 |
財務報告書の信頼性は、その元データの完全性(Integrity)確保が必須条件です。
アカウントへの権限の不適切な権限設定や、古いアカウントが残っている等に起因する想定外のアクセスは、財務報告書への信頼を根底から覆すことになりかねません。
「アイデンティティ管理」は、そのような想定外アクセス発生の原因となるアカウントやアクセスの複雑な管理を簡素化し、統制を強力に強化します。
本記事では、「何から手をつけて良いのかわからない」という方に向けすでに米国SOX法対策でも導入されているHP IceWall SSOから始める、現実的な導入までのシナリオをご紹介していきます。
|
|
|
|
|
|
日本でも2008年3月期には導入されるといわれている日本版 SOX 法。
ご存知の通り、この法律は米国の SOX 法を元に検討が進められている、上場企業の会計監査制度の充実と企業の内部統制(※1)強化を求める法規制です。 2008 年 3 月期導入とすると、 2007 年 4 月以降の企業活動が対象となるため、準備期間は残すところ 1 年余り。対象企業の皆様はその動向が気になっているところではないでしょうか。
昨今では多くの企業において、「財務報告書」に関する業務がコンピュータで処理されている状況を踏まえ、日本版 SOX 法では 「IT への対応」がその構成要素に明示された のは、記憶に新しいところかと思います。
「ITへの対応」でも、実際にITを利用した内部統制実装に関する部分は、「ITの統制」と呼ばれています。「IT の統制」は図1のようなスタック構造をしています。図1をご覧いただくとわかるように、その中で基盤となっているのは「全般統制」の部分です。つまり「全般統制」が「正しい」ことが保証されなければ、財務報告書作成などの「業務処理」も保証されないという依存関係となります。
「全般統制」とは情報セキュリティポリシー、管理、アクセス、認証、システム取得 / 導入管理、変更管理、バックアップ / リカバリ、事業継続等の IT インフラ部分となりますが、その中でも、さらにその「鍵」となるのが「アイデンティティ管理 (※2)」です。
アイデンティティ管理とは、「IT システムが抱えているユーザアカウントが、適切に、遅延なく管理されており、その監査証跡が提出できる」仕組みです。 たとえば米国では SOX 法施行後、四半期毎に「統制要件が正しく運用されているか」というテストが実施されています。職務分離の徹底状況の確認という観点では、無作為にユーザ ID を抽出したサンプリングテストが行われ、多くの企業においてアイデンティティ管理の不備が指摘されていると言われています。
※1 「内部統制」という言葉は、「日本版 SOX 法遵守のための内部統制」として使用していきます。
※2 HP では、 AM(アクセス管理)、IDM(ID管理)、GSSO(Grobal Single Sign On)を総称して、IAM(アイデンティティ&アクセスマネジメント) と呼んでいますが、ここでは簡単に、「アイデンティティ管理」と呼ぶことにします。 |
|
|
|
|
