内部統制に立ち向かう企業に、
鉄壁のアイデンティティ管理基盤と効率を!

コンプライアンスに効く アイデンティティ管理ソリューション
HP IceWall SSO
コンテンツに進む
コンプライアンスに効く HP IceWall SSO
(Last Update : 2006.9.8)

≫ 1.IT への対応の鍵を握る「アイデンティティ管理」

2.アイデンティティ管理の構成要素と構築ステップ

≫ 3.現実的なアクセスコントロール4A の統合シナリオ

≫ 4.Web シングルサインオンを提供する IceWall

アイデンティティ管理の構成要素と構築ステップ

信頼できる「アイデンティティ管理」の仕組みはどのように取り入れればよいのでしょうか?

 「アイデンティティ管理」のスタック構造

アイデンティティ管理は IT ソリューションベンダーによって、さまざまな構造をとっていますが、 HP ではスタックとして捉えています。(図2参照)
アイデンティティ管理の構成要素と望ましい構築ステップ
<図2:アイデンティティ管理の構成要素と望ましい構築ステップ>

 「アイデンティティ管理」は、 AM(アクセス管理) から地盤を固めよう

アイデンティティ管理は、ディレクトリサービスやアクセスコントロール、パスワード管理をする アクセス管理、アイデンティティ管理を自動化するプロビジョニングや認証連携までをカバーする IDM(ID管理), 企業間での認証連携する GSSOの3つのスタックに分けられます。すべてのスタックを実現すれば、より内部統制を補強するアイデンティティ管理を実現することができます。

ここで注意しなければならないのが、アイデンティティ管理は無計画に進めるとカオス化してしまうということです。 ID や認証 DB 数を削減する アクセス管理 ⇒ ID や認証 DB を同期する ID管理 ⇒ 企業間で ID 連携をする GSSO の順に構築していくのが効率的です。

 アクセス管理 で実現する内部統制

アクセス管理はアクセスコントロールの4A を提供し、かつ統合します。

< アクセスコントロールの4A >

  • Authentication:認証
    「アクセスしてきたユーザが正規のユーザであることが保証されているか」
  • Authorization:認可
    「どのユーザが」「何にアクセスできるのか」
  • Auditing:監査証跡
    「どのユーザが、いつ、何にアクセスしたのか」
  • Administration :管理
    「認証、認可、監査証跡が統合的に制御、管理されているか」
例えば
「個々のサーバが独自のユーザ管理や認証構造を持っている」状態はアクセスコントロールの4A がシステム毎にサイロ化している状態であり、管理はアプリ任せに行われている状態アクセスの実態が把握は困難を極めます。

つまり、アクセスコントロールの4A が適切に行われていなければ、法令が求める内部統制の実現ができないことになります。よって、「アクセスコントロールの4A を統合管理して、セキュリティ上のリスクを削減する」 ことが必要になります。

したがって、 2007 年 4 月までにという時間が限られた状況でも、まず整備したいのはアクセスコントロールの4A と言えるでしょう。

  アクセスコントロール4A 統合に求められる3要件とは

アクセスコントロールで求められる要件を考える際に、先を行く米国 SOX 法の運用報告書等は大変参考となります。そこで出た課題と、日本版 SOX 法における対応を踏まえると、アクセスコントロールとしては、次の3要件を満たしていることがポイントとなるのではないでしょうか。

アクセスコントロール4A 統合の3要件

  1. 「セキュリティ上のリスクを削減が可能か?」
  2. 「 SOX 法対応のコストを削減できるか?」
  3. 「業務効率の維持が可能か?」
米国版 SOX の課題 日本版 SOX 法での対応 アクセスコントロールに
求められる3要件
・IT 活用の問題
IT 部門の関与が低く、業務統制の正当性の担保となるアクセスコントロールの不備などが指摘され、混乱が生じた。
・構成要素に「 IT への対応」を明記。 IT 部門の早期関与を促す。
・同じく目的に、「資産の保全」を明記。
・要件1 「セキュリティ上のリスク削減が可能か?」
( 「 IT への対応」の「全般統制」として)
・コストの問題※ 3
過度で重複が多いことによるコスト増加 ( 開発・運用・保守・セキュリティ・監査)
・ IT への対応とトップダウンアプローチの明記。
対応コスト、作業負荷に配慮。
・要件2
(標準化・統合管理により)「 SOX 法対応コストを低減できるか?」
・要件3
「業務効率の維持が可能か?」

※3 2005.4.13 SEC (米国証券取引所)主催 「内部統制報告実務に関する円卓会議」

戻る 次へ
  ≫