上記の制御(強制)と説明責任を実現するには、3つのステップがある。
1つは、システムにおけるIDとアクセス権の定義。誰がどのシステム/データを、どのような役割・目的で使うのかという権限の付与の機能。2つ目は、IDに与えられた権限の強制。定義されたアクセスの許可と、定義されていないアクセスの拒否を明確に実行する部分である。
そして3つ目が、アクセス制御の説明責任。ログを取ることによって、上記で強制されたアクセス制御の監査証跡とその完全性の担保、アクセス違反の早期発見などを厳格に行う。
このように、最初にIDのルール決めを行い、そのルール通りに強制し、最後にログを取るという3つのステップを統合認証基盤が担うことで、内部統制が適切に機能することになる。言い換えれば、この3つのどれかが欠けているシステムであっても、統合認証基盤によって内部統制が必要なレベルにまで補完されるということになる。
次回は統合認証ツールを例に、具体的な効果を探っていく。
Copyright © ITmedia, Inc. All Rights Reserved.