日本版SOXで求められるIT内部統制には、企業の重要な情報へのアクセス管理が重視される。そこで重要になるのが、“万能”なスーパーユーザーの権限をいかに管理するかだ。
このコンテンツは、オンライン・ムック「運用管理の過去・現在・未来」のコンテンツです。関連する記事はこちらでご覧になれます。
前回は、アクセス管理を実現する3つのステップとして、「権限の付与」(適切な役割を持った人に適切なアクセス権を付与すること)、「強制」(付与されたアクセス権に基づく適切な実行)、「監査と監視」(権限の付与と権限の強制が正しくなされているか、アクセス制御の説明責任を持つこと)を説明したが、OSレベルでのアクセス管理には限界があることも分かった。
日本CAでセキュリティマネジメントプリセールスのコンサルタント、斉藤俊介氏は「日本版SOXでは『完全性』が求められていることが重要なポイント」だという。財務報告書自体は監査法人などに提出するものであるため、機密性は保持するものの、外部に漏れてはならないというものではなく、そのソース自体が正確であることが求められる。
一方、完全性とは、権利を集中して持つユーザーに対してきちんと制御できていることであり、強力な権限を持つ者が完全性を覆すことができないような制御が求められているのだ。
“セキュリティのCIA”と呼ばれる、Confidentiality(機密性)、Integrity(完全性)、Availability(可用性)の中で、個人情報保護法では「C」の機密性が非常に重視されていたが、日本版SOXでは「I」の完全性が重視されるという違いがある。
なぜなら、財務報告の信頼性、情報の信頼性を担保する必要があるからだ。言い換えると、IT環境において財務諸表に重要な影響を及ぼす操作が行われない状態に保たれていること、また、そのような可能性がないことが日本版SOXでは求められる。これは、データやプログラムの完全性重視といえ、通常は管理者・特権ユーザーが監査の対象となる。
したがって、「まずは強力な権限を持つ管理者からきちんと管理し、そのログを取得して完全性を確保しようというのが、米国でSOX対応を経験してきたCAからのアドバイス」と斉藤氏は述べる。
Copyright © ITmedia, Inc. All Rights Reserved.