アクセス管理とIT内部統制の密接すぎる関係：ID管理をスッキリさせるIAMのお役立ち度（2/3 ページ）

[富永康信（ロビンソン），ITmedia]

アクセス管理を実現する3つのステップ

　ただし、アクセス制御といっても実現方法は多くの分野にわたる。ITマネジメントソリューションを提供するCAでは、アクセス管理を実現するステップとして、次の3つを挙げている。

（1）権限の付与（Enable）

　これは、システムにおけるIDとアクセス権の定義に当たるもので、誰がどのシステムやデータを使うのか、どういった権限（役割／目的）で使うのか、適切な役割を持った人に適切なアクセス権を付与すること。

（2）強制（Enforce）

　IDに与えられた権限の強制の意味で、（1）で定義されたアクセス権に基づいて許可されたアクセスだけを実行し、定義されていない不必要なアクセスは拒否すること。

（3）監査と監視（Audit/Monitor）

　（1）の権限の付与に基づき、（2）の権限の強制が正しくなされているか、アクセス制御の説明責任を持つこと。その強制されたアクセス制御が正しく行われているかを監査証跡として取得する。そして、その監査証跡は改ざんされていない完全なものであることが求められる。また、監査証跡を取得するだけではなく、監視を行うことにより、事故や不正の早期発見や予防ができることも重要だ。

斉藤氏は「OSのアクセス制御機能では、IT内部統制で求められるアクセス管理を満足できない」と語る

　「アクセス管理は、単にアクセスポリシーを定義するだけでは不十分。権限を実際に強制し、監査／監視までを行って初めて、IT内部統制に必要なアクセス制御がなされていると言える」と語るのは、日本CAでセキュリティマネジメントプリセールスのコンサルタントを務める斉藤俊介氏。