権限変更の履歴と理由を完全に追跡し監査で即座に説明できる体制を構築する方法
企業のシステムにおいて、誰にどの権限をいつ付与・変更・削除したのか、その理由と承認者が記録されていないという問題は、内部統制や外部監査の場面で深刻なリスクになります。監査人から特定ユーザーの権限変更の経緯を問われたとき、申請書が見つからない、承認者が分からない、変更日時が不明といった状態では、統制不備として指摘を受けます。上場審査や取引先監査で信頼を失う事態にもつながりかねません。
この記事は、従業員50〜500名規模の企業で、情報システム部門の担当者や管理部門のマネージャーとして権限管理業務を兼務している方を想定しています。読み終えると、権限変更の申請から承認、実際のシステム反映、証跡の保管までを一気通貫でつなぎ、監査時に任意の権限変更について申請理由・承認者・変更日時・変更内容を即座に提示できる運用体制の全体像を手にできます。一方、大規模エンタープライズ向けの全社統合ID管理基盤の設計や、個別ツールの網羅的なレビューは扱いません。
なお、本記事で紹介するツールの組み合わせは代表的な一例です。同じ役割を果たす別の製品でも、同様のワークフローを構築できます。
読み終えた時点で、権限変更の申請・承認・実行・証跡保管の4工程をつなぐ運用フローの設計図と、各工程で使うツールの役割分担が明確になり、自社での導入検討をすぐに始められる状態になります。
Workflow at a glance: 権限変更の履歴と理由を完全に追跡し監査で即座に説明できる体制を構築する方法
- Step 1: 権限変更の申請と承認を行う (ジョブカンワークフロー) (ワークフローシステム)
- Step 2: 承認済み内容に基づきシステム上の権限を変更・記録する (LANSCOPE エンドポイントマネージャー クラウド版) (IT資産管理ツール)
- Step 3: 申請・承認・変更記録を一元保管し検索可能にする (NotePM) (ナレッジマネジメントツール)
なぜ権限変更の履歴と理由が追跡できなくなるのか
申請・承認と実行が別々の場所で管理されている
権限変更が追跡できなくなる最大の原因は、申請・承認のプロセスと、実際にシステム上で権限を変更する作業が、まったく別の仕組みで動いていることです。たとえば、申請はメールや紙の稟議書で行い、承認は口頭やチャットで済ませ、実際の権限設定はシステム管理者が手動で変更するという流れです。この場合、申請書と実際の変更作業の間に物理的なつながりがありません。半年後に監査で聞かれても、どの申請に基づいてどの変更を行ったのかを突き合わせることが極めて困難になります。
変更の記録が属人的で散在している
権限変更の記録がExcelの管理台帳、メールの送受信履歴、チャットのやり取り、紙の申請書など複数の場所に散らばっている企業は非常に多いです。担当者が異動や退職をすると、過去の経緯を知る人がいなくなります。結果として、監査の場で変更理由を説明できる人が誰もいないという事態が発生します。
監査で求められる証跡の水準を満たせない
内部統制監査やISMS審査、上場審査では、権限変更について以下の情報がセットで求められます。誰が申請したか、なぜその権限が必要だったか、誰が承認したか、いつシステムに反映されたか、変更前後の状態はどうだったか。これらが1つでも欠けると統制不備と判断されます。特に上場準備中の企業では、この不備が審査の遅延に直結します。
重要な考え方:申請番号を軸に申請・承認・実行・証跡を一本の線でつなぐ
権限変更の追跡問題を根本的に解決するには、1件の権限変更に対して1つの申請番号を発行し、その番号を軸にすべての工程を紐づけるという設計が不可欠です。
申請番号が証跡の背骨になる
申請番号とは、権限変更の申請時に自動で採番される一意の識別子です。この番号を、承認記録、実際のシステム変更作業の記録、変更後の確認記録すべてに付与します。監査時には申請番号で検索するだけで、申請理由、承認者、承認日時、変更内容、変更日時がすべて芋づる式に引き出せる状態を作ります。
手動の転記をなくすことが改ざん防止になる
申請から承認、実行までの情報が自動で連携されれば、途中で人が手を加える余地が減ります。これは業務効率の向上だけでなく、記録の改ざんリスクを下げるという統制上の効果もあります。ワークフローシステムで承認が完了したら、その情報がIT資産管理ツールに自動で連携され、変更完了後の証跡が文書管理システムに自動保管される。この流れを作ることが目標です。
権限変更の申請から証跡保管までを一気通貫でつなぐ
ステップ 1:権限変更の申請と承認を行う(ジョブカンワークフロー)
権限変更が必要になった時点で、申請者がジョブカンワークフロー上で申請書を作成します。申請書には、対象者の氏名、対象システム名、変更内容(付与・変更・削除の区分と具体的な権限名)、変更理由、希望適用日を記入します。
ジョブカンワークフローでは申請書のテンプレートを事前に作成できるため、必要な項目の記入漏れを防げます。申請が提出されると、自動で申請番号が採番され、あらかじめ設定した承認ルートに沿って上長やセキュリティ担当者に承認依頼が届きます。承認者は内容を確認し、承認または差し戻しを行います。この時点で、誰がいつ承認したかのタイムスタンプが自動記録されます。
運用頻度は権限変更が発生するたびです。担当者は申請者本人、承認者は直属の上長とセキュリティ管理者の2段階承認とするのが一般的です。承認が完了したら、次のステップに進みます。
ステップ 2:承認済み内容に基づきシステム上の権限を変更・記録する(LANSCOPE エンドポイントマネージャー クラウド版)
承認が完了したら、情報システム担当者がLANSCOPE エンドポイントマネージャー クラウド版を使って実際の権限変更を実行します。変更作業を行う際、ジョブカンワークフローの申請番号を作業メモや管理ラベルとして必ず記録します。
LANSCOPE エンドポイントマネージャー クラウド版は、端末やアカウントに対する設定変更の操作ログを自動で記録します。いつ、誰が、どの端末やアカウントに対して、どのような変更を行ったかが時系列で残ります。この操作ログと申請番号を紐づけることで、承認済みの申請に基づいて変更が行われたことを後から証明できます。
変更完了後、情報システム担当者は変更結果(変更前後の権限状態のスクリーンショットや設定値)を記録し、ステップ3の証跡保管に回します。この作業は承認完了から原則2営業日以内に実施するルールとします。
ステップ 3:申請・承認・変更記録を一元保管し検索可能にする(NotePM)
権限変更が完了したら、一連の証跡をNotePMに集約して保管します。具体的には、ジョブカンワークフローの承認済み申請書のPDF出力、LANSCOPE エンドポイントマネージャー クラウド版の操作ログのエクスポートデータ、変更前後の状態を示すスクリーンショットの3点を、NotePM上に1つのページとしてまとめます。
ページのタイトルには申請番号を含め、タグとして対象システム名、変更種別(付与・変更・削除)、対象者名を設定します。こうすることで、監査時に申請番号、対象者名、対象システム名、期間のいずれからでも全文検索で該当の証跡を即座に引き出せます。
この保管作業は権限変更完了後1営業日以内に情報システム担当者が行います。月次で管理部門のマネージャーが保管漏れがないかをチェックする運用を加えると、さらに確実です。ジョブカンワークフローの承認済み件数とNotePMの保管ページ数を突き合わせるだけで、漏れの有無を確認できます。
この組み合わせが機能する理由
ジョブカンワークフロー:申請・承認の証跡を自動で確定する
ジョブカンワークフローの強みは、申請番号の自動採番、承認ルートの自動制御、承認日時の自動記録という3つの自動化が標準機能として備わっている点です。これにより、申請と承認の証跡が人の手を介さずに確定します。テンプレート機能で申請項目を固定できるため、記入漏れによる差し戻しも減ります。
一方、ジョブカンワークフロー単体では実際のシステム上の権限変更を自動実行する機能はありません。あくまで申請・承認プロセスの管理と証跡の記録に特化しています。そのため、承認後の実行工程は別のツールで補う必要があります。料金体系は月額課金で、ユーザー数に応じた従量制のため、中小規模の企業でも導入しやすい価格帯です。
LANSCOPE エンドポイントマネージャー クラウド版:変更操作の事実を客観的に記録する
LANSCOPE エンドポイントマネージャー クラウド版は、端末やアカウントに対する操作ログを自動で取得・保存します。権限変更の操作がいつ、誰によって行われたかをシステム側で客観的に記録するため、担当者の自己申告に頼らない証跡が残ります。これは監査対応において非常に重要です。
注意点として、LANSCOPE エンドポイントマネージャー クラウド版はIT資産管理ツールであり、すべての業務システムの権限変更を直接制御できるわけではありません。管理対象外のシステムについては、手動での変更作業とスクリーンショットによる記録を併用する運用が必要です。また、ジョブカンワークフローとの自動連携機能は標準では提供されていないため、申請番号の転記は手動で行う前提です。この手動転記のルールを明文化し、月次チェックで漏れを防ぐ運用設計が欠かせません。
NotePM:証跡の一元保管と全文検索で監査対応を即座に完了する
NotePMは社内Wikiとして設計されたツールですが、文書管理システムとしても優れた特性を持っています。全文検索、タグ分類、ファイル添付、アクセス権限の設定が標準で使えるため、権限変更の証跡を保管・検索する用途に適しています。
監査時には、監査人から特定の権限変更について質問を受けた際、NotePMの検索窓に申請番号や対象者名を入力するだけで、申請書、承認記録、変更ログ、変更前後のスクリーンショットがまとまった1ページを即座に提示できます。紙のファイルを探し回ったり、複数のシステムを行き来したりする必要がなくなります。
トレードオフとして、NotePMへの証跡登録は現時点では手動作業が中心です。ジョブカンワークフローやLANSCOPE エンドポイントマネージャー クラウド版からの自動転送は標準では対応していないため、情報システム担当者が変更完了後に手動でページを作成する運用になります。この手動工程を確実に回すために、月次の突き合わせチェックを組み込むことが重要です。
Recommended tool list
| Tool | Role | Pricing | Implementation time | Notes |
|---|---|---|---|---|
| ジョブカンワークフロー | 権限変更の申請・承認プロセス管理と証跡の自動記録 | 月額課金 | 1〜2週間 | 権限変更申請のテンプレート作成と承認ルートの設定が主な初期作業。既存の承認フローをそのまま再現できるため、現場への定着が早い。 |
| LANSCOPE エンドポイントマネージャー クラウド版 | 端末・アカウントの権限変更操作ログの自動取得と保存 | 月額課金 | 2〜4週間 | 管理対象端末へのエージェント導入が必要。既にLANSCOPEを導入済みの企業は操作ログの取得設定を追加するだけで対応可能。 |
| NotePM | 権限変更の証跡を一元保管し全文検索で監査対応を即座に行う | 月額課金 | 1週間 | 証跡保管用のフォルダ構成とタグルールを事前に決めておくことで、運用開始後の検索精度が向上する。 |
結論:申請番号を軸にした3ツール連携で権限変更の証跡を完全に追跡可能にする
権限変更の履歴と理由が追跡できない問題は、申請・承認・実行・保管の4工程が分断されていることに起因します。ジョブカンワークフローで申請・承認を管理し、LANSCOPE エンドポイントマネージャー クラウド版で変更操作の事実を記録し、NotePMで証跡を一元保管するという3ツールの組み合わせにより、申請番号を軸にすべての工程を紐づけることができます。
まず最初のステップとして、ジョブカンワークフローに権限変更申請のテンプレートを1つ作成し、直近の権限変更案件で試験運用してみてください。申請から証跡保管までの一連の流れを1件通してみることで、自社の運用に合わせた調整ポイントが具体的に見えてきます。
Mentioned apps: ジョブカンワークフロー, LANSCOPE エンドポイントマネージャー クラウド版, NotePM
Related categories: IT資産管理ツール, ナレッジマネジメントツール, ワークフローシステム
Related stack guides: 輸出管理教育の受講完了と実務権限を自動連動させ未受講者による誤申請を防ぐ方法, 該非判定の根拠資料が散逸して再現できない問題を解消し監査対応を万全にする方法, 業界標準の改定内容を自社システムへ漏れなく反映し監査不適合を防ぐ方法, 補助金の変更申請と実績報告の整合性を保ち事後監査での指摘と返還リスクを防ぐ方法, パートナーとのトラブル発生時に証跡を即座に集約し原因究明と再発防止を加速する方法
サービスカテゴリ
AI・エージェント
ソフトウェア(Saas)
