アクセス管理とIT内部統制の密接すぎる関係：ID管理をスッキリさせるIAMのお役立ち度（1/3 ページ）

多様なアプリケーションは企業に高い生産性をもたらした。半面、システムは肥大化し、そのID（アイデンティティ）管理が深刻なセキュリティリスクの要因となっている。そこで今、アクセス制御などのIDアクセス管理（IAM）の重要性が問われている。

[富永康信（ロビンソン），ITmedia]

このコンテンツは、オンライン・ムック「運用管理の過去・現在・未来」のコンテンツです。関連する記事はこちらでご覧になれます。

　2006年6月に金融商品取引法が成立し、「24条4-4」（通称日本版SOX）による上場企業を対象にした財務管理報告書の完全性を示すための内部統制の実施が、2008年度から求められることになった。そこで、IT内部統制の必要性がいっそう高まっている状況がある。

　この法律の成立に伴い、「実施基準」「財務報告に係るIT統制ガイダンス」が金融庁から公表されているが、日本版SOX自体はITを強制しているわけではなく、ITを利用して効率的に内部統制すべきことが明記されている。ITを使用した場合には、それに対して内部統制、つまりIT化された業務の統制や、ITを利用した統制の強化・効率化を行う旨が示されている。

　業務プロセスにITが利用されているかぎり、アプリケーションやデータへの「アクセス管理」は内部統制上必要不可欠であり、アクセス管理がないと監査で不備が指摘されることになる。

米国で最も不備が指摘されたもの

　以下は、E&Y ISACA（情報システムコントロール協会）が発表した、米国SOX対応におけるIT内部統制全体の評価と、監査上の指摘事項をまとめたトップ10である。

IT内部統制における監査上の指摘 トップ10

1. 識別されていない、もしくは解決されない権限分離の問題

2. 財務システムが稼働するOS（UNIXなど）のアクセス制御

3. 財務システムに利用されるデータベースが保護されていない

4. 開発スタッフが本番環境の業務トランザクションを実行可能

5. 多数のユーザーが本番環境の管理者ID（スーパーユーザー）を利用できてしまう状態

6. 退職者や過去の外注社員がシステムにアクセス可能

7. 財務アプリケーションにおけるデータ入力期間の制限

8. カスタム開発プログラム、テーブル、インタフェースなどが保護されていない

9. 手作業のプロセスの手続きが定義されていない、もしくは定義に従っていない

10. システム文書が実際のシステムと食い違っている

（出典：E&Y ISACA Sarbanes Conference，4/6/04）

　これらを見ると、10項目中7項目（太字部分）がOSに関するアクセス管理の指摘となっている。財務報告書を改ざんできる可能性を持つ者を管理する上で、その機会を制限するためのものとして「職務の分掌（Segregation of Duties：SoD）」が注目されているが、特定の者に多くの権限を与えず、特定の役割しか与えないということがセキュリティ上の常識だ。

　しかし、米国の内部統制監査で最も高い頻度で不備が指摘されたのも、このSoDと言われている。契約社会の米国でさえそんな状況で、権限分離があいまいな日本なら、SoDがさらに機能しなくなることは容易に予測できる。そこにもアクセス制御の重要性が叫ばれている理由がある。