代ファイアウォールというものも出てきています。

不正のトライアングルとは

不正が発生する際の要素として、以下の3要素(不正のトライアングル)が揃うと発生すると言われています。

 

■機会

不正を行える環境にあるかどうか。例えば、経理担当者1人が入出金管理をおこなっていたり、データベースにアクセスできるシステム管理者権限を持っている場合などが該当します。

 

■動機

不正を働くことによるメリットがあるかどうか。例えば、私生活で経済的に困っているため会社の資金を横領する、ノルマ達成のために架空の売上を計上する等が該当します。 

 

■正当化

不正に対する罪悪感を緩和するもの。例えば、お金に余裕ができたら返すから、架空売上でも会社に貢献しているから、といったものが該当します。

 

会社で不正を防止しようと思った時には、「動機」・「正当化」の観点での対策よりも「機会」の対策を行うのが一般的です。社員全員のお財布事情を把握するのは現実的ではないですし、正当化に関しては個人の価値観やモラルが強く影響するからです。

では「機会」の観点での対策とはどういったものがあるでしょうか? 上で挙げた例に対しては以下のような対策案が考えられます。

 

・担当者1人で業務が完結しないように入力者と承認者を分ける、つまり担当者が入力し、管理職が承認したものしか会計に反映されないようにする。

・システム管理者のアクセスログを定期的にチェックし、不正の兆候がないかを確認する。

 

どこまで対策するかは会社によって異なりますが、近年こういった対策が重視されている傾向にあります。

内部統制監査と財務諸表監査の違い

私が最初うまく理解できなかった内部統制監査と財務諸表監査の違いについてまとめます。

 

■2つの監査が出来た経緯

昔は財務諸表監査のみで、財務諸表の開示された数字があっていれば良いとされていました。しかし、粉飾決算の頻発を受けてJ-SOXが成立し、会社が自社の内部統制が有効に機能しているかを評価し、それを監査人がチェックすることになっています。

出された数字だけでなく、不正を働けない環境であるかどうかも見なければいけないということです。

 

■財務諸表監査

監査人が会社の財務諸表を評価するための監査です。財務諸表の数字の妥当性評価を行ううえで特定の業務プロセスに関する内部統制を評価することが考えられますが、その判断は監査人が行います。

 

■内部統制監査

 会社の内部統制が有効であるかを評価するための監査です。財務諸表への影響が大きい業務プロセスを(一定の基準に沿って)会社が判断し、監査人はその妥当性を評価します。

 

■一体監査

財務諸表監査と内部統制監査には細かな違いはあるものの、対象となる業務プロセスが重複している場合は両者を同時に評価します。これを一体監査と呼びます。

 

内部統制監査、財務諸表監査の詳細についてはまた別途まとめようと思います。