FRONTLINE PARTNERSHIP
中小・中堅企業向け システム提案のための FLP:販売パートナオンライン

ホーム

ニュース

FLP:施策早見表

販促ツール

イベント

トレーニング情報

キャンペーン情報

お問い合わせ

ホーム > FLPパビリオン

FLPパビリオン

様々なニュースを読み解く、セールスパーソンのためのニュース解説。(週1回更新/全12回)
お客様のための有効な情報提供に役立つコンサルタントからのアドバイスをご紹介いたします。


ID管理をスッキリさせるIAMのお役立ち度:セキュリティ管理を混乱に陥れる「特権ユーザー」
(ITmediaエンタープライズ)

第4号の「統合認証基盤」、第5号の「関連したルール決めのポイント」は、どちらも内部統制対応を考えた場合のシステム管理のポイントをお客様に伝えるお話でした。そして、どちらも「アクセス管理」がテーマでした。今号では、引き続き、アクセス管理をテーマにしたニュースをもとに、内部統制対応を考えたサーバー機能選定のポイントをお客様に伝えます。
見積書を提出して、「こんな高価なサーバーはいらないよ!こんな機能は本当に必要なのか?」と、疑っているお客様に、機能の必要性を納得してもらいましょう。
日本版SOXでは、財務報告の信頼性、情報の信頼性を担保する必要があります。情報セキュリティの3原則、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability) のうち、IT内部統制で特に重要なことは、「完全性」を保つことです。
「まずは強力な権限を持つ管理者からきちんと管理し、そのログを取得して完全性を確保しようというのが、米国でSOX対応を経験してきたCAからのアドバイス」と斉藤氏は述べる。
ここでいう「完全性」とは、ニュースにあるように、
完全性とは、権利を集中して持つユーザーに対してきちんと制御できていることであり、強力な権限を持つ者が完全性を覆すことができないような制御が求められている
管理している情報が正しいこと、つまりシステムを通じて情報の不正な改ざんが出来ないことを示さなければなりません。そのためには、システムにアクセスできる管理者やその権限レベル、アクセス履歴をきちんと管理する仕組みが必要です。
補足ですが、情報セキュリティの3原則、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability) を簡単に示すと、下図になります。
まず、日本版SOXは、「完全性」がポイントとなることを、ニュースを話題に伝えます。
「日本版SOXでは『完全性』が求められていることが重要なポイント」だという。財務報告書自体は監査法人などに提出するものであるため、機密性は保持するものの、外部に漏れてはならないというものではなく、そのソース自体が正確であることが求められる。
日本版SOXは、ITへの対応を独立した1つの要素と捉えているため、管理している情報そのものが正確であるのか、つまり、情報システムにアクセスできる管理者やその権限レベルをきちんと管理しているのかどうかが重要です。「きちんとした管理」が具体的にどのような管理かというのは、次のニュースを参考に伝えます。
IT環境において財務諸表に重要な影響を及ぼす操作が行われない状態に保たれていること、また、そのような可能性がないことが日本版SOXでは求められる。これは、データやプログラムの完全性重視といえ、通常は管理者・特権ユーザーが監査の対象となる。
適切なアクセス権限が設定されているIT環境で整備されたシステムでは、意図的にIT操作を行わない限り、データの改ざん、削除等の不正は出来なくなります。そのため、システムを管理する、つまり、システムへの全アクセス権を保有する特権をもつ管理者の管理が鍵になるため、1)特権ユーザーの管理、と2)ログの管理がとても重要だということです。
選定したサーバー機能をお客様に説明する際は、"運用"をできるだけ具体的にイメージしてもらうことです。特に運用の煩雑さと運用コストの高さです。(そうでなければ、お客様は"初期投資費用"にばかり目がいってしまいます)ということで、下記のニュースを話題にして、ログの管理に関する話題を深めます。
正しいログ管理は、まずログイン情報やリソースログを取得すること。またログはバイナリ形式で保管することで改ざんを不可能にし、信頼性を確保すること。そして、OSに依存しない4W1H(What:何に対して、Who:誰が、When:いつ、Where:どこから、How:どのような方法で)に基づいた監査用ログフォーマットで記録することなどが重要となる。
必要なログを必要な項目で確実に取得し、そして、そのログそのものが正しい、つまり、改ざんされていない、という証明が出来るレベル(例えば、図やニュースにあるように、ログを暗号化したり、バイナリ形式で保管したり、など)での管理が求められているという点を伝えましょう。
証明」に関する重大なシーンといえば、不幸にも情報漏洩事故などが起きた場合です。原因の特定〜事故の影響を最小限に抑えるための対策、それらの迅速な対応と説明責任が求められますが、それらに迅速に対応するための管理をするには、情報漏洩のリスクを最小限にするという視点だけではやはり不十分なのです。
例えば原因を特定するためには、ログデータを検索した調査が必要でしょう。こうした場合は、検索性の高さが求められます。このように、運用の煩雑さを解消するには、やはりシステム(サーバーやアプリケーション等)の機能によるところが大きく、ヒトに頼った管理では現実的ではないし、不十分です。
内部統制に対応した運用レベルを確保するには、お客様が高価と感じるサーバー(例えば「HP Integrated Archive Platform」)でも、それらが持つ機能が必要であるということを、こうしたニュースを話題にしながら伝え、納得性を高めましょう。

アクセス権
情報システムやネットワーク上にあるファイルなどのデータを利用する(アクセスする)ための権利。権限に応じて制限を設けることができます。
日本版SOXと米国SOXとの違い
米国のSOX法は、1992年に米国のトレッドウェイ委員会組織委員会(COSO)が内部統制に関する考え方をまとめた、COSOフレームワークという枠組みがベースとなっています。COSOフレームワークは5つの構成要素「モニタリング」「情報と伝達」「統制活動」「リスク評価」「統制環境」と3つの目的「事業の有効性と効率性」「財務報告の信頼性」「コンプライアンス」によって成り立っています。日本版SOX法では、さらに構成要素に「ITへの対応」、目的に「資産の保全」が追加されます。

日本版SOX法 ID管理 内部統制 IAM


森戸 裕一 (もりと・ゆういち)
ナレッジネットワーク株式会社 代表取締役
中小・中堅企業を対象にITを活用した経営手法、企業戦略などを提唱する、コンサルティング事業を展開。マイクロソフト社をはじめとするIT企業、自治体などが主催する中小・中堅企業向けIT化支援セミナーの講師も数多く担当し、“ITで元気になるヒント”の数々を提案し続けている。

【第5回】社員と社内情報の関係性を明確に。それがルール決めのポイント
【第4回】内部統制に一押しの機能を提案する
【第3回】”社員の思考や行動様式を改善する”という視点でIT活用を提案する
【第2回】自動化のメリットを内部統制の観点から伝える
【第1回】企業と社員のインタラクティブ(双方向)コミュニケーション