「内部統制のためのアイデンティティ管理 導入や運用における落とし穴とは」を読んで
予防的統制とは、各ユーザーの職務内容に応じて、適切なシステムに対する適切なアクセス権限の付与や剥奪を実施すること
発見的統制とは、各種システムに実際に格納されているアクセス権限設定を確認し、誤りがあればこれを修正する作業のこと
「ユーザー・プロビジョニングによって統制できないアクセス権限」(担当者が勝手にアクセス権限をいじったりしないということを証明することはできない)をも把握し、正しいアクセス管理が維持されていることを、はっきりと示していくことのできる体制が求められる。
多くの企業ではアクセス管理についての監査への対応を、手作業で行おうとしている→膨大なコストがかかる→アイデンティティ監査の自動化
例、サン・マイクロシステムズの「Sun Java System Identity Manager」では、企業としての内部統制のためのアクセス権限関連のルールに基づいて、統合管理されているすべてのユーザーのすべてのシステムに対するアクセス権を自動的に一括してスキャンし、ルール違反の設定が存在していないかどうかをレポートとして出力する。
多くの企業に見られる内部統制上の欠陥の例 → - システムの開発者が、業務処理を行える権限を持ったままの状態になっている - 財務システムについては適切なアクセス管理がなされていても、その下で動いているOSやデータベースへのアクセス権が十分に管理されていない - 退職した社員や、契約切れの外部コンサルタントのアクセス権が放置されている
「職務分掌」とは、組織においてそれぞれの職務が果たすべき責任(職責)や職責を果たす上で必要な権限(職権)を明確にするために、職務ごとの役割を整理・配分すること
職務分掌のチェック
企業としてはまず、職務分掌ルールを明確かつ詳細に定義する必要がある。その上で、これを現実のITシステムに適用していく作業をできるだけ自動化していかなければならない。
Sun Java System Identity Managerでは、まずスプレッドシート形式で書かれた職務分掌ルールを具体的なITの言葉に変換する機能を備えている。そしてこれに基づいて、定期あるいは随時の監査スキャンを自動的に行うことができる。このため手作業として残るのは、出発点となる企業としての職務分掌ルールを決めることだけだ。
「アイデンティティ管理製品」とは銘打っていても、このようなルール変換機能や自動監査スキャン機能を通じた発見的統制が自動化できないのであれば、内部統制やコンプライアンスの検証作業は効率化できず、コストも減らすことができない。 - 拡張性の高いシステムであることの必要性 企業として利用する重要なシステムがくまなくカバーできてこそ、統合アクセス管理ソリューションとしてのアイデンティティ管理製品は活きてくる。 アイデンティティ管理システムに多様な操作権限を設定できるという点も重要
ワークフロー機能の充実 社内ルールに基づいて、本人が適切な他者を指名して承認の代行を明示的に申請し、承認者の上長の承認を得るようにするなどの対策が必要。 このようなシステムへのアクセス権限委譲に関するワークフローの機能。
アイデンティティ管理に関し、ログや証跡の保存とチェックが行えるようになっていること アイデンティティ管理が内部統制において重要な役割を担うということはすなわち、アイデンティティ管理作業自体の正当性も問われることを意味する。上記のアクセス権委譲に関する承認を含め、すべてのアイデンティティ管理作業は、第三者によるレビューのために記録されなければならない。
まとめ
アイデンティティ管理は、どんなものでもいいから製品を導入しさえすればよいというものではない。内部統制の観点からは、まず社内の職務分掌ルールの確立が求められる。さらに予防的統制、発見的統制を統合的に運用できる仕組みを採用することで自動化をはかり、PDCAサイクルを回していくことが肝要だといえる。