統制の鍵となるシステムセキュリティ保証とは：セキュリティツールで作る内部統制（4）（1/3 ページ）

この連載では、これまで内部統制の概要を説明してきた。今回からは、少し踏み込んで具体的な内容に入っていく。まず、第1弾としてセキュリティの部分について解説する。

[中島 浩光，＠IT]

　前回は企業として内部統制について何をすべきか、その中でIT内部統制としてどのように統制活動をしていくべきか、について概要を説明しました。今回からはもう少し具体的な内容に入っていきます。まずは、セキュリティの部分から見ていきましょう。

IT内部統制におけるセキュリティの位置付け

　企業全体として行うべき内部統制と、IT内部統制の関係を簡単にまとめると以下の表のようになります。

企業として行う内部統制	IT内部統制
全社的な内部統制	IT統制環境	IT全体に対しての戦略、方針、運営にかかわる統制活動
業務プロセスにかかわる内部統制	IT業務処理統制（アプリケーション統制）	業務プロセスの一部として業務アプリケーションに組み込まれた統制活動
	IT全般統制	アプリケーション統制が正しいことを補完する活動。以下の4つの領域 ・プログラム開発 ・プログラム変更 ・コンピュータ運用 ・プログラムとデータへのアクセス

　IT内部統制におけるセキュリティ（情報セキュリティ）は、IT全般統制で定義された4領域のうちの「プログラムとデータへのアクセス」に当たります。

　そして、COBITにおけるセキュリティの活動は、ほぼ「DS5 システムセキュリティの保証（Ensure Systems Security）」に集約されています。第3版でも第4版でもDS5になっているのですが、DS5の中で定義されている活動の項目数が第3版では21項目、第4版では11項目と減っています。しかし、これは項目の内容の整理分類をし直した結果です。以下に、第4版で定義されている項目を記述します。

表：COBIT第4版でDS5 システムセキュリティの保証に定義されている項目

DS5.1 Management of IT security
DS5.2 IT security plan
DS5.3 Identity management
DS5.4 User account management
DS5.5 Security testing， surveillance and monitoring
DS5.6 Security incident definition
DS5.7 Protection of security technology
DS5.8 Cryptographic key management
DS5.9 Malicious software prevention, detection and correction
DS5.10 Network security
DS5.11 Exchange of sensitive data
DS5.19 Malicious software prevention， detection and correction
DS5.20 Firewall architectures and connections with public networks
DS5.21 Protection of electronic value

　IT全般統制で定義されている「プログラムとデータへのアクセス」ですが、業務処理に使用されるプログラム／アプリケーション、データに対して「正しい人が正しい権限でアクセスしていること」を保証する仕組みをどうするのか？ ということであり、セキュリティの観点でいえば「アイデンティティ／アクセス管理（Identity and Access Management：IAM）」の領域になります。そして、IAMに特に関係のある項目は、

5.3 Identity management／アイデンティティ管理

5.4 User account management／ユーザーアカウント管理

5.5 Security testing， surveillance and monitoring／セキュリティのテスト、監督、監視

　が中心となります。そこで、今回はIAMの中でもアイデンティティ管理について説明します。